C'EST QUOI ?
Authelia est un serveur d'authentification et d'autorisation open source qui se branche devant vos applications web via un reverse proxy (nginx, Traefik, Caddy, HAProxy, Envoy). Il fournit un portail SSO, de la 2FA et un fournisseur OpenID Connect pour protéger n'importe quel service self-hosted, y compris ceux qui n'ont aucune gestion d'utilisateurs native.
POURQUOI C'EST INTÉRESSANT ?
- Transparent pour les apps : la vérification se fait au niveau du reverse proxy via forward-auth, vos services restent ignorants de l'auth.
- 2FA sérieuse : TOTP, WebAuthn/Passkeys (FIDO2) et Duo Push, pas juste des SMS.
- OpenID Connect certifié : fournisseur OIDC 1.0 / OAuth 2.0 certifié Basic, Implicit, Hybrid, Form Post et Config OP.
- Contrôle d'accès par règles : ACL fines par sous-domaine, utilisateur, groupe, URI, méthode HTTP et réseau source.
- Prod-ready : backend SQL (MySQL, PostgreSQL, SQLite), Redis pour les sessions, intégrations Kubernetes et support HA.
- Self-hosted et léger : un binaire Go, une image Docker, pas de SaaS intermédiaire à qui confier vos identités.
CAS D'USAGE
- Mettre du SSO et de la 2FA devant un homelab de services self-hosted (Jellyfin, Nextcloud, Grafana, etc.).
- Remplacer un Keycloak jugé trop lourd pour des besoins OIDC modestes.
- Exiger WebAuthn uniquement pour les sous-domaines sensibles (admin, backups) et laisser le reste en simple login.
- Centraliser l'authentification d'un cluster Kubernetes avec nginx-ingress ou Traefik.