📍 Article principal du cluster : Outline 2026 : guide complet.
Outline supporte nativement OIDC depuis la version 0.65. Brancher sur Authentik unifie les logins de votre stack auto-hébergée : un seul mot de passe pour Outline, Vaultwarden, Forgejo, Coolify, Plausible. Provisioning automatique des nouveaux employés via les groupes Authentik. Ce tutoriel détaille la configuration complète, validée chez plusieurs PME francophones.
Prérequis
- Outline en production avec HTTPS (voir Déployer Outline).
- Authentik en production (voir Déployer Authentik).
- Domaines distincts :
wiki.votre-entreprise.cometauth.votre-entreprise.com. - Niveau attendu : intermédiaire/avancé.
- Temps estimé : 30-45 minutes.
Étape 1 — Créer le Provider OIDC dans Authentik
Authentik admin → Providers → Create → OAuth2/OpenID Provider :
Name: outline-provider
Authentication flow: default-authentication-flow
Authorization flow: default-provider-authorization-explicit-consent
Client type: confidential
Redirect URIs: https://wiki.votre-entreprise.com/auth/oidc.callback
Signing Key: authentik Self-signed Certificate
Scopes: email, profile, openidSauvegarder. Note client_id et client_secret générés.
Étape 2 — Créer l’Application Authentik
Applications → Create :
Name: Outline
Slug: outline
Provider: outline-provider
Launch URL: https://wiki.votre-entreprise.comÉtape 3 — Récupérer les URLs OIDC
Dans Authentik admin, ouvrir le Provider Outline. Copier :
- Authorize URL :
https://auth.votre-entreprise.com/application/o/authorize/ - Token URL :
https://auth.votre-entreprise.com/application/o/token/ - Userinfo URL :
https://auth.votre-entreprise.com/application/o/userinfo/ - JWKS URL :
https://auth.votre-entreprise.com/application/o/outline/jwks/
Étape 4 — Variables d’environnement Outline
Coolify → Outline → Environment :
OIDC_CLIENT_ID=client_id-copié
OIDC_CLIENT_SECRET=client_secret-copié
OIDC_AUTH_URI=https://auth.votre-entreprise.com/application/o/authorize/
OIDC_TOKEN_URI=https://auth.votre-entreprise.com/application/o/token/
OIDC_USERINFO_URI=https://auth.votre-entreprise.com/application/o/userinfo/
OIDC_LOGOUT_URI=https://auth.votre-entreprise.com/application/o/outline/end-session/
OIDC_USERNAME_CLAIM=email
OIDC_DISPLAY_NAME=Authentik
OIDC_SCOPES=openid profile email
OIDC_DISABLE_REDIRECT=falseRedéployer Outline pour prendre en compte.
Étape 5 — Test de login
Mode incognito → https://wiki.votre-entreprise.com. Bouton « Sign in with Authentik » apparaît. Cliquer.
Redirection vers auth.votre-entreprise.com → saisir login + MFA Authentik → consent screen → retour automatique sur Outline, connecté.
Étape 6 — Restreindre l’accès via groupes Authentik
Authentik admin → Applications → Outline → Policy / Group / User Bindings :
Add binding:
- Group: outline-users (ou tous les employés)
- Order: 0Seuls les utilisateurs de ce groupe peuvent ouvrir Outline. Permissions à l’intérieur d’Outline (admin, member, viewer) restent gérées dans Outline.
Étape 7 — Auto-provisioning
Outline crée automatiquement un compte au premier login OIDC. Les nouveaux employés ajoutés au groupe Authentik outline-users obtiennent un compte Outline dès leur premier login. Onboarding zéro effort.
Étape 8 — Logout SSO complet
Outline supporte le SLO (Single Logout) via OIDC_LOGOUT_URI. Cliquer Logout dans Outline déconnecte aussi de Authentik et de toutes les autres apps SSO simultanément.
Étape 9 — Désactiver le login email/password
Une fois SSO testé et fonctionnel pour 3-5 utilisateurs pilote :
EMAIL_LOGIN=false # Variable OutlineTous les utilisateurs sont forcés au SSO Authentik. Sécurité renforcée.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| « Invalid redirect_uri » | URL exacte ne match pas | Vérifier exact dans Authentik Provider, sans slash final |
| « Invalid scope » | Scope non déclaré côté Authentik | Ajouter scope dans Property Mappings |
| SSO marche mais email vide | Claim email non mappé | Vérifier scope email + Property Mapping email |
| Logout pas effectif | OIDC_LOGOUT_URI manquant | Ajouter end-session URL exact |
| Premier login échoue | Autoprovision désactivé | Vérifier Outline accepte création comptes via OIDC |
| Boucle redirection infinie | Cookie domain incompatible | Vérifier base domain Authentik et Outline |
Adaptation au contexte ouest-africain
Trois précisions. Multi-tenant ESN : pour une ESN qui héberge wiki client, créer un Authentik tenant dédié (branding client) + Outline custom domain par client. Conformité audit : logs Authentik + logs Outline ingérés Loki = audit trail complet. ARTCI/CDP demandent typiquement 1 an minimum. Suppression employé : retirer du groupe Authentik = accès Outline coupé immédiat. Données Outline conservées (admin peut transférer/supprimer).
Tutoriels frères
FAQ
SAML 2.0 supporté ? Oui depuis Outline 1.1. Authentik supporte aussi SAML. Préférer OIDC plus moderne.
Multi-IdP ? Outline ne supporte qu’un OIDC provider à la fois. Pour Authentik + Google Workspace, utiliser Authentik comme broker fédéré.
Group sync ? Pas natif dans Outline. Workaround : SCIM via Authentik (custom).
Tester sans casser prod ? Créer un sous-domaine staging de Outline et Authentik. Valider sur staging avant bascule.
Migration depuis Slack login ? Désactiver Slack provider, activer OIDC, premier login utilisateur fusionne automatiquement les comptes par email.
Pour aller plus loin
- 🔝 Retour au pilier : Guide complet Outline 2026
- Documentation Outline OIDC : getoutline.com/developers