SSO mit Authentik: SAML und OAuth/OpenID in der Praxis

authentik saml openid oauth sso nextcloud portainer openvpn immich ivanti

Zentrale Anmeldung über Single Sign-On (SSO) ist ein wichtiger Baustein in einer modernen IT-Infrastruktur. In diesem Artikel zeige ich dir, wie du mit Authentik als zentralem Identity Provider (IdP) SSO-Zugänge per SAML oder OAuth/OpenID Connect umsetzt.

Ziel

  • Dienste zentral authentifizieren lassen
  • Komfort für Benutzer erhöhen
  • Sicherheit durch zentrale Kontrolle und Multifaktor-Optionen verbessern

Voraussetzungen

  • Ein eingerichtetes Authentik-System mit LDAP-Anbindung (siehe Artikel 4)
  • Dienste, die SAML oder OpenID unterstützen
  • Zugriff auf DNS und ggf. Reverse Proxy

Beispiel: Portainer mit OAuth/OpenID

  1. OAuth-Provider in Authentik anlegen

    • Applications → Create
    • Protocol: OAuth2/OpenID
    • Redirect URI: https://portainer.example.lan/oauth/callback

  2. Client in Portainer konfigurieren

    • Einstellungen → Authentifizierung → OAuth aktivieren
    • Client ID, Secret und Authentik-URLs eintragen

  3. Gruppen-Mapping optional hinzufügen

    • z. B. Portainer-Admins via LDAP-Gruppe automatisch vergeben

Beispiel: Nextcloud mit SAML

  1. SAML Application in Authentik anlegen

    • Applications → Create
    • Protocol: SAML
    • ACS URL: https://cloud.example.lan/index.php/apps/user_saml/saml/acs
    • Entity ID & Metadata exportieren

  2. SAML in Nextcloud aktivieren

    • App „SSO & SAML“ aktivieren
    • Daten aus Authentik eintragen

  3. Benutzer-Attribute mappen

    • uid, email, displayName, ggf. Gruppen

Beispiel: OpenVPN Access Server

  1. OAuth-Anwendung in Authentik anlegen

    • Redirect URI: https://vpn.example.lan/__auth/callback

  2. OpenVPN AS konfigurieren

    • Admin UI → Authentication → SSO via OAuth aktivieren

Hinweis: Möglicherweise ist ein Custom-Template oder Proxy-Anpassung notwendig, je nach OpenVPN-Version.

Beispiel: Immich

  1. OAuth/OpenID-Integration aktivieren

    • Authentik: neue Anwendung anlegen
    • Redirect URI: https://immich.example.lan/auth/login-callback

  2. Immich konfigurieren

    • .env bzw. Konfigurationsdateien anpassen (Client-ID, -Secret, Discovery URL)

Beispiel: Ivanti Connect Secure (früher Pulse Secure)

Achtung: kommerzielles Produkt – ggf. zusätzliche Lizenz erforderlich

  1. SAML oder OAuth je nach unterstützter Version konfigurieren
  2. Authentik-Metadaten importieren
  3. Gruppen-Mapping definieren (z. B. Zugriff auf bestimmte VPN-Realms)

Fazit

Mit Authentik als zentralem IdP kannst du eine Vielzahl von Diensten in deine zentrale Benutzerverwaltung einbinden. Neben dem Komfortgewinn für Nutzer\:innen ergibt sich daraus auch eine klarere Sicherheitsarchitektur.

Im nächsten Artikel erweitern wir das Setup um moderne Login-Mechanismen wie Passkeys mit PocketID.

Bleib dran!

Vorheriger Beitrag Nächster Beitrag