Authentik als Identity Provider für LDAP, SAML & OIDC

authentik identity-provider ldap samba saml openid sso docker

In diesem Artikel erweitern wir unsere zentrale Benutzerverwaltung um einen modernen Identity Provider: Authentik. Damit ermöglichen wir Single Sign-On (SSO) für Webanwendungen über Protokolle wie LDAP, SAML und OpenID Connect.

Ziel

  • Authentik als zentrale SSO-Plattform
  • Anbindung an Samba AD via LDAP
  • Bereitstellung von SAML und OIDC für Dienste wie Nextcloud oder Portainer

Voraussetzungen

  • Laufender Samba AD mit LDAP-Zugriff
  • Docker + docker-compose
  • Eigene Domain oder lokale DNS-Zone (z. B. auth.example.lan)

Authentik mit docker-compose installieren

mkdir -p ~/authentik && cd ~/authentik
curl -O https://raw.githubusercontent.com/goauthentik/compose/main/docker-compose.yml

Passe ggf. Ports, Domainnamen und Secrets in der Datei an. Dann starten:

docker-compose up -d

Authentik ist nun unter http://auth.example.lan:9000 verfügbar. Standard-Login: admin@authentik.io, Passwort: authentik (beim ersten Start zu setzen).

Ersteinrichtung von Authentik

  1. Erstelle einen LDAP-Verzeichnisdienst:

    • Typ: Active Directory
    • Host: ldap://ad01.example.lan
    • Base DN: dc=example,dc=lan
    • Bind DN: cn=Administrator,cn=Users,dc=example,dc=lan
    • Passwort: [Admin-Passwort]

  2. Synchronisationszeitplan konfigurieren (z. B. alle 5 Minuten)

  3. Benutzer und Gruppen importieren

Authentifizierung & Autorisierung einrichten

Authentik arbeitet mit:

  • Provider: Definiert, wie sich Benutzer bei externen Diensten anmelden
  • Application: Verbindet einen Dienst (z. B. Nextcloud) mit einem Provider
  • Policy: Kontrolliert Zugriffsrechte (z. B. Gruppenfilter)

Beispiel: OpenID für Nextcloud

  1. Provider → OpenID Connect erstellen
  2. Application → Nextcloud anlegen, mit Provider verbinden
  3. Redirect URIs eintragen: https://cloud.example.lan/index.php/apps/oidc/login
  4. In Nextcloud das OpenID Plugin aktivieren und konfigurieren

Beispiel: SAML für Portainer

  1. Provider → SAML erstellen
  2. Application → Portainer anlegen
  3. SAML-Metadaten exportieren und in Portainer einbinden

Sicherheit & Betrieb

  • HTTPS per Reverse Proxy (Traefik, Caddy, nginx)
  • Admin-Zugriff beschränken
  • Backup der Datenbank und Secrets einplanen

Fazit

Authentik ist ein leistungsfähiger und einfach zu bedienender Identity Provider, der perfekt in unsere zentrale Benutzerverwaltung passt. Mit LDAP-Anbindung und Unterstützung moderner SSO-Protokolle macht er die Verwaltung und Nutzung von Diensten deutlich einfacher.

Im nächsten Artikel kümmern wir uns um FreeRADIUS mit LDAP-Anbindung, um z. B. WLAN- oder VPN-Zugänge sicher und zentral zu authentifizieren.

Bleib dran!

Vorheriger Beitrag Nächster Beitrag