Authentik: Modernes Identity Management für Unternehmen
Tim HasenkampSingle Sign-On, Zwei-Faktor-Authentifizierung und Benutzerverwaltung - wie Sie mit Authentik Ihre IT-Sicherheit verbessern.
Das Problem: Passwort-Chaos
Jeder kennt es: Dutzende Accounts, ebenso viele Passwörter, ständige Login-Bildschirme. Für Unternehmen bedeutet das nicht nur frustrierte Mitarbeiter, sondern auch erhebliche Sicherheitsrisiken.
Typische Probleme
- Passwort-Wiederverwendung: Das gleiche Passwort für mehrere Dienste
- Schwache Passwörter: "Firma123" ist keine Seltenheit
- Onboarding-Aufwand: Neue Mitarbeiter brauchen Zugang zu 10+ Systemen
- Offboarding-Risiko: Accounts werden vergessen und nicht deaktiviert
- Keine Übersicht: Wer hat Zugang zu welchen Systemen?
Was ist Authentik?
Authentik ist eine Open-Source Identity-Provider-Lösung, entwickelt in Deutschland. Sie ermöglicht zentrale Benutzerverwaltung, Single Sign-On (SSO) und Zwei-Faktor-Authentifizierung für alle Ihre Anwendungen.
Vergleich mit Alternativen
| Feature | Authentik | Keycloak | Okta | Azure AD |
|---|---|---|---|---|
| Open Source | Ja | Ja | Nein | Nein |
| Self-Hosting | Ja | Ja | Nein | Eingeschränkt |
| Moderne UI | Exzellent | Okay | Gut | Gut |
| Einrichtung | Einfach | Komplex | Mittel | Komplex |
| Kosten | Kostenlos | Kostenlos | Teuer | Teuer |
| DSGVO | Volle Kontrolle | Volle Kontrolle | US-Cloud | US-Cloud |
Kernfunktionen
Single Sign-On (SSO)
Mit SSO melden sich Benutzer einmal an und haben Zugang zu allen verbundenen Anwendungen.
Unterstützte Protokolle:
- SAML 2.0: Für Enterprise-Anwendungen
- OAuth2/OIDC: Für moderne Web-Apps
- LDAP: Für Legacy-Systeme
- Proxy: Für Anwendungen ohne SSO-Support
Multi-Faktor-Authentifizierung (MFA)
Authentik unterstützt verschiedene MFA-Methoden:
| Methode | Sicherheit | Benutzerfreundlichkeit |
|---|---|---|
| TOTP (Authenticator Apps) | Hoch | Gut |
| WebAuthn/FIDO2 | Sehr hoch | Sehr gut |
| SMS | Mittel | Sehr gut |
| Mittel | Gut | |
| Static Tokens | Niedrig | Als Backup |
Flows und Policies
Authentiks größte Stärke ist die Flexibilität durch Flows und Policies:
Flows definieren den Ablauf von Authentifizierungsprozessen. Sie können für verschiedene Szenarien angepasst werden: Login, Registrierung, Passwort-Reset, etc.
Policies steuern, wer was darf. Beispiele: Nur Mitarbeiter der IT-Abteilung dürfen Admin-Panels nutzen. Externes Login nur mit MFA.
Installation
Docker-Installation
Authentik wird am besten mit Docker Compose installiert. Die offiziellen Docker-Images sind gut gepflegt und regelmäßig aktualisiert.
Erstellen Sie eine docker-compose.yml mit den Services für Authentik Server, Worker, PostgreSQL und Redis.
Erste Konfiguration
Nach dem Start erreichen Sie Authentik unter Ihrer konfigurierten URL und erstellen einen Admin-Account.
Anwendungen einbinden
OIDC-Anwendung (z.B. Nextcloud)
- In Authentik: Neue Application erstellen
- Provider: OAuth2/OpenID Provider wählen
- Redirect-URIs konfigurieren
- Client-ID und Secret kopieren
- In Nextcloud: OIDC-App installieren und konfigurieren
SAML-Anwendung
Für Enterprise-Anwendungen wie Salesforce oder SAP nutzen Sie SAML. Authentik generiert die benötigten Metadaten automatisch.
Proxy-Provider
Für Anwendungen ohne native SSO-Unterstützung bietet Authentik einen Proxy-Provider. Dieser schaltet sich vor die Anwendung und übernimmt die Authentifizierung.
Benutzer und Gruppen
Benutzerquellen
Authentik kann Benutzer aus verschiedenen Quellen importieren:
- Lokale Benutzer: Direkt in Authentik angelegt
- LDAP/Active Directory: Synchronisation mit bestehendem Verzeichnis
- SCIM: Automatische Provisionierung
- Social Logins: Google, GitHub, etc. (für externe Benutzer)
Gruppenverwaltung
Gruppen vereinfachen die Rechteverwaltung:
- Mitarbeiter: Zugang zu Standard-Anwendungen
- IT-Admin: Zusätzlicher Zugang zu Admin-Tools
- Extern: Eingeschränkter Zugang für Partner
Attribute Mapping
Mit Attribute Mapping können Sie Benutzerdaten an Anwendungen weitergeben. Zum Beispiel E-Mail, Abteilung oder Jobtitel.
Sicherheits-Features
Brute-Force-Schutz
Authentik blockiert automatisch nach mehreren Fehlversuchen. Sie können die Schwellenwerte und Sperrdauer anpassen.
Audit-Logging
Alle Authentifizierungsvorgänge werden protokolliert:
- Erfolgreiche und fehlgeschlagene Logins
- MFA-Nutzung
- Policy-Entscheidungen
- Admin-Aktionen
Session Management
Benutzer können ihre aktiven Sessions einsehen und bei Bedarf beenden. Administratoren haben eine Übersicht aller Sessions.
Conditional Access
Policies können Zugriff basierend auf Kontext einschränken:
- IP-basiert: Nur aus dem Firmennetz
- Zeitbasiert: Nur während der Arbeitszeit
- Gerätebasiert: Nur von verwalteten Geräten
- Risikobasiert: MFA bei ungewöhnlichem Verhalten
Best Practices
Implementierung
- Pilot-Gruppe: Erst mit kleiner Gruppe testen
- Schrittweise Migration: Anwendung für Anwendung
- Dokumentation: Alle Konfigurationen dokumentieren
- Schulung: Benutzer über SSO und MFA informieren
- Support-Prozesse: Helpdesk auf häufige Fragen vorbereiten
Sicherheit
| Empfehlung | Priorität |
|---|---|
| MFA für alle Benutzer | Kritisch |
| Starke Passwort-Policy | Kritisch |
| Regelmäßige Audits | Hoch |
| Session-Timeouts | Hoch |
| Recovery-Prozesse | Hoch |
| Admin-Accounts schützen | Kritisch |
Hochverfügbarkeit
Für produktive Umgebungen empfehlen wir eine hochverfügbare Konfiguration mit mehreren Authentik-Instanzen hinter einem Load Balancer, Datenbank-Replikation und Redis-Cluster.
Migration von anderen Systemen
Von LDAP/Active Directory
- LDAP-Source in Authentik konfigurieren
- Benutzer und Gruppen synchronisieren
- Anwendungen schrittweise umstellen
- Parallel-Betrieb für Übergangszeit
- LDAP nach Migration optional beibehalten
Von anderen IdPs
Authentik kann Benutzer aus anderen Identity Providern importieren. Bei der Migration behalten Benutzer ihre Passwörter nicht - ein Passwort-Reset ist erforderlich.
Fazit
Authentik ist eine ausgereifte, moderne Identity-Management-Lösung, die Enterprise-Features mit Open-Source-Philosophie verbindet.
Die wichtigsten Vorteile
- Zentrale Kontrolle: Eine Stelle für alle Benutzer und Zugänge
- Verbesserte Sicherheit: MFA und SSO für alle Anwendungen
- Reduzierter Aufwand: On-/Offboarding in Minuten statt Stunden
- Compliance: Audit-Logs und DSGVO-Konformität
- Kostenersparnis: Open Source ohne Lizenzkosten
Möchten Sie Ihre Benutzerverwaltung modernisieren? Kontaktieren Sie uns für eine unverbindliche Beratung.
Tim Hasenkamp
Gründer & IT-Berater bei hasenkamp solutions
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihrem Projekt.