Отключение паролей и двухфакторной аутентификации для локальных пользователей в Authentik #
В некоторых сценариях использование локальных паролей и двухфакторной аутентификации (2FA / MFA) в Authentik избыточно или даже нежелательно. Это может быть актуально для разных сценариев, но для дома постоянная аутентификация явно избыточна.
В это статье опишу процесс отключения корректного отключения парольной аутентификацию и MFA для локальных пользователей в Authentik, но при этом для внешних айпи все останется как было.
Как Authentik обрабатывает аутентификацию #
Аутентификация в Authentik строится на Flows и Stages:
- Flow — это сценарий входа;
- Stage — отдельный шаг внутри сценария;
- Stages выполняются строго в заданном порядке;
- Если этап отсутствует в flow — он не выполняется вообще.
Важно понимать:
в Authentik нет глобального переключателя “включить / выключить пароль”. Всё управляется через flows.
Роль Password Stage и MFA Stage #
- Password Stage отвечает за проверку локального пароля;
- MFA Stage — за TOTP, WebAuthn и другие факторы.
Если:
- Password Stage отсутствует → пароль не запрашивается и не проверяется;
- MFA Stage отсутствует → второй фактор не используется.
Отключение двухфакторной аутентификации в Authentik для локальных пользователей, которые заходят в Authentik по его айпи. #
- Идем Customisation - Policies
- Create - Expression Policy
- Задаем имя политике
- В разделе Expression Policy пишем
return ak_client_ip.is_private. - Create

Более подробно можно почитать официальную документацию
- Идем Flows and Stages - Flows
- Выбираем наш
default-authentication-flow>Stage Bindings - Кликаем на
default-authentication-mfa-validation

- Жмем
Bind existing Policy - В появившемся окне выбираем только что созданную в п. 4 политику
- Обязательно включаем
enableиnegate result

- Create
Теперь в случае, если вы заходите в вашу инстанцию Authentik не по его поддоменному имени, а по айпи Authentik:порт, то вам не надо будет вводить логин и пароль пользователя.
Отключение необходимости ввода пароля при авторизации локальных пользователей с локальных айпи в локальной сети. #
Общий принцип такой же как и прошлом разделе
- Идем Flows and Stages - Flows
- Выбираем
default-authentication-flow>default-authentication-flow>Stage Bindings. - Жмем Edit Stage напротив
default-authentication-identification. - В разделе Password Stage убедитесь что стоит прочерк. Это нужно в случае если вы делали ввод имени пользователя и пароля на одной странице. Если делали, то деактивируйте эту функцию и восстановите соответствущий этап (
default-authentication-password)

-
Выбираем Bind existing Stage
-
В качестве
Stageвыбираем наш default-authentication-password -
Теперь жмем стрелку напротив
default-authentication-password>Bind existing Policy -
Делаем как на скриншоте
