لديك 25 موظفاً و 15 خدمة داخلية (Vaultwarden، Forgejo، Outline، Coolify، Grafana، Plausible، Listmonk، Mailcow، Penpot، NocoDB، Uptime Kuma، n8n، Mattermost، Nextcloud، Immich). لكل واحد منها login وكلمة سر و 2FA منفصلين. هذا كابوس تشغيلي وخطر أمني كبير. Authentik هو Identity Provider مفتوح المصدر مكتوب بـ Python/Go يُمَركِز كل ذلك: تسجيل دخول واحد لكل خدماتك، MFA قابل للتكوين على المستوى العام، إدارة الوصول حسب المجموعات، audit trail كامل. بـ 4.51 يورو/شهرياً على Hetzner CX22، 95% أرخص من Okta أو Azure AD Premium.
لماذا Authentik يهيمن في 2026
سوق SSO في 2026 ينقسم إلى خمس عائلات. Okta وAuth0 يهيمنان على enterprise SaaS (يبدآن من 6 دولارات/مستخدم/شهرياً). Azure AD / Entra ID يُستَخدم عند مستخدمي Microsoft 365 (6 دولارات/مستخدم/شهرياً لـ Premium P1). Keycloak يبقى المرجع enterprise مفتوح المصدر لكنه يتطلب JVM ومهارات متقدمة. Authelia بسيط لكن محدود. Authentik و Zitadel يحتلان المساحة بين Authelia و Keycloak: قويان، غنيان بالميزات، مفتوحان المصدر.
خمسة أسباب لاعتماده الواسع:
- معمارية حديثة: Python (Django) backend + Go workers + PostgreSQL + Redis. Stack قوي، موثق، دون JVM.
- UI استثنائي: لوحة إدارة بديهية، custom flows رسومية لتخصيص تجربة الـ login.
- بروتوكولات كاملة: OIDC، SAML 2.0، LDAP (مزامنة AD)، SCIM (provisioning تلقائي)، RADIUS.
- Passkeys و FIDO2 مستقران منذ 2024.
- ترخيص حر: MIT، دون نسخة تجارية مقفلة.
المفاهيم الأساسية
Providers، Applications، Sources
ثلاثة كائنات مركزية في Authentik. Provider: بروتوكول معروض للمصادقة (OIDC، SAML، Proxy، LDAP). Application: خدمة تتم مصادقتها عبر Provider. Source: مزود هوية خارجي يستهلكه Authentik (Google Workspace، Microsoft 365، GitHub).
Flows و Stages
Authentik يسمح بتخصيص رسومي لكل خطوة من عملية الـ login. Flow هو سلسلة من Stages (إدخال البريد، كلمة السر، MFA، قبول الشروط، إعادة التوجيه النهائية).
Groups و Policies
المستخدمون ينتمون إلى مجموعة أو أكثر Groups. كل Application يمكن تقييدها لمجموعات معينة عبر Policies. مطور (Group Devs) يصل إلى Forgejo + staging Coolify، لكن ليس إلى ERP. محاسب (Group Finance) يصل إلى ERP + Vaultwarden.
Outpost و Proxy Provider
لحماية تطبيق لا يدعم OIDC أصلياً (مثل Uptime Kuma)، Authentik ينشر Outpost يعمل كـ reverse proxy مصادق.
دروس مجموعة Authentik
- نشر Authentik على Coolify مع HTTPS
- SSO للتطبيقات SaaS وذاتية الاستضافة
- MFA و Passkeys
- Authentik vs Keycloak vs Zitadel
التكيف مع السياق المغاربي وغرب إفريقيا
أربعة تكيفات. التكلفة مقارنة بالمنافسين: لـ 30 موظفاً، Authentik = 54 يورو/سنة (VPS). Okta = 720 USD/سنة. Azure AD Premium = 2,160 USD/سنة. التوافق مع المنظمين المحليين: Authentik ذاتي الاستضافة على Hetzner ألمانيا أو OVH Roubaix يستجيب مباشرة لـ ARTCI الإيفواري، CDP السنغالي، NESA الإماراتي. اتصالات متقطعة: جلسات Authentik طويلة (حتى 24 ساعة قابلة للتكوين). متعدد اللغات: واجهة Authentik مترجمة إلى الفرنسية والعربية والإنجليزية.
الأخطاء الشائعة
| الخطأ | الحل |
|---|---|
| حلقة إعادة توجيه بعد login | تحقق callback exact في Provider OIDC |
| QR code MFA لا يعمل | NTP: timedatectl set-ntp true |
| Outpost مقطوع | توليد token جديد |
| زمن استجابة login | Redis مفقود أو مشبع، خصص 256 MB |
الأسئلة المتكررة
Authentik vs Keycloak؟ Authentik أبسط للتشغيل (دون JVM)، UI أكثر حداثة. لـ 95% من الشركات الصغيرة، Authentik كافٍ.
Authentik vs Zitadel؟ Zitadel أكثر أداءً على نطاق كبير. Authentik أكثر تنوعاً.
كم مستخدم على Hetzner CX22؟ 200 مستخدم و 1000 login/يوم بشكل مريح.
للاستزادة
- للبدء: نشر Authentik
- الوثائق الرسمية: goauthentik.io/docs