Retour aux projets

Problématique

Dans une infrastructure comportant de multiples services, chaque application nécessite une authentification distincte. Cette fragmentation complique la gestion des accès et dégrade l'expérience utilisateur. Il fallait donc centraliser l'authentification via une solution moderne de type SSO.

Authentification Centralisée (SSO)

Déploiement d'Authentik comme Identity Provider dans l'infrastructure BTS

Objectifs du Projet

  • Déployer une solution IAM open source (Authentik) dans l'infrastructure existante
  • Mettre en place un Single Sign-On pour les services internes (Grafana, Portainer, Nextcloud…)
  • Centraliser la gestion des utilisateurs, groupes et permissions (RBAC)
  • Renforcer la sécurité via le MFA et la journalisation des accès

Architecture du Système

Internet / Utilisateur
Reverse Proxy (Cloudpanel)
Authentik — Identity Provider

Grafana

Portainer

Nextcloud

GitLab

L'utilisateur s'authentifie une seule fois → accès à tous les services autorisés

Stack Technologique

Authentik OIDC / OAuth2 SAML LDAP Docker MFA / TOTP

Principales Contraintes

  • Intégration avec les services existants (OIDC, LDAP)
  • Configuration des flows d'authentification
  • Gestion des permissions par groupe (RBAC)
  • Haute disponibilité et sécurisation des tokens

Chiffres Clés

Durée totale : 1 mois

Janvier 2026

Services intégrés : 4+

Protocoles supportés : 4

OIDC, OAuth2, SAML, LDAP

Flux d'Authentification SSO

1

Accès à une application

L'utilisateur tente d'accéder à Grafana, Portainer ou tout autre service protégé.

2

Redirection vers Authentik

Le reverse proxy intercepte la requête et redirige l'utilisateur vers le portail Authentik.

3

Authentification + MFA

L'utilisateur saisit ses identifiants. Si le MFA est activé, un code TOTP est demandé en supplément.

4

Vérification des permissions

Authentik vérifie le groupe de l'utilisateur et accorde ou refuse l'accès selon les politiques RBAC définies.

5

Accès accordé

L'utilisateur est redirigé vers l'application avec un token valide. La session est partagée entre tous les services.

Gestion des Accès par Groupes (RBAC)

Groupe Grafana Portainer Nextcloud Admin Authentik
Admins ✓ Oui ✓ Oui ✓ Oui ✓ Oui
DevOps ✓ Oui ✓ Oui ✗ Non ✗ Non
Utilisateurs ✗ Non ✗ Non ✓ Oui ✗ Non

Résultats Mesurés

Authentification unifiée

Un seul login pour accéder à l'ensemble des services de l'infrastructure

Sécurité renforcée

MFA activé, journalisation complète des connexions et tentatives échouées

Gestion centralisée des accès

Politique RBAC par groupe, révocation immédiate des droits depuis un point unique

Intégration complète

Authentik s'intègre nativement avec les services déployés via OIDC et LDAP

← Projet précédent Projet suivant →