Vaultwarden commit introduces SSO using OpenID Connect
Кратко о PR #3899
Добавлена поддержка SSO через OpenID Connect (OIDC) в Vaultwarden.
-
Что нового
- Авторизация через внешний OIDC-провайдер (Keycloak, Azure AD, Google и др.).
- Автоматическое создание/обновление пользователей при первом входе.
- Настройка через переменные окружения:
SSO_ENABLED,SSO_AUTHORITY,SSO_CLIENT_ID,SSO_CLIENT_SECRET. - Поддержка PKCE и
offline_accessдля refresh-токенов.
-
Как использовать
- Указать параметры OIDC в
.env. - Включить SSO в админ-панели.
- Пользователи входят кнопкой «Login with SSO».
- Указать параметры OIDC в
-
Ограничения
- Только веб-клиент; мобильные/CLI пока без SSO.
- Не работает с двухфакторной аутентификацией Vaultwarden (используйте MFA у провайдера).
-
Проверено
- Keycloak, Auth0, Azure AD, Google Workspace.
PR готов к слиянию; дальнейшие улучшения (SAML, группы) в roadmap.
Комментарии (91)
- Внедрённый SSO в Vaultwarden в первую очередь нужен корпоративным и командным средам, где упрощает автоматическое добавление/удаление пользователей и управление доступом к коллекциям паролей.
- Для личного или семейного использования польза минимальна: мастер-пароль всё равно требуется, а SSO не заменяет шифрование.
- Многие админы некоммерческих и малых организаций рады возможности подключить единый OIDC-провайдер вместо ручного приглашения и отслеживания активных волонтёров/сотрудников.
- Часть пользователей обеспокоена безопасностью: просят аудитов, контроля образов Docker и зависимостей.
- SSO не отменяет мастер-пароль: он по-прежнему нужен для расшифровки хранилища, а SSO лишь аутентифицирует пользователя.