📍 Article principal du cluster : Authentik 2026 : guide complet.
Les trois grands Identity Providers open source en 2026 sont Authentik, Keycloak et Zitadel. Tous trois capables de gérer SSO, MFA, OIDC, SAML pour une PME ou enterprise. Mais lequel choisir ? Cet article tranche en 8 critères concrets, avec retours terrain de PME francophones d’Afrique de l’Ouest.
Méthodologie
Tests sur 3 instances déployées sur Hetzner CX22 identiques. Charge : 50 utilisateurs simulés via k6, 200 logins/jour, 8 applications connectées. Mesures : temps installation, mémoire, latence login, simplicité config.
Critère 1 — Empreinte mémoire
| Solution | RAM idle | RAM 50 utilisateurs |
|---|---|---|
| Authentik | 1.2 Go | 1.5 Go |
| Keycloak (JVM) | 1.8 Go | 2.4 Go |
| Zitadel (Go) | 320 Mo | 580 Mo |
Verdict : Zitadel l’emporte largement. Idéal pour VPS petit. Keycloak demande clairement plus de ressources.
Critère 2 — Latence login p95
| Solution | p50 | p95 |
|---|---|---|
| Zitadel | 120 ms | 280 ms |
| Authentik | 180 ms | 410 ms |
| Keycloak | 240 ms | 520 ms |
Verdict : Zitadel devant, Keycloak derrière. Sur le terrain africain (latence réseau ajoutée), Zitadel est perçu plus réactif.
Critère 3 — Temps de mise en place initial
| Solution | Installation Coolify | Premier SSO connecté |
|---|---|---|
| Authentik | 20 min | 40 min |
| Zitadel | 30 min | 50 min |
| Keycloak | 45 min | 1h30 |
Critère 4 — UI d’administration
Authentik : UI moderne, custom flows graphiques, drag-and-drop pour personnaliser le login.
Zitadel : UI propre, axée multi-tenancy (B2B SaaS), moins flexible visuellement.
Keycloak : UI fonctionnelle mais datée, basée sur React mais ergonomie héritée 2015.
Critère 5 — Protocoles supportés
| Protocole | Authentik | Keycloak | Zitadel |
|---|---|---|---|
| OIDC | ✅ | ✅ | ✅ |
| SAML 2.0 | ✅ | ✅ | ✅ |
| LDAP source | ✅ | ✅ | ❌ (planifié) |
| SCIM 2.0 | ✅ (out + in) | ✅ | ✅ |
| RADIUS | ✅ | ❌ (plugin) | ❌ |
| Kerberos | ❌ | ✅ | ❌ |
| Forward Auth | ✅ (Outpost) | ❌ | ❌ |
Critère 6 — Multi-tenancy
Zitadel : roi du multi-tenant, conçu pour B2B SaaS, organisations imbriquées, branding par tenant.
Authentik : tenants par domaine, branding distinct, mais limité à 50 tenants en pratique.
Keycloak : « realms » équivalents tenants, complexe à administrer mais robuste.
Critère 7 — Communauté et maturité
| Solution | GitHub stars | Contributors | Releases/an |
|---|---|---|---|
| Authentik | 15 800 | 180 | 12 (mensuelles) |
| Keycloak | 23 400 | 650 | 4 (trimestrielles) |
| Zitadel | 11 200 | 110 | 20 (rapides) |
Critère 8 — Cas d’usage où chacun brille
Authentik est le meilleur quand : PME 5-100 employés, mix d’apps SaaS et auto-hébergées, besoin de Forward Auth (Outpost), customisation visuelle des flows.
Zitadel est le meilleur quand : SaaS multi-tenant, performance critique, équipe Go/Cloud-native, < 500 utilisateurs avec scaling prévu.
Keycloak est le meilleur quand : Enterprise > 1000 utilisateurs, contraintes Kerberos/AD complexes, équipe Java existante, besoin de plugins custom.
Verdict pour les PME ouest-africaines
Pour la grande majorité des PME francophones d’Afrique de l’Ouest et du Maghreb (5-100 employés), Authentik est le meilleur choix : équilibre entre simplicité, fonctionnalités, et coût. Mise en place en 1 journée pour bénéfices durables.
Pour les éditeurs SaaS B2B ciblant plusieurs clients : Zitadel, son multi-tenancy est imbattable.
Pour les enterprises avec AD existant et > 500 utilisateurs : Keycloak, son intégration Kerberos justifie la complexité.
Erreurs fréquentes dans le choix
| Erreur | Cause | Solution |
|---|---|---|
| Keycloak pour 20 utilisateurs | Sur-ingénierie | Authentik suffit |
| Authentik pour SaaS 100 tenants | Limites multi-tenancy | Zitadel |
| Zitadel pour Vaultwarden Forward Auth | Pas de Outpost | Authentik ou Authelia |
| Migration tardive | Sous-estimé volume données | Planifier dès le début |
Adaptation au contexte ouest-africain
Pour une PME africaine type (10-50 employés), les critères qui comptent vraiment : empreinte mémoire (VPS = budget contraint), simplicité d’admin (équipe IT petite), coût zéro logiciel. Sur ces 3 critères, Authentik et Zitadel se valent. Authentik gagne sur la richesse fonctionnelle (LDAP, RADIUS, Outpost). Zitadel gagne sur la performance pure et le multi-tenancy. Choisir Authentik par défaut, Zitadel si vous êtes éditeur SaaS, jamais Keycloak avant 200 utilisateurs.
Tutoriels frères
FAQ
Migration entre les trois ? Possible mais coûteuse. Tous supportent l’export utilisateurs en CSV ou via SCIM. Pour la config (apps, flows), refaire à la main.
Plan de scalabilité ? Authentik scale à 10k utilisateurs avec sharding Postgres. Zitadel à 1M facile (cloud-native). Keycloak à 100k+ avec cluster.
Support commercial ? Authentik a une version Enterprise (à partir de 6 USD/user/mois). Zitadel cloud à partir 100 USD/mois. Keycloak via Red Hat support.
Compliance NIST/SOC2 ? Tous trois documentent leur posture. Logs auditables, encryption at rest, RBAC complet.
Future en 2027 ? Tous trois investissent. Authentik focus UX et plugins, Zitadel multi-region, Keycloak modernisation UI.
Pour aller plus loin
- 🔝 Retour au pilier : Guide complet Authentik 2026
- Keycloak : keycloak.org
- Zitadel : zitadel.com