feat(lum): KeycloakRealmSetupService + rôles RBAC UnionFlow + Jacoco 100%

- Ajoute KeycloakRealmSetupService : auto-initialisation des rôles realm
  (admin, user_manager, user_viewer, role_manager...) et assignation du rôle
  user_manager au service account unionflow-server au démarrage (idempotent,
  retries, thread séparé pour ne pas bloquer le démarrage)
  → Corrige le 403 sur resetPassword / changement de mot de passe premier login

- UserResource : étend les @RolesAllowed avec ADMIN/SUPER_ADMIN/USER pour
  permettre aux appels inter-services unionflow-server d'accéder aux endpoints
  sans être bloqués par le RBAC LUM ; corrige sendVerificationEmail (retourne Response)

- application-dev.properties : service-accounts.user-manager-clients=unionflow-server
- application-prod.properties : client-id, credentials.secret, token.audience, auto-setup
- application-test.properties : H2 in-memory (plus besoin de Docker pour les tests)
- pom.xml : H2 scope test, Jacoco 100% enforcement (exclusions MapStruct/repos/setup),
  annotation processors MapStruct+Lombok explicites
- .gitignore + .env ajouté (.env exclu du commit)
- script/docker/.env.example : variables KEYCLOAK_ADMIN_USERNAME/PASSWORD documentées

src/test/java/dev/lions/user/manager/mapper/RoleMapperAdditionalTest.java

@@ -75,5 +75,17 @@ class RoleMapperAdditionalTest {
 
     // La méthode toKeycloak() n'existe pas dans RoleMapper
     // Ces tests sont supprimés car la méthode n'est pas disponible
+
+    /**
+     * Couvre RoleMapper.java L13 : le constructeur par défaut implicite de la classe utilitaire.
+     * JaCoCo (counter=LINE) marque la déclaration de classe comme non couverte si aucune instance
+     * n'est jamais créée.
+     */
+    @Test
+    void testRoleMapperInstantiation() {
+        // Instantie la classe pour couvrir le constructeur par défaut (L13)
+        RoleMapper mapper = new RoleMapper();
+        assertNotNull(mapper);
+    }
 }