Vaultwarden commit introduces SSO using OpenID Connect

Кратко о PR #3899
Добавлена поддержка SSO через OpenID Connect (OIDC) в Vaultwarden.

Что нового
- Авторизация через внешний OIDC-провайдер (Keycloak, Azure AD, Google и др.).
- Автоматическое создание/обновление пользователей при первом входе.
- Настройка через переменные окружения: SSO_ENABLED, SSO_AUTHORITY, SSO_CLIENT_ID, SSO_CLIENT_SECRET.
- Поддержка PKCE и offline_access для refresh-токенов.
Как использовать
1. Указать параметры OIDC в .env.
2. Включить SSO в админ-панели.
3. Пользователи входят кнопкой «Login with SSO».
Ограничения
- Только веб-клиент; мобильные/CLI пока без SSO.
- Не работает с двухфакторной аутентификацией Vaultwarden (используйте MFA у провайдера).
Проверено
- Keycloak, Auth0, Azure AD, Google Workspace.

PR готов к слиянию; дальнейшие улучшения (SAML, группы) в roadmap.

Новая функция SSO в Vaultwarden в первую очередь нужна корпоративным и командным сценариям: упрощает он-/оффбординг, синхронизацию прав и отзыв доступа.
Для личного или семейного использования польза минимальна — всё равно требуется мастер-пароль.
SSO позволяет подключить Vaultwarden к единому OIDC-провайдеру (Authentik, Keycloak и т.д.) и избавить пользователей от отдельных логинов/паролей в каждом сервисе.
Коммерческие компании всё же редко доверяют самостоятельный хостинг FOSS, но малые организации и некоммерческие проекты активно используют Vaultwarden.
Участники подчеркивают: безопасность зависит от локального шифрования и мастер-пароля, а не только от SSO.