📍 المقالة الرئيسية: Authentik 2026: الدليل الكامل.
ثلاثون دقيقة للانتقال من VPS فارغ إلى Authentik إنتاج مع HTTPS صحيح، SMTP مكوَّن، وأول حساب admin. هذا الدرس يستخدم Coolify v4 على Hetzner CX22. الطريقة موثقة في عدة شركات إفريقية فرنكوفونية.
المتطلبات
VPS Hetzner CX22 minimum (2 vCPU، 4 GB RAM) تحت Ubuntu 22.04 LTS أو Debian 12. Coolify v4 مثبَّت. اسم نطاق DNS A يشير إلى VPS: auth.votre-entreprise.com. المستوى: متوسط. الوقت: 30-45 دقيقة.
الخطوة 1 — تحضير DNS
dig +short auth.votre-entreprise.com # يجب أن يعيد IP الـ VPSCloudflare proxy رمادي أثناء إصدار Let’s Encrypt.
الخطوة 2 — إنشاء خدمة Authentik في Coolify
Resources → + New → Service → ابحث عن «Authentik». Coolify ينشر القالب الرسمي (v2026.2 stable). الاسم: authentik-prod. Server: Hetzner CX22.
الخطوة 3 — متغيرات البيئة
الـ AUTHENTIK_SECRET_KEY أساسي للأمان. ولِّده عشوائياً 50 حرفاً. SMTP يرسل دعوات بالبريد لمستخدمين جدد، استخدم Brevo أو Resend.
AUTHENTIK_SECRET_KEY=générer-50-caractères-aléatoires
AUTHENTIK_ERROR_REPORTING__ENABLED=false
AUTHENTIK_LOG_LEVEL=info
AUTHENTIK_REDIS__HOST=authentik-redis
AUTHENTIK_POSTGRESQL__HOST=authentik-postgres
AUTHENTIK_POSTGRESQL__USER=authentik
AUTHENTIK_POSTGRESQL__PASSWORD=mot-de-passe-fort
AUTHENTIK_POSTGRESQL__NAME=authentik
AUTHENTIK_EMAIL__HOST=smtp-relay.brevo.com
AUTHENTIK_EMAIL__PORT=587
AUTHENTIK_EMAIL__USERNAME=login-brevo
AUTHENTIK_EMAIL__PASSWORD=clé-api-brevo
AUTHENTIK_EMAIL__USE_TLS=true
AUTHENTIK_EMAIL__FROM=auth@votre-entreprise.comالخطوة 4 — تكوين النطاق HTTPS
تبويب Domains: https://auth.votre-entreprise.com. Coolify يُكوِّن Traefik + Let’s Encrypt تلقائياً.
الخطوة 5 — إطلاق النشر
اضغط Deploy. Coolify يسحب 4 صور (server، worker، postgres، redis). احسب 3-4 دقائق للنشر الأول.
الخطوة 6 — أول حساب مسؤول
افتح https://auth.votre-entreprise.com/if/flow/initial-setup/. شاشة الإعداد تقترح إنشاء أول admin (البريد + كلمة سر 16+ حرفاً).
الخطوة 7 — تفعيل MFA للمسؤول
Settings → Tokens & App passwords → MFA Authenticator Setup. مسح QR code بـ Aegis أو Authy. أدخل رمز 6 أرقام. MFA مُفعَّل. موصى به فوراً، قبل أي إعداد آخر.
الخطوة 8 — إنشاء Application أولى (اختبار)
Applications → Create → Type: OAuth2/OpenID Provider. اسم: test-app. Slug: test-app. Redirect URI: https://test.exemple.com/callback. سجل client_id و client_secret.
الخطوة 9 — اختبار flow login
افتح متصفح في وضع incognito. URL:
https://auth.votre-entreprise.com/application/o/authorize/?response_type=code&client_id=CLIENT_ID&redirect_uri=https://test.exemple.com/callback&scope=openid profile emailأدخل login admin + MFA. إعادة توجيه نحو test.exemple.com/callback?code=.... هذا يؤكد أن Provider OIDC يعمل.
الأخطاء الشائعة
| الخطأ | الحل |
|---|---|
| 500 Internal Server Error أولي | انتظر 60 ثانية + refresh |
| بريد إعادة الضبط لم يُستلم | تحقق logs: docker logs authentik-server |
| SECRET_KEY قصير جداً | توليد بـ openssl rand -base64 50 |
| UI لا يحمِّل (CORS) | تحقق AUTHENTIK_HOST |
التكيف مع السياق المغاربي وغرب إفريقيا
ثلاث تعديلات. SMTP موثوق من إفريقيا: Brevo (300 بريد/يوم مجاناً) أو Resend (3000/شهر مجاناً) يضمنان التسليم نحو Gmail و Outlook و Yahoo الأفريقية. مركز بيانات قريب: Hetzner Falkenstein أو OVH Roubaix يقدمان 90-100 ميلي ثانية ping من داكار/الدار البيضاء. النسخ الاحتياطية إلزامية: pg_dump + restic نحو B2 كل 6 ساعات.
دروس الإخوة
الأسئلة المتكررة
Authentik يستهلك كم RAM؟ Server + worker + Postgres + Redis = ~1.5 GB في الراحة.
تحديث Authentik؟ Coolify: Deployments → Pull latest image → Redeploy.
عدة admins؟ نعم، أنشئ عدة users مع دور akadmin.
للاستزادة
- 🔝 المرجع: الدليل الكامل Authentik 2026
- الوثائق: goauthentik.io/docs