SSO Authentik pour applications SaaS et auto-hébergées : tutoriel 2026

📍 Article principal du cluster : Authentik 2026 : guide complet.

Authentik installé, MFA activé, prochaine étape : connecter vos services existants. Ce tutoriel détaille la configuration SSO pour les 6 applications les plus déployées chez les PME francophones : Vaultwarden, Forgejo, Grafana, Outline, Coolify, Plausible Analytics. Chaque section donne le pas-à-pas exact, sans dépendance à des tutoriels externes.

Prérequis

• Authentik en production avec HTTPS (voir tutoriel d’installation).
• Au moins une des apps cibles déjà déployée.
• Niveau attendu : intermédiaire.
• Temps estimé : 15 à 30 minutes par application.

Pattern général : OIDC en 4 étapes

Pour toute app supportant OIDC, le pattern est :

1. Authentik : créer Provider → Application → noter client_id + client_secret.
2. App cible : configurer OIDC → coller client_id, client_secret, et discovery URL Authentik.
3. Tester le login via flow Authentik.
4. Restreindre l’accès via Policy Authentik.

1. Vaultwarden via Authentik (Outpost Proxy)

Vaultwarden ne supporte pas OIDC nativement. Solution : Authentik Proxy Provider + Outpost.

# Authentik admin
1. Providers → Create → Proxy Provider
   - Name: vaultwarden-proxy
   - Mode: Forward auth (single application)
   - External host: https://vault.votre-entreprise.com
2. Applications → Create
   - Provider: vaultwarden-proxy
   - Slug: vaultwarden
3. Outpost → Create → Type: Proxy
   - Applications: vaultwarden
4. Caddy ou Traefik (devant Vaultwarden) :
vault.votre-entreprise.com {
  forward_auth authentik-outpost:9000 {
    uri /outpost.goauthentik.io/auth/caddy
    copy_headers X-authentik-username X-authentik-email
  }
  reverse_proxy vaultwarden:80
}

2. Forgejo (Gitea fork) via OIDC

# Authentik
1. Providers → Create → OAuth2/OpenID Provider
   - Name: forgejo
   - Redirect URIs: https://git.votre-entreprise.com/user/oauth2/Authentik/callback
   - Signing Key: authentik Self-signed Certificate
2. Applications → Create → Provider: forgejo
3. Note client_id et client_secret

# Forgejo
Site Administration → Identity & Access → Authentication Sources → Add
- Type: OAuth2
- Name: Authentik
- OAuth2 Provider: OpenID Connect
- Client ID: ...
- Client Secret: ...
- Auto Discovery URL: https://auth.votre-entreprise.com/application/o/forgejo/.well-known/openid-configuration

3. Grafana via OIDC

# Authentik : Provider OIDC + Application "grafana"
# Grafana grafana.ini
[auth.generic_oauth]
enabled = true
name = Authentik
allow_sign_up = true
client_id = ...
client_secret = ...
scopes = openid profile email
auth_url = https://auth.votre-entreprise.com/application/o/authorize/
token_url = https://auth.votre-entreprise.com/application/o/token/
api_url = https://auth.votre-entreprise.com/application/o/userinfo/
role_attribute_path = contains(groups[*], 'grafana-admins') && 'Admin' || contains(groups[*], 'grafana-editors') && 'Editor' || 'Viewer'

Redémarrer Grafana, login → cliquer « Sign in with Authentik ».

4. Outline (wiki) via OIDC

# Outline .env
OIDC_CLIENT_ID=...
OIDC_CLIENT_SECRET=...
OIDC_AUTH_URI=https://auth.votre-entreprise.com/application/o/authorize/
OIDC_TOKEN_URI=https://auth.votre-entreprise.com/application/o/token/
OIDC_USERINFO_URI=https://auth.votre-entreprise.com/application/o/userinfo/
OIDC_DISPLAY_NAME=Authentik
OIDC_USERNAME_CLAIM=email
OIDC_SCOPES=openid profile email

5. Coolify via OIDC

Coolify v4.0.0-beta.420+ supporte OIDC.

# Coolify Settings → Authentication → OIDC
Provider URL: https://auth.votre-entreprise.com/application/o/coolify/
Client ID: ...
Client Secret: ...
Scope: openid profile email

6. Plausible Analytics via OIDC

Plausible CE v2.0+ supporte SSO via plugin.

# Plausible config.exs
config :plausible, :sso,
  enabled: true,
  provider: :oidc,
  oidc_client_id: "...",
  oidc_client_secret: "...",
  oidc_discovery_url: "https://auth.votre-entreprise.com/application/o/plausible/.well-known/openid-configuration"

Politique d’accès par groupes

Avec 6 apps connectées, restreindre selon les groupes est essentiel :

• Group admins : toutes les apps.
• Group devs : Forgejo + Grafana + Coolify.
• Group marketing : Outline + Plausible.
• Group finance : Vaultwarden uniquement.

Authentik admin → Applications → chaque app → Policy bindings → Group X.

Erreurs fréquentes

Adaptation au contexte ouest-africain

Trois précisions concrètes. Synchronisation Active Directory : pour les ESN à Casablanca avec AD existant, Authentik LDAP source synchronise utilisateurs/groupes en background. Onboarding zéro effort. Compte commun pour clients : éviter les comptes partagés. Plutôt créer comptes individuels pour chaque collaborateur client, avec accès limité à 2-3 apps. Audit trail conformité : exporter logs Authentik vers Loki + Grafana avec rétention minimum 1 an pour ARTCI, CDP, NESA.

Tutoriels frères

• Déployer Authentik sur Coolify
• MFA et Passkeys

FAQ

Combien d’apps maximum sur Authentik ? Aucune limite hard. Testé jusqu’à 50 apps simultanées.

Mes apps internes (custom) peuvent-elles utiliser SSO ? Oui. Tout app supportant OIDC, SAML, ou compatible Forward Auth.

SCIM provisioning automatique ? Oui pour Slack, Google Workspace, Microsoft 365. Configuration côté Authentik admin.

Switch entre apps sans re-login ? Oui via cookie session Authentik. Single Sign-On effectif.

Logout global sur tous les services ? Authentik → Settings → Single Logout. Quelques apps ne supportent pas (Forgejo notamment).

Pour aller plus loin

• 🔝 Retour au pilier : Guide complet Authentik 2026
• Documentation Apps officielle : goauthentik.io/integrations/services