📍 Article principal du cluster : Authentik 2026 : guide complet.
Trente minutes pour passer d’un VPS vide à un Authentik de production avec HTTPS valide, SMTP configuré, et premier compte admin. Ce tutoriel utilise Coolify v4 sur Hetzner CX22 (4,51 €/mois). Méthode validée chez plusieurs PME francophones d’Afrique de l’Ouest.
Prérequis
- VPS Hetzner CX22 minimum (2 vCPU, 4 GB RAM) sous Ubuntu 22.04 LTS / Debian 12.
- Coolify v4 installé.
- Nom de domaine DNS A pointant vers VPS :
auth.votre-entreprise.com. - Niveau attendu : intermédiaire.
- Temps estimé : 30 à 45 minutes.
Étape 1 — Préparer le DNS
dig +short auth.votre-entreprise.com # Doit retourner l'IP du VPSCloudflare proxy en gris pendant l’émission Let’s Encrypt.
Étape 2 — Créer le service Authentik dans Coolify
Resources → + New → Service → rechercher « Authentik ». Coolify déploie le template officiel (v2026.2 stable). Nom : authentik-prod. Server : Hetzner CX22. Project : Production.
Étape 3 — Variables d’environnement
AUTHENTIK_SECRET_KEY=générez-une-clé-aléatoire-de-50-caractères
AUTHENTIK_ERROR_REPORTING__ENABLED=false
AUTHENTIK_LOG_LEVEL=info
AUTHENTIK_REDIS__HOST=authentik-redis
AUTHENTIK_POSTGRESQL__HOST=authentik-postgres
AUTHENTIK_POSTGRESQL__USER=authentik
AUTHENTIK_POSTGRESQL__PASSWORD=mot-de-passe-fort
AUTHENTIK_POSTGRESQL__NAME=authentik
AUTHENTIK_EMAIL__HOST=smtp-relay.brevo.com
AUTHENTIK_EMAIL__PORT=587
AUTHENTIK_EMAIL__USERNAME=votre-login-brevo
AUTHENTIK_EMAIL__PASSWORD=votre-clé-api-brevo
AUTHENTIK_EMAIL__USE_TLS=true
AUTHENTIK_EMAIL__FROM=auth@votre-entreprise.comÉtape 4 — Configurer le domaine HTTPS
Onglet Domains : https://auth.votre-entreprise.com. Coolify configure Traefik + Let’s Encrypt automatiquement.
Étape 5 — Lancer le déploiement
Cliquer Deploy. Coolify pull les 4 images (server, worker, postgres, redis) et démarre. Comptez 3-4 minutes au premier déploiement.
Étape 6 — Premier compte administrateur
Ouvrir https://auth.votre-entreprise.com/if/flow/initial-setup/. L’écran de setup propose la création du premier admin (email + mot de passe 16+ caractères). Saisir, valider. Vous êtes connecté à l’admin panel.
Étape 7 — Activer MFA pour l’admin
Settings → Tokens & App passwords → MFA Authenticator Setup. Scanner le QR code avec Aegis ou Authy. Saisir le code 6 chiffres. MFA activé. Recommandé immédiatement, avant tout autre setup.
Étape 8 — Créer une première Application (test)
Applications → Create → Type : OAuth2/OpenID Provider. Nom : test-app. Slug : test-app. Redirect URI : https://test.exemple.com/callback. Note l’client_id et client_secret.
Étape 9 — Tester le flow login
Ouvrir un navigateur incognito. URL :
https://auth.votre-entreprise.com/application/o/authorize/?response_type=code&client_id=CLIENT_ID&redirect_uri=https://test.exemple.com/callback&scope=openid profile emailSaisir login admin + MFA. Redirection vers test.exemple.com/callback?code=.... Cela confirme que le Provider OIDC fonctionne.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| 500 Internal Server Error initial | Migrations Postgres pas terminées | Attendre 60 secondes + refresh |
| Email reset jamais reçu | SMTP mal configuré | Vérifier logs : docker logs authentik-server |
| SECRET_KEY trop court | < 50 caractères | Régénérer avec openssl rand -base64 50 |
| Redis connection refused | Container redis pas up | Vérifier statut Coolify |
| UI ne charge pas (CORS) | Hostname différent dans config | Vérifier AUTHENTIK_HOST |
Adaptation au contexte ouest-africain
Trois ajustements. SMTP fiable depuis Afrique : Brevo (300 emails/jour gratuit) ou Resend (3000/mois gratuit) garantissent délivrabilité vers Gmail, Outlook, Yahoo africains. Datacenter de proximité : Hetzner Falkenstein ou OVH Roubaix offrent 90-100 ms ping depuis Dakar/Casablanca. Sauvegardes obligatoires : pg_dump + restic vers B2 toutes les 6 heures, sans exception.
Tutoriels frères
FAQ
Authentik consomme combien de RAM ? Server + worker + Postgres + Redis = ~1.5 Go au repos. Confortable sur CX22 (4 Go).
Mise à jour Authentik ? Coolify : Deployments → Pull latest image → Redeploy. Sauvegarder Postgres avant chaque update majeure.
HTTP 502 après déploiement ? Worker pas encore prêt. Attendre logs « Worker ready » avant test.
Plusieurs admins ? Oui, créer plusieurs users avec rôle akadmin. Recommandé pour bus factor.
Branding personnalisé ? Tenants → modifier logo, couleurs, terms of service par domaine.
Pour aller plus loin
- 🔝 Retour au pilier : Guide complet Authentik 2026
- Documentation : goauthentik.io/docs