Vous avez 25 employés et 15 services internes (Vaultwarden, Forgejo, Outline, Coolify, Grafana, Plausible, Listmonk, Mailcow, Penpot, NocoDB, Uptime Kuma, n8n, Mattermost, Nextcloud, Immich). Chacun avec son propre login, son propre mot de passe, son propre 2FA. C’est un cauchemar opérationnel pour vos employés et un risque de sécurité majeur. Authentik est l’Identity Provider open source écrit en Python/Go qui centralise tout cela : un seul login pour tous vos services, MFA configurable au niveau global, gestion des accès par groupes, audit trail complet. À 4,51 €/mois sur Hetzner CX22, c’est 95% moins cher qu’Okta (à partir de 2 USD/utilisateur/mois) ou Azure AD Premium (6 USD/utilisateur/mois).
Sommaire
- Pourquoi Authentik en 2026
- Concepts fondamentaux
- Vue d’ensemble pratique
- Tutoriels du cluster
- Cas d’usage
- Adaptation au contexte ouest-africain
- Erreurs fréquentes
- FAQ
Pourquoi Authentik domine les SSO open source en 2026
Le marché du SSO en 2026 se divise en cinq familles. Okta et Auth0 dominent l’enterprise SaaS (à partir de 6 USD/utilisateur/mois pour les fonctions sérieuses). Azure AD / Entra ID est utilisé chez les Microsoft 365 utilisateurs (6 USD/utilisateur/mois pour Premium P1). Keycloak reste la référence open source enterprise mais demande JVM et compétences avancées. Authelia est simple mais limité aux usages basiques. Authentik et Zitadel occupent l’espace entre Authelia et Keycloak : robustes, riches en fonctionnalités, open source.
Cinq raisons concrètes expliquent l’adoption massive d’Authentik chez les PME francophones :
- Architecture moderne : Python (Django) backend + Go workers + PostgreSQL + Redis. Stack robuste, bien documentée, pas de JVM.
- UI exceptionnelle : panneau d’administration intuitif, custom flows graphiques pour personnaliser l’expérience login.
- Protocoles complets : OIDC, SAML 2.0, LDAP (synchro AD), SCIM (provisioning auto), RADIUS pour VPN/WiFi entreprise.
- Passkeys et FIDO2 stables depuis 2024 : remplacement des mots de passe par clés cryptographiques sur appareils.
- License libre : MIT, pas de version commerciale verrouillée. Toutes les fonctionnalités sont gratuites en self-hosted.
Concepts fondamentaux
Providers, Applications, Sources
Trois objets centraux dans Authentik :
- Provider : protocole exposé pour authentifier (OIDC, SAML, Proxy, LDAP). Authentik en émet vers les apps.
- Application : un service qui s’authentifie via un Provider. Vaultwarden, Grafana, Forgejo sont chacun une Application.
- Source : un fournisseur d’identité externe que Authentik consomme (Google Workspace, Microsoft 365, GitHub, LDAP). Permet l’authentification fédérée.
Flows et Stages
Authentik permet de personnaliser graphiquement chaque étape du processus de login. Un Flow est une séquence de Stages (saisie email, mot de passe, MFA, accord conditions, redirection finale). Vous pouvez modifier le Flow par défaut pour ajouter par exemple une étape de validation captcha pour un domaine email externe.
Groups et Policies
Les utilisateurs appartiennent à un ou plusieurs Groups. Chaque Application peut être restreinte à certains Groups via Policies. Un développeur (Group Devs) accède à Forgejo + staging Coolify, mais pas à l’ERP. Un comptable (Group Finance) accède à l’ERP + Vaultwarden, mais pas à Forgejo.
Tenants et branding
Pour une ESN qui héberge plusieurs clients, les Tenants permettent un branding par domaine : auth.client1.com et auth.client2.com sur la même instance Authentik. Logo, couleurs, terms of service distincts.
Outpost et Proxy Provider
Pour protéger une app qui ne supporte pas OIDC nativement (par exemple Uptime Kuma), Authentik déploie un Outpost qui agit en reverse proxy authentifiant. Pattern similaire à Authelia mais intégré.
Vue d’ensemble pratique : architecture standard
1. Serveur Authentik
Hetzner CX22 (4,51 €/mois) tient 100 utilisateurs et ~50 logins/jour confortablement. Pour 500+ utilisateurs, passer à CCX13. Voir Déployer Authentik sur Coolify.
2. Base de données et cache
PostgreSQL 16 + Redis 7. Inclus dans le docker-compose officiel. Sauvegardés via pg_dump quotidien.
3. Reverse proxy et HTTPS
Caddy ou Traefik en façade, certificat Let’s Encrypt automatique. Domaine type auth.votre-entreprise.com.
4. Première Application (Vaultwarden ou Outline)
Connecter votre première app via OIDC. Trois apps gérées par Authentik permettent de valider l’expérience. Voir SSO pour applications SaaS et auto-hébergées.
5. MFA et Passkeys
Politique d’organisation : MFA obligatoire pour tous, Passkeys recommandés pour admins. Voir MFA et Passkeys configuration.
6. Synchronisation avec Active Directory ou Google Workspace
Import des utilisateurs existants via LDAP ou OIDC source. Provisioning automatique des nouveaux employés via SCIM.
Tutoriels du cluster Authentik
- Déployer Authentik sur Coolify avec HTTPS
- SSO pour applications SaaS et auto-hébergées
- MFA et Passkeys : configuration complète
- Authentik vs Keycloak vs Zitadel : lequel choisir
Cas d’usage
ESN multi-clients
Une ESN à Casablanca avec 8 clients : un tenant Authentik par client, branding distinct. Chaque consultant a accès uniquement aux apps de son client. Onboarding-offboarding centralisé.
Fintech avec audit trail
Une fintech à Abidjan régulée par BCEAO doit tracer qui s’est authentifié à quoi, quand. Authentik logge tout, exporté vers Loki + Grafana avec rétention 1 an minimum.
Cabinet juridique avec 2FA obligatoire
Cabinet à Casablanca soumis au secret professionnel : MFA obligatoire au niveau global, Passkeys imposées pour admins. Aucun accès n’est possible sans 2FA validé.
Agence digitale avec freelances
Agence à Dakar qui collabore avec 30 freelances en rotation. Création de comptes temporaires avec expiration automatique 30 jours. Suppression automatique des accès SaaS clients à la fin de la mission.
Coopérative agricole avec saisons
Coopérative au Burkina Faso avec 200 saisonniers. Provisioning par lots au début de saison, déprovisioning automatique en fin de saison. Authentik + LDAP backend gère tout.
Adaptation au contexte ouest-africain
Quatre adaptations spécifiques.
Coût face aux concurrents. Pour 30 employés, Authentik = 54 €/an (VPS). Okta = 720 USD/an minimum. Azure AD Premium = 2 160 USD/an. L’écart finance des années de VPS.
Conformité régulateurs locaux. Authentik auto-hébergé sur Hetzner Allemagne ou OVH Roubaix répond directement aux exigences ARTCI ivoirienne, CDP sénégalaise, NESA émiratie, et CDP marocaine. Logs locaux, contrôle complet.
Connexions intermittentes. Sessions Authentik longues (jusqu’à 24h configurable). Un commercial à Saint-Louis qui perd la connexion 2 minutes n’est pas re-déconnecté.
Multi-langue interface. Authentik UI traduit en français, en arabe, en anglais. Configuration locale par utilisateur.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Boucle redirection après login | URL callback mal configurée | Vérifier callback exact dans Provider OIDC |
| MFA QR code ne fonctionne pas | Heure serveur décalée | NTP : timedatectl set-ntp true |
| SAML metadata refusé | Certificat expiré | Régénérer via Authentik admin |
| Provisioning SCIM échoue | Permissions API insuffisantes | Service account avec scope full |
| Outpost déconnecté | Token expiré | Régénérer outpost token |
| Lenteur login | Redis manquant ou saturé | Allouer 256 Mo Redis minimum |
| Email reset password jamais reçu | SMTP non configuré | Brevo ou Resend avec STARTTLS 587 |
| Password policy ignorée | Flow par défaut sans stage policy | Ajouter stage password policy |
FAQ
Authentik vs Keycloak ? Authentik plus simple à exploiter (pas de JVM), UI plus moderne. Keycloak plus de fonctionnalités enterprise (federation complexe). Pour 95% des PME, Authentik suffit.
Authentik vs Zitadel ? Zitadel plus performant à grande échelle (100k+ utilisateurs) écrit en Go pur. Authentik plus polyvalent (LDAP, SCIM out-of-the-box). Choix selon priorités.
Combien d’utilisateurs sur Hetzner CX22 ? 200 utilisateurs et 1000 logins/jour confortablement. Au-delà, CCX13 (15 €/mois).
Authentik supporte-t-il les Passkeys ? Oui, depuis 2024. Configuration WebAuthn dans Authentik admin. Tous les navigateurs modernes (Chrome 108+, Safari 17+, Firefox 119+) supportent.
Migration depuis Authelia ? Pas de migration directe. Recréer utilisateurs via CSV import + reconfiguration des apps. Comptez 2-3 heures pour 50 utilisateurs.
Authentik supporte-t-il OAuth1 ? Non, uniquement OAuth2/OIDC. OAuth1 obsolète depuis 2012, peu de services modernes l’utilisent.
Self-hosted vraiment ou plan SaaS ? Authentik propose un cloud SaaS (à partir de 19 USD/mois pour 50 users), mais le self-hosted est gratuit et complet.
Pour aller plus loin
- Démarrer maintenant : Déployer Authentik sur Coolify
- Documentation officielle : goauthentik.io/docs
- GitHub : github.com/goauthentik/authentik
Comparaison face aux alternatives 2026
| Solution | Coût (30 utilisateurs) | Auto-hébergé | Protocoles | Difficulté |
|---|---|---|---|---|
| Authentik (Hetzner CX22) | 54 €/an | Oui | OIDC, SAML, LDAP, RADIUS, SCIM | Moyenne |
| Keycloak | 54 €/an (CX22) | Oui | OIDC, SAML, LDAP, Kerberos | Élevée (JVM) |
| Authelia | 0 € (4 €/mois VPS) | Oui | OIDC limité, ForwardAuth | Faible |
| Zitadel | 54 €/an (CX22) | Oui | OIDC, SAML | Moyenne |
| Okta | 720 USD/an minimum | Non | OIDC, SAML, LDAP | Faible |
| Azure AD Premium | 2 160 USD/an | Non | OIDC, SAML, LDAP | Faible |
Roadmap 2026
Trois évolutions clés. Provisioning bidirectionnel SCIM stable mi-2026 pour synchroniser dans les deux sens avec Google Workspace, Microsoft 365. Federated identity broker pour fédérer Authentik avec d’autres IdP en mode broker. UI mobile native pour gérer son profil en mobilité (changement password, ajout MFA).