Und was den Custom Provider angeht:
Ja gut, wenn man schon wieder eigene Software baut, warum dann nicht gleich ein CT-Plugin für NC, was direkt auf die CT-API zugreift und das alles "richtig" macht.

Aber was ich an OIDC-Unterstützung durch CT wirklich super fände:
Das könnte man super für diverse andere Sachen verwenden, bei denen es wirklich nur um Authentisierung/Authentifizierung geht, z.B. CMS-Systeme und andere IT-Services der Gemeinde. Das wäre schon nice.

{"roles": [{gid: id_der_godi_technik_gruppe, displayName: "Gottesdienst Technik"}, ...]}

Als ich es letztes Jahr mal ausprobiert hatte mit einem Generic OIDC Provider, hat das Plugin die nicht existierenden Gruppen automatisch erstellt (Ist eine Config Option).
Das mit dem Umbenennen habe ich nicht getestet.
Aber genau kann ich dir das nicht mehr sagen, das es schon ne weile her ist.

Jedoch unterstützt das Social Login Plugin auch Custom Provider, heißt hier einen CT-Provider zu schreiben, der checkt ob Gruppen umbenannt wurden ist (schätze ich jetzt mal) eher trivial.

• Den Identifier (UID), falls jemand auf die (natürlich völlig abwegige ) Idee kommt, z.B. den Namen der Gruppe zu ändern.
• Den Namen der Gruppe, weil die User sich sonst nicht mehr auskennen.

Und da fangen AFAIK die Probleme an.
Hab mir kurz die README hier angesehen: https://github.com/zorn-v/nextcloud-social-login/blob/master/README.md
Also vielleicht verstehe ich das ja falsch, aber das hört sich für mich so an, als müssten die jeweiligen Gruppen i.A. vorab in NC erstellt werden, aus genau dem Grund, den ich oben erklärt habe...

Jedoch wollte ich mich bisher mit LDAP nicht rumschlagen und auch der Aufpreis oder den Administrationsaufwand war es uns bisher noch nicht wert.

Wir in unserer Gemeinde nutzen eine Hetzner Storage Share (https://www.hetzner.com/de/storage/storage-share). Das ist eine gemanagte Nextcloud Instanz die bei Hetzner auf Deutschen Servern DSGVO Konform läuft. 1TB kosten uns da 5,11 Euro im Monat und falls irgendwann in der Zukunft das OAuth Feature in ChurchTools "landet" (genaueres kann ich da leider noch nicht sagen) kann man bei Nextcloud sogar einen "Login mit ChurchTools" Button einbinden, wo sich dann die CT-Nutzer in Nextcloud einloggen können.
Eine Abbildung der Gruppenstruktur geht (soviel ich weiß) auch über diesen Wege in Nextcloud.

Eine Anbindung einer eigenen Domain ist bei Hetzner an der Stelle sogar auch machbar (z.B. "https://cloud.feg-musterhausen.de")

... und nicht auf die Antwort reagiert.