Зачем вообще нужен Authentik (и что такое IAM / IdP в homelab / продакшене)

Почему нужны решения типа Authentik / IAM / IdP

В базовых системах часто каждый сервис (приложение, веб-интерфейс, API) реализует свою форму логина — свои пользователи, хранение паролей, механизм сессий и т.д. Это порождает:

Дублирование логики аутентификации / авторизации
Разные пароли в разных системах
Большую поверхность ошибок безопасности
Трудности централизованного управления пользователями, MFA, аудитом
Проблемы с единой сессией (SSO) между системами

Решения типа IAM / IdP (Identity Provider) позволяют централизовать аутентификацию и авторизацию: сервисы «делегируют» процесс логина IdP-решению, а IdP выдаёт токен / сессии / утверждения (assertions), которые сервисы доверяют.

В production среде преимущества

Централизованная политика безопасности (MFA, IP-ограничения, временные доступы)
Единый аудит и логирование
Интеграция с LDAP, AD, сторонними OAuth-провайдерами
Масштабируемость: добавление новых сервисов без дублирования аутентификации

В homelab / self-hosted окружении

Контроль над своими данными и паролями
Возможность экспериментировать с политиками и кастомизацией
Единый вход для множества домашних сервисов (Nextcloud, Home Assistant и пр.)
Прокачка инфраструктуры до уровня production

Итог: Authentik — одно из решений, которое сочетает удобство, гибкость и open source-подход, подходя как для домашних лабораторий, так и для production.

Что такое Authentik

Краткий обзор

Authentik — open source / open-core система Identity Provider (IdP) и Single Sign-On (SSO), созданная с упором на гибкость и расширяемость.

Ключевые возможности

Поддержка стандартов: OAuth2 / OIDC, SAML2, LDAP, SCIM, RADIUS
Механизм Flows / Stages для построения сценариев аутентификации
Удобный UI для админа и пользователей
Self-service (регистрация, восстановление пароля, MFA)
Политики условного доступа (conditional access)
API, Terraform, Blueprints — конфигурация как код
Масштабирование от Docker до Kubernetes / Helm
Поддержка внешних провайдеров идентификации

IdP — критически важный элемент безопасности. Authentik нужно регулярно обновлять и мониторить. В 2024 году фиксировались уязвимости, связанные с управлением сертификатами, но они были оперативно устранены.

Основные концепции

Концепция	Описание
Flows / Stages	Логика последовательности аутентификации (пароль, MFA, IP-проверка и т.д.).
Applications / Providers	Настройка приложений и провайдеров входа (OIDC, SAML и др.).
Policy / Conditions	Контроль доступа на основе атрибутов (группа, IP, время суток).
SCIM / LDAP / Federation	Синхронизация пользователей из внешних систем.
Self-Service / Enrollment	Интерфейс для пользователей (смена пароля, MFA и пр.).
Consent / Attribute Mapping	Управление атрибутами, передаваемыми приложениям.
API / Automation	Полная автоматизация конфигураций через API, Terraform, Blueprints.

Преимущества и ограничения

Преимущества

Высокая гибкость и кастомизация (flows, policies).
Поддержка широкого набора протоколов (OIDC, SAML, LDAP, RADIUS).
Подходит для small/medium окружений и Kubernetes-кластеров.
Простой интерфейс по сравнению с Keycloak.
API и Terraform для автоматизации.
Open source — контроль над данными и кодом.

Ограничения

Менее крупное сообщество, чем у Keycloak.
При больших нагрузках может требовать оптимизации.
Требует регулярных обновлений и аудита.
Часть функций доступна только в enterprise-версии.
Настройка flows требует опыта.

Сравнение Authentik с конкурентами

Характеристика	Authentik	Keycloak	Authelia	Auth0 / Okta (SaaS)
Тип решения	Self-host / open core	Self-host / enterprise	Self-host / gateway	SaaS / managed
Поддерживаемые протоколы	OAuth2 / OIDC, SAML2, LDAP, SCIM, RADIUS	OAuth2 / OIDC, SAML2, Kerberos, LDAP / AD	SSO / 2FA, ограниченные протоколы	OAuth2 / OIDC, SAML, social login
Кастомизация	Очень гибкий (flows, policies)	Высокая (plugins)	Простая	Минимальная
Интеграции	LDAP, SCIM, внешние OAuth	LDAP / AD, федерация	LDAP	Много готовых
Установка	Docker, Helm, UI	Java-стек (тяжёлый)	Легковесная	Без установки
Масштабируемость	Средние нагрузки, кластеризация	Enterprise	Малые сценарии	Неограниченно
Сообщество	Молодое, быстрорастущее	Зрелое	Нишевое	Огромное
Безопасность	Требует обновлений	Зрелая	Упрощённая	Высокая (SLA)
Стоимость	Бесплатно / enterprise support	Бесплатно / поддержка Red Hat	Бесплатно	Подписка
Оптимальный кейс	Homelab, SMB, кастомизация	Enterprise	Простые SSO / 2FA	Без администрирования

Authentik часто называют «золотой серединой» между тяжёлыми IAM-решениями и простыми proxy-системами вроде Authelia.

Установка и архитектурные рекомендации

Подходы к установке

Docker Compose — идеально для homelab и тестов
Kubernetes / Helm — для production
Cloud AMI / Marketplace — готовые образы (AWS и др.)

Архитектура и советы

Разделяйте сервисы: PostgreSQL, Redis, Authentik web/worker.
Используйте внешние БД и Redis.
Настройте резервное копирование.
Обеспечьте TLS/HTTPS для интерфейсов.
Настройте мониторинг и обновления.
При необходимости — кластеризация и репликация.

Минимальный пример установки (Docker Compose) версии 2025.10.1

1
---
2
services:
3
  postgresql:
4
    image: docker.io/library/postgres:16-alpine
5
    container_name: authentik_postgres
6
    restart: unless-stopped
7
    healthcheck:
8
      interval: 30s
9
      retries: 5
10
      start_period: 20s
11
      test:
12
      - CMD-SHELL
13
      - pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER}
14
      timeout: 5s
15
    volumes:
16
        - database:/var/lib/postgresql/data
17
    environment:
18
      POSTGRES_PASSWORD: ${PG_PASS:?database password required}
19
      POSTGRES_USER: ${PG_USER:-authentik}
20
      POSTGRES_DB: ${PG_DB:-authentik}
21
    env_file:
22
    - .env
23
    networks:
24
        authentik:
25
#
26
  server:
27
    command: server
28
    depends_on:
29
      postgresql:
30
        condition: service_healthy
31
    env_file:
32
        - .env
33
    image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2025.10.1}
34
    container_name: authentik_server
35
    restart: unless-stopped
36
    environment:
37
        AUTHENTIK_REDIS__HOST: redis
38
        AUTHENTIK_POSTGRESQL__HOST: postgresql
39
        AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
40
        AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
41
        AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS}
42
        TZ: Europe/Moscow
43
    volumes:
44
        - ./media:/media
45
        - ./custom-templates:/templates
46
    networks:
47
        authentik:
48
        proxy:
49
    labels:
50
        - "traefik.enable=true"
51
        - "traefik.http.routers.authentik.entrypoints=web"
52
        - "traefik.http.routers.authentik.rule=Host(`authentik.domain.ru`)"
53
        - "traefik.http.middlewares.authentik-https-redirect.redirectscheme.scheme=https"
54
        - "traefik.http.routers.authentik.middlewares=authentik-https-redirect"
55
        - "traefik.http.routers.authentik-secure.entrypoints=websecure"
56
        ## Individual Application forwardAuth regex (catch any subdomain using individual application forwardAuth)
57
        - "traefik.http.routers.authentik-secure.rule=Host(`authentik.domain.ru`) || HostRegexp(`{subdomain:[a-z0-9]+}.domain.ru`) && PathPrefix(`/outpost.goauthentik.io/`)"
58
        - "traefik.http.routers.authentik-secure.tls=true"
59
        - "traefik.http.routers.authentik-secure.service=authentik"
60
        - "traefik.http.services.authentik.loadbalancer.server.port=9000"
61
        - "traefik.docker.network=proxy"
62
#
63
  worker:
64
    image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2025.10.1}
65
    restart: unless-stopped
66
    command: worker
67
    container_name: authentik_worker
68
    environment:
69
        AUTHENTIK_REDIS__HOST: redis
70
        AUTHENTIK_POSTGRESQL__HOST: postgresql
71
        AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
72
        AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
73
        AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS}
74
        TZ: Europe/Moscow
75
    # `user: root` and the docker socket volume are optional.
76
    # See more for the docker socket integration here:
77
    # https://goauthentik.io/docs/outposts/integrations/docker
78
    # Removing `user: root` also prevents the worker from fixing the permissions
79
    # on the mounted folders, so when removing this make sure the folders have the correct UID/GID
80
    # (1000:1000 by default)
81
    #user: root
82
    volumes:
83
        - /var/run/docker.sock:/var/run/docker.sock
84
        - ./media:/media
85
        - ./certs:/certs
86
        - ./custom-templates:/templates
87
    env_file:
88
        - .env
89
    depends_on:
90
      postgresql:
91
        condition: service_healthy
92
    networks:
93
        proxy:
94
        authentik:
95
#
96
volumes:
97
  database:
98
      driver: local
99
#
100
networks:
101
  proxy:
102
      external: true
103
  authentik:
104
      external: true

1
PG_PASS=pass
2
AUTHENTIK_SECRET_KEY=secret
3
# SMTP Host Emails are sent to
4
AUTHENTIK_ERROR_REPORTING__ENABLED=true
5
AUTHENTIK_EMAIL__HOST=smtp.gmail.com
6
AUTHENTIK_EMAIL__PORT=465
7
# Optionally authenticate (don't add quotation marks to your password)
8
AUTHENTIK_EMAIL__USERNAME=mail@gmail.com
9
AUTHENTIK_EMAIL__PASSWORD=password
10
# Use StartTLS
11
AUTHENTIK_EMAIL__USE_TLS=false
12
# Use SSL
13
AUTHENTIK_EMAIL__USE_SSL=true
14
AUTHENTIK_EMAIL__TIMEOUT=10
15
# Email address authentik will send from, should have a correct @domain
16
AUTHENTIK_EMAIL__FROM=mail@gmail.com
17
AUTHENTIK_ERROR_REPORTING__ENABLED=true

Prohomelab