📍 Article principal de la série : Authentik 2026 : guide pratique.
Les trois grands Identity Providers open source en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer) sont Authentik, Keycloak et Zitadel. Tous trois capables de gérer SSO, MFA, OIDC, SAML pour une PME ou enterprise. Mais lequel choisir ? Cet article tranche en 8 critères concrets, avec retours terrain de PME francophones d’Afrique de l’Ouest.
Méthodologie
Tests sur 3 instances déployées sur Hetzner CX23 identiques. Charge : 50 utilisateurs simulés via k6, 200 logins/jour, 8 applications connectées. Mesures : temps installation, mémoire, latence login, simplicité config.
Critère 1 — Empreinte mémoire
| Solution | RAM idle | RAM 50 utilisateurs |
|---|---|---|
| Authentik | 1.2 Go | 1.5 Go |
| Keycloak (JVM) | 1.8 Go | 2.4 Go |
| Zitadel (Go) | 320 Mo | 580 Mo |
Verdict : Zitadel l’emporte largement. Idéal pour VPS petit. Keycloak demande clairement plus de ressources.
Critère 2 — Latence login p95
| Solution | p50 | p95 |
|---|---|---|
| Zitadel | 120 ms | 280 ms |
| Authentik | 180 ms | 410 ms |
| Keycloak | 240 ms | 520 ms |
Verdict : Zitadel devant, Keycloak derrière. Sur le terrain africain (latence réseau ajoutée), Zitadel est perçu plus réactif.
Critère 3 — Temps de mise en place initial
| Solution | Installation Coolify | Premier SSO connecté |
|---|---|---|
| Authentik | 20 min | 40 min |
| Zitadel | 30 min | 50 min |
| Keycloak | 45 min | 1h30 |
Critère 4 — UI d’administration
Authentik : UI moderne, custom flows graphiques, drag-and-drop pour personnaliser le login.
Zitadel : UI propre, axée multi-tenancy (B2B SaaS), moins flexible visuellement.
Keycloak : UI fonctionnelle mais datée, basée sur React mais ergonomie héritée 2015.
Critère 5 — Protocoles supportés
| Protocole | Authentik | Keycloak | Zitadel |
|---|---|---|---|
| OIDC | ✅ | ✅ | ✅ |
| SAML 2.0 | ✅ | ✅ | ✅ |
| LDAP source | ✅ | ✅ | ❌ (planifié) |
| SCIM 2.0 | ✅ (out + in) | ✅ | ✅ |
| RADIUS | ✅ | ❌ (plugin) | ❌ |
| Kerberos | ❌ | ✅ | ❌ |
| Forward Auth | ✅ (Outpost) | ❌ | ❌ |
Critère 6 — Multi-tenancy
Zitadel : roi du multi-tenant, conçu pour B2B SaaS, organisations imbriquées, branding par tenant.
Authentik : tenants par domaine, branding distinct, mais limité à 50 tenants en pratique.
Keycloak : « realms » équivalents tenants, complexe à administrer mais robuste.
Critère 7 — Communauté et maturité
| Solution | GitHub stars | Contributors | Releases/an |
|---|---|---|---|
| Authentik | 15 800 | 180 | 12 (mensuelles) |
| Keycloak | 23 400 | 650 | 4 (trimestrielles) |
| Zitadel | 11 200 | 110 | 20 (rapides) |
Critère 8 — Cas d’usage où chacun brille
Authentik est le meilleur quand : PME 5-100 employés, mix d’apps SaaS et auto-hébergées, besoin de Forward Auth (Outpost), customisation visuelle des flows.
Zitadel est le meilleur quand : SaaS multi-tenant, performance critique, équipe Go/Cloud-native, < 500 utilisateurs avec scaling prévu.
Keycloak est le meilleur quand : Enterprise > 1000 utilisateurs, contraintes Kerberos/AD complexes, équipe Java existante, besoin de plugins custom.
Verdict pour les PME ouest-africaines
Pour la grande majorité des PME francophones d’Afrique de l’Ouest et du Maghreb (5-100 employés), Authentik est le meilleur choix : équilibre entre simplicité, fonctionnalités, et coût. Mise en place en 1 journée pour bénéfices durables.
Pour les éditeurs SaaS B2B ciblant plusieurs clients : Zitadel, son multi-tenancy est imbattable.
Pour les enterprises avec AD existant et > 500 utilisateurs : Keycloak, son intégration Kerberos justifie la complexité.
Erreurs fréquentes dans le choix
| Erreur | Cause | Solution |
|---|---|---|
| Keycloak pour 20 utilisateurs | Sur-ingénierie | Authentik suffit |
| Authentik pour SaaS 100 tenants | Limites multi-tenancy | Zitadel |
| Zitadel pour Vaultwarden Forward Auth | Pas de Outpost | Authentik ou Authelia |
| Migration tardive | Sous-estimé volume données | Planifier dès le début |
Spécificités ouest-africaines à connaître
Pour une PME africaine type (10-50 employés), les critères qui comptent vraiment : empreinte mémoire (VPS = budget contraint), simplicité d’admin (équipe IT petite), coût zéro logiciel. Sur ces 3 critères, Authentik et Zitadel se valent. Authentik gagne sur la richesse fonctionnelle (LDAP, RADIUS, Outpost). Zitadel gagne sur la performance pure et le multi-tenancy. Choisir Authentik par défaut, Zitadel si vous êtes éditeur SaaS, jamais Keycloak avant 200 utilisateurs.
Tutoriels frères
FAQ
Migration entre les trois ? Possible mais coûteuse. Tous supportent l’export utilisateurs en CSV ou via SCIM. Pour la config (apps, flows), refaire à la main.
Plan de scalabilité ? Authentik scale à 10k utilisateurs avec sharding Postgres. Zitadel à 1M facile (cloud-native). Keycloak à 100k+ avec cluster.
Support commercial ? Authentik a une version Enterprise (à partir de 6 USD/user/mois). Zitadel cloud à partir 100 USD/mois. Keycloak via Red Hat support.
Compliance NIST/SOC2 ? Tous trois documentent leur posture. Logs auditables, encryption at rest, RBAC complet.
Future en 2027 ? Tous trois investissent. Authentik focus UX et plugins, Zitadel multi-region, Keycloak modernisation UI.
Dans la continuité
- 🔝 Retour au guide général : guide pratique Authentik 2026
- Keycloak : keycloak.org
- Zitadel : zitadel.com
Où héberger votre projet web ?
Hostinger propose des plans dimensionnés pour les freelances et PME. Lien d’affiliation — pas de surcoût pour vous.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Pourquoi comparer Authentik, Keycloak et Zitadel en 2026
Choisir un Identity Provider self-hosted en 2026 revient a arbitrer entre trois projets matures — Keycloak (Red Hat, 2014), Authentik (community, 2018) et Zitadel (Caos AG suisse, 2020). Les trois supportent SAML 2.0, OIDC et SCIM — la difference se fait sur l’ergonomie de l’admin, la consommation memoire, la qualite de la doc et le modele de support commercial. Pour une agence basee a Dakar ou Abidjan qui ne dispose pas d’un Red Hat consultant a portee, ces criteres pratiques pesent autant que les features papier.
Cet article compare les trois sur 9 axes operationnels reels, testes sur un VPS Hetzner identique pour chaque solution. L’objectif n’est pas de couronner un gagnant universel mais de vous aider a faire le bon choix selon votre contexte.
Etape 1 — Critere installation et premier login
Authentik se deploie en 4 conteneurs Docker Compose et le premier admin est cree via une URL imprimee dans les logs en 3 minutes chrono. Keycloak demande un setup manuel du realm master, de la base PostgreSQL et du theme par defaut — comptez 15 a 20 minutes la premiere fois. Zitadel propose un mode quickstart impressionnant avec un seul binaire Go autonome — premier login en moins de 90 secondes.
Verdict installation — Zitadel gagne sur la rapidite, Authentik sur l’equilibre simplicite/flexibilite, Keycloak penalise les debutants.
Etape 2 — Critere consommation memoire au repos
Sur un VPS 4 Go RAM avec 50 utilisateurs et 20 applications declarees, la mesure docker stats retourne :
Authentik (server + worker + redis + postgres) : 850 Mo
Keycloak (jar Java + postgres) : 1,2 Go
Zitadel (binaire Go + postgres) : 420 MoZitadel domine grace a Go. Keycloak reste lourd a cause de la JVM mais reste sous le Go avec un GC bien tune. Authentik se positionne au milieu — acceptable sur un CX22 mais saturera un VPS a 2 Go RAM.
Etape 3 — Critere ergonomie de l’admin UI
L’interface Authentik adopte le pattern Flow / Stage / Policy / Binding — extremement puissant mais necessite 2 a 3 heures pour comprendre la logique. Keycloak utilise Realm > Clients > Roles, plus classique mais avec une UI vieillissante en 2026 (le rebrand Quarkus a ameliore les choses sans tout corriger). Zitadel propose la console la plus moderne (React Material) avec une courbe d’apprentissage la plus douce — 30 minutes suffisent pour configurer un premier OIDC client.
Pour une equipe non specialiste IAM, Zitadel est le moins frustrant. Pour des cas avances type ABAC, Authentik prend l’avantage.
Etape 4 — Critere connecteurs SAML et OIDC pretes a l’emploi
Authentik fournit 50+ providers preconfigures dans son catalogue (Slack, AWS, Atlassian, Discord, Sentry, etc.) — un clic suffit pour generer les bons endpoints. Keycloak n’a pas de catalogue mais sa communaute publie des templates JSON sur GitHub. Zitadel a une approche minimaliste — vous configurez OIDC manuellement avec les bons scopes, ce qui est plus rapide quand on connait deja les protocoles.
Verdict connecteurs — Authentik gagne pour les agences qui integrent vite des SaaS varies. Zitadel et Keycloak conviennent mieux aux equipes qui maitrisent OIDC.
Etape 5 — Critere LDAP et synchronisation Active Directory
Keycloak reste le champion historique du LDAP — sa fonction User Federation synchronise un AD on-prem avec mapping d’attributs avance et bidirectionnel si on l’autorise. Authentik supporte LDAP en lecture seule via un Source — suffisant pour de nombreux cas mais limite si vous voulez ecrire dans l’AD. Zitadel n’a pas de support LDAP natif en 2026 — il faut passer par un broker SAML/OIDC intermediaire.
Si votre infrastructure repose sur Active Directory, Keycloak reste le choix le plus pragmatique.
Etape 6 — Critere qualite de la documentation
La doc Zitadel est la plus moderne en 2026 — exemples copy-paste, snippets fonctionnels en 8 langages, scenarios B2B et B2C separes. La doc Keycloak est exhaustive mais sa structure heritee de WildFly noie le lecteur dans les details JBoss. La doc Authentik est claire et bien illustree mais souvent en retard d’une release sur les nouvelles features Flow.
Etape 7 — Critere modele commercial et support payant
Keycloak propose le support enterprise via Red Hat Build of Keycloak — environ 4 000 USD / coeur / an, pertinent uniquement pour les grandes structures. Authentik a une edition Enterprise avec features avancees (RAC, multi-tenancy avance) facturee a partir de 5 USD par utilisateur. Zitadel propose un cloud manage Zitadel Cloud a partir de 100 EUR / mois pour les equipes qui veulent du self-service avec SLA.
Pour une agence Senegal/Cote d’Ivoire bootstrappee, les editions community des trois suffisent largement jusqu’a 100 utilisateurs.
Etape 8 — Critere ecosysteme et roadmap 2026
Authentik publie une release majeure tous les 2 mois et a recu 18 millions USD de financement en 2024 — la roadmap est ambitieuse (mobile SDK natifs, passwordless avance). Keycloak est sponsorise par Red Hat depuis l’acquisition par IBM, garantissant la perennite mais ralentissant l’innovation. Zitadel a leve 18 millions USD en 2024 egalement et investit massivement sur les certifications FAPI et le passkey natif.
Etape 9 — Recommandation par profil d’usage
Pour une agence qui demarre un SSO sans expert IAM en interne — choisissez Zitadel pour la rapidite de prise en main et la console moderne. Pour une agence avec beaucoup de SaaS heterogenes a integrer rapidement — choisissez Authentik pour son catalogue de providers. Pour une grande structure avec Active Directory historique et besoin de support enterprise certifie — choisissez Keycloak via la build Red Hat.
Notre choix par defaut chez les freelances et petites agences ouest-africaines reste Authentik en 2026 — meilleur compromis entre simplicite, puissance et catalogue d’integrations pretes a l’emploi.
Cout total de possession sur 12 mois
Sur un VPS Hetzner CPX21 (8 600 FCFA / mois) avec 50 utilisateurs, les trois solutions tournent confortablement. Le seul vrai cout est le temps d’apprentissage initial — environ 4 heures pour Zitadel, 8 heures pour Authentik, 16 heures pour Keycloak la premiere fois. Multipliez par votre taux journalier pour comparer.
Lectures complémentaires, consultez notre tutoriel Authentik SSO pour vos apps SaaS et notre guide cybersecurite Afrique francophone.