ITSkillsCenter
Business Digital

SSO Authentik avec BookStack via OIDC : tutoriel 2026

3 دقائق للقراءة

📍 Article principal : BookStack 2026 : guide complet.

BookStack supporte OIDC depuis 24.05. Brancher sur Authentik unifie les logins de votre stack auto-hébergée.

Prérequis

  • BookStack v24.05+ en production.
  • Authentik en production.
  • Niveau : avancé.
  • Temps : 30-45 min.

Étape 1 — Provider OIDC Authentik

Authentik admin → Providers → Create → OAuth2/OpenID :

Name: bookstack-provider
Authentication flow: default-authentication-flow
Authorization flow: default-provider-authorization-explicit-consent
Client type: confidential
Redirect URIs: https://docs.votre-entreprise.com/oidc/callback
Scopes: openid email profile
Subject mode: based on user's email

Note client_id et client_secret.

Étape 2 — Application Authentik

Name: BookStack
Slug: bookstack
Provider: bookstack-provider
Launch URL: https://docs.votre-entreprise.com

Étape 3 — Variables BookStack

Coolify → BookStack → Environment :

AUTH_METHOD=oidc
OIDC_NAME=Authentik
OIDC_DISPLAY_NAME_CLAIMS=name
OIDC_CLIENT_ID=client_id-copié
OIDC_CLIENT_SECRET=secret-copié
OIDC_ISSUER=https://auth.votre-entreprise.com/application/o/bookstack/
OIDC_ISSUER_DISCOVER=true
OIDC_USER_TO_GROUPS=true
OIDC_GROUPS_CLAIM=groups

Étape 4 — Restart container

Coolify → Redeploy.

Étape 5 — Test login

Mode incognito → docs.votre-entreprise.com → bouton « Sign in with Authentik ».

Redirection auth → login + MFA → consent → retour BookStack connecté.

Étape 6 — Mapping groupes Authentik → roles BookStack

Authentik → Property Mapping → ajouter mapping groups → claim groups.

BookStack admin → Roles → assignment auto par groupe Authentik.

Étape 7 — Désactiver login local

AUTH_METHOD=oidc  # Force OIDC, supprime login email/password

Étape 8 — Auto-création utilisateurs

BookStack crée auto compte au premier login OIDC. Email match Authentik = compte associé.

Étape 9 — Logout SSO

Variable OIDC_END_SESSION_ENDPOINT pour logout cascade vers Authentik.

Étape 10 — Audit logs

BookStack logs login OIDC. Settings → Audit Log. Ingestion Loki via volume.

Erreurs fréquentes

Erreur Cause Solution
« Invalid redirect_uri » URL exacte mismatch Vérifier callback Authentik exact
Compte créé sans email Scope email manquant Add scope email
Groupes pas mappés OIDC_GROUPS_CLAIM Property Mapping Authentik
Logout pas cascade END_SESSION_ENDPOINT manquant Configurer URL exact
Boucle redirect Cookie domain Vérifier base domain
Discovery URL 404 Slug app différent Vérifier slug Authentik

Adaptation au contexte ouest-africain

Trois précisions. Multi-tenant ESN : un Authentik tenant client + un BookStack par client. Audit conformité : logs Authentik + BookStack ingérés Loki = trace complète. Suppression employé : retirer du groupe Authentik = accès BookStack coupé.

Tutoriels frères

FAQ

SAML supporté ? Oui. AUTH_METHOD=saml2. Configuration séparée.

Multi-IdP ? BookStack supporte un OIDC à la fois.

Group sync ? Oui via OIDC_USER_TO_GROUPS=true.

Tester sans casser prod ? Staging Authentik + staging BookStack avant bascule.

Migration login local → SSO ? Comptes locaux conservés. Premier login OIDC associe par email.

Pour aller plus loin

#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité