SSO через SAML 2.0 + OIDC — enterprise identity providers

## Что это Enterprise не хочет управлять отдельным password'ом для ROX. Они хотят SSO: Okta, Azure AD, Google Workspace, OneLogin, Ping. Это значит: - SAML 2.0 SP-mode: ROX как Service Provider, IdP-инициированный и SP-инициированный flows - OIDC: discovery, PKCE, refresh tokens - Just-in-Time (JIT) provisioning: первый login создаёт workspace-account - SCIM 2.0 (отдельный пост) для управления lifecycle - Group claims → автоматический mapping в RBAC roles - Per-tenant конфиг: каждый тенант настраивает свой IdP в admin-UI - Multi-IdP per tenant (e.g. employees через Okta + contractors через Google) - MFA-enforce на уровне IdP — ROX доверяет результат ## Зачем Без SSO — каждый сотрудник заводит локальный аккаунт, IT-департамент не имеет offboarding-механики, плюс пароли на post-it'ах. С SSO — централизованное управление, audit-trail в их Okta, и фишинг через ROX невозможен. ## Источники вдохновения - [tailscale/hallpass](https://github.com/tailscale/hallpass) - [steipete/better-auth](https://github.com/steipete/better-auth) - [anomalyco/openauth](https://github.com/anomalyco/openauth) ## 🔗 Linear - [PZD-379](https://linear.app/kuhjie/issue/PZD-379) — backing ticket