Перейти к основному содержимому
  1. Posts/

Отключение паролей и двухфакторной аутентификации для локальных пользователей в Authentik

·373 слов·2 минут· loading · loading · · Черновик
Stilicho2011
Автор
Stilicho2011
Пишу о homelab, self-hosting, автоматизации и open-source решениях
Оглавление
Authentik - This article is part of a series.
Part : This Article

Отключение паролей и двухфакторной аутентификации для локальных пользователей в Authentik
#

В некоторых сценариях использование локальных паролей и двухфакторной аутентификации (2FA / MFA) в Authentik избыточно или даже нежелательно. Это может быть актуально для разных сценариев, но для дома постоянная аутентификация явно избыточна.

В это статье опишу процесс отключения корректного отключения парольной аутентификацию и MFA для локальных пользователей в Authentik, но при этом для внешних айпи все останется как было.


Как Authentik обрабатывает аутентификацию
#

Аутентификация в Authentik строится на Flows и Stages:

  • Flow — это сценарий входа;
  • Stage — отдельный шаг внутри сценария;
  • Stages выполняются строго в заданном порядке;
  • Если этап отсутствует в flow — он не выполняется вообще.

Важно понимать:
в Authentik нет глобального переключателя “включить / выключить пароль”. Всё управляется через flows.


Роль Password Stage и MFA Stage
#

  • Password Stage отвечает за проверку локального пароля;
  • MFA Stage — за TOTP, WebAuthn и другие факторы.

Если:

  • Password Stage отсутствует → пароль не запрашивается и не проверяется;
  • MFA Stage отсутствует → второй фактор не используется.

Отключение двухфакторной аутентификации в Authentik для локальных пользователей, которые заходят в Authentik по его айпи.
#

  1. Идем Customisation - Policies
  2. Create - Expression Policy
  3. Задаем имя политике
  4. В разделе Expression Policy пишем return ak_client_ip.is_private.
  5. Create
    Authentik login screen
Note

Более подробно можно почитать официальную документацию

  1. Идем Flows and Stages - Flows
  2. Выбираем наш default-authentication-flow > Stage Bindings
  3. Кликаем на default-authentication-mfa-validation
Authentik login screen
  1. Жмем Bind existing Policy
  2. В появившемся окне выбираем только что созданную в п. 4 политику
  3. Обязательно включаем enable и negate result
Authentik login screen
  1. Create

Теперь в случае, если вы заходите в вашу инстанцию Authentik не по его поддоменному имени, а по айпи Authentik:порт, то вам не надо будет вводить логин и пароль пользователя.

Отключение необходимости ввода пароля при авторизации локальных пользователей с локальных айпи в локальной сети.
#

Общий принцип такой же как и прошлом разделе

  1. Идем Flows and Stages - Flows
  2. Выбираем default-authentication-flow > default-authentication-flow > Stage Bindings.
  3. Жмем Edit Stage напротив default-authentication-identification.
  4. В разделе Password Stage убедитесь что стоит прочерк. Это нужно в случае если вы делали ввод имени пользователя и пароля на одной странице. Если делали, то деактивируйте эту функцию и восстановите соответствущий этап (default-authentication-password)
Authentik login screen
  1. Выбираем Bind existing Stage

  2. В качестве Stage выбираем наш default-authentication-password

  3. Теперь жмем стрелку напротив default-authentication-password > Bind existing Policy

  4. Делаем как на скриншоте

Authentik login screen
Authentik - This article is part of a series.
Part : This Article

Related

Настройка Cloudflare Turnstile для защиты формы входа в Authentik без CAPTCHA

·522 слов·3 минут· loading · loading
Подробное руководство по настройке Cloudflare Turnstile — современной альтернативы CAPTCHA для защиты форм входа, регистрации и восстановления пароля без ухудшения пользовательского опыта.