KeyCloak：将ldap组映射到springboot角色

我们公司的用户存储在ldap（oracle internet目录）中。用户有特定的组，例如管理员、用户等。我需要将这些组映射到我的客户端应用程序角色。客户机应用程序是带有keycloak-spring-security-adapter(pom)的测试Spring Boot应用程序。

我在Keycloak管理控制台中执行的步骤：

1. 在Users Federation菜单中使用ldap创建用户Federation（无需导入）。检查是否可以在用户菜单中找到ldap用户。
2. 添加group-ldap-mapper https://prnt.sc/12fb6b8检查组菜单中的ldap组是否可见。此外，用户具有正确的组成员身份:https://prnt.sc/12fb9xr
3. 在客户端中为我的应用程序创建客户端。
4. 在客户端中创建两个角色-管理员和用户:https://prnt.sc/12fbbut
5. 在组-管理员（ldap组）-角色映射中添加管理客户端角色:http://prntscr.com/12fbhbq。现在我的用户菜单中的用户有了正确的有效角色，包括管理员和用户:https://prnt.sc/12fc7j2

现在，我在浏览器中访问客户机应用程序，并将其重定向到keycloak，在那里我使用ldap用户密码进行身份验证。
我希望经过身份验证的用户在应用程序中具有管理员角色。但实际上它只有标准的keycloak角色，而不是在客户机中创建的自定义角色:https://prnt.sc/12fc3fx Controller methods with@preauthorize（“hasrole('admin')”）响应403。

UPD：

我在客户端应用程序外（使用http客户端）向keycloak authendpoint发出了http请求，在接收的访问令牌中，我确实在resource_access部分中看到了自定义的管理和用户角色：

"realm_access": {
    "roles": [
      "offline_access",
      "uma_authorization"
    ]
  },
  "resource_access": {
    "adapter-client-test": {
      "roles": [
        "ADMIN",
        "USER"
      ]
    },

所以我相信keycloak本身配置正确，但是spring boot客户端应用程序有问题吗？