Publiziert: Zuletzt aktualisiert:

authentik

authentik ist ein quelloffener Identity-Provider zum Selbsthosten. Es bündelt den Login aller Anwendungen zu einem zentralen Single Sign-On (SSO) und spricht dafür OIDC, SAML, LDAP, RADIUS, SCIM und Forward-Auth.

Sobald ein Unternehmen mehr als eine Handvoll Anwendungen betreibt, stellt sich die Identitätsfrage: ein Konto pro Dienst, oder eine zentrale Stelle, die Anmeldung, Mehrfaktor und Berechtigungen einmal regelt. Die etablierte Antwort heisst Identity-Provider, und der bekannteste kommerzielle Vertreter ist Okta. authentik beantwortet dieselbe Frage anders, nämlich quelloffen und auf eigener Infrastruktur. Diese Seite beschreibt, was authentik leistet, wie es technisch aufgebaut ist und wo die Grenze zwischen offenem Kern und kostenpflichtiger Enterprise-Edition verläuft.

Selbst betriebene Identitätsschicht

Ein Identity-Provider (IdP) ist die zentrale Instanz, an der sich Nutzer einmal anmelden und danach ohne erneute Anmeldung auf angebundene Anwendungen zugreifen. authentik übernimmt diese Rolle vollständig selbst gehostet. Es verwaltet Nutzer und Gruppen, erzwingt Mehrfaktor-Authentifizierung (MFA) und vermittelt zwischen Anwendungen und externen Identitätsquellen. Das Kernsystem steht unter der MIT-Lizenz und lässt sich vom kleinen Heimlabor bis zum Produktionscluster betreiben. Wer einen bestehenden Cloud-IdP ersetzen will, etwa Okta, Auth0 oder Entra ID, findet in authentik den protokollgleichen, selbst betriebenen Gegenpart.

Die Protokolle

authentik unterstützt die gängigen Authentifizierungsprotokolle und deckt damit nahezu jede Anwendung ab. Welches Protokoll passt, hängt vom anzubindenden Dienst ab:

  • OAuth2 und OIDC. Der moderne Standard für Web- und API-Anwendungen. OpenID Connect (OIDC) setzt eine Identitätsschicht auf OAuth2 und ist der bevorzugte Weg, wenn eine Anwendung ihn direkt versteht.
  • SAML 2.0. Das etablierte Protokoll für Unternehmens-Software, die kein OIDC spricht.
  • LDAP. authentik kann selbst als LDAP-Verzeichnis auftreten und so Altsysteme anbinden, die nur diesen Weg kennen.
  • RADIUS. Für Netzwerk- und VPN-Zugänge.
  • SCIM. Für die automatische Bereitstellung und Deaktivierung von Konten in angebundenen Diensten.
  • Forward-Auth (Proxy). Für Anwendungen ohne eigene SSO-Fähigkeit. authentik schaltet sich als Outpost vor die Anwendung und prüft die Anmeldung am Rand, bevor die Anfrage durchgereicht wird.

Forward-Auth ist der Hebel, mit dem sich auch schwache oder gar nicht SSO-fähige Anwendungen hinter einer einheitlichen Anmeldung absichern lassen. Diese Logik, jeden Zugriff einzeln zu prüfen statt einem Netzwerk pauschal zu vertrauen, ist der Kern eines Zero Trust-Modells.

Der technische Aufbau

authentik wird typischerweise per Docker Compose oder auf Kubernetes betrieben. Die Architektur besteht aus wenigen klar getrennten Bestandteilen:

architecture-beta
    group user(cloud)["Zugriff"]
    group authentik(server)["authentik"]
    group apps(server)["Anwendungen"]
    service browser(cloud)["Browser oder Client"] in user
    service core(server)["Core und Flows"] in authentik
    service worker(server)["Worker"] in authentik
    service db(database)["PostgreSQL"] in authentik
    service outpost(server)["Outposts"] in authentik
    service app(server)["App ohne SSO"] in apps
    service source(server)["OIDC SAML Verzeichnis"] in apps
    browser:R -- L:core
    core:R -- L:db
    core:B -- T:worker
    core:R -- L:outpost
    outpost:R -- L:app
    source:L -- R:core

Der Server enthält den Core, der Anmeldungen, Flows und SSO abwickelt, samt einem eingebetteten Outpost. Der Worker erledigt Hintergrundaufgaben wie Versand und Benachrichtigungen. PostgreSQL hält Konfiguration und Daten; ein Cache-Dienst beschleunigt den Betrieb. Outposts sind vorgelagerte Komponenten, die Proxy-, LDAP- und RADIUS-Anbindungen sowie den web-basierten Fernzugriff (RAC) bereitstellen, ohne den Core zu belasten. Flows modellieren den Anmeldeablauf als konfigurierbare Schrittfolge, von der Passwortprüfung über MFA bis zur Zustimmung. Die Mehrfaktor-Optionen reichen von TOTP über WebAuthn und Passkeys bis zu Hardware-Schlüsseln.

Offener Kern und Enterprise-Edition

authentik folgt einem Open-Core-Modell, und die Grenze ist präzise zu ziehen, weil hier leicht überzeichnet wird. Das offene Kernsystem steht unter MIT-Lizenz, ist vollständig kostenlos und ohne Nutzerobergrenze einsetzbar. Es enthält alle genannten Protokolle (OIDC, SAML, LDAP, RADIUS, SCIM, Kerberos und Proxy), Mehrfaktor sowie den web-basierten RDP- und SSH-Zugriff. Was es nicht enthält, ist herstellerseitiger Support.

Die Enterprise-Edition ergänzt das offene Kernsystem gegen Lizenzgebühr, laut Herstellerangabe ab fünf US-Dollar pro internem Nutzer und Monat. Sie fügt vor allem betriebs- und compliancenahe Funktionen hinzu: Verzeichnis-Synchronisation mit Google Workspace und Microsoft Entra ID, erweitertes Audit-Logging, Authentifizierung per Client-Zertifikat (mTLS), das Einbetten externer OAuth- und SAML-Quellen, exportierbare Berichte sowie ticketbasierten Support für Abonnements ab rund 1000 US-Dollar pro Monat. Entscheidend für eine ehrliche Einordnung: SSO, MFA und Forward-Auth, also der Kern jeder Identitätslösung, gehören zum offenen Teil. Die Enterprise-Edition adressiert Integrationstiefe, Nachweispflichten und Support, nicht die Grundfunktion.

Identitäten bleiben unter eigener Kontrolle

Der eigentliche Unterschied zu einem Cloud-IdP wie Okta liegt nicht im Funktionsumfang, sondern darin, wo Identitäten liegen und wer sie kontrolliert. Bei einem gehosteten Anbieter verlassen Anmeldedaten, Gruppenstrukturen und Zugriffsmuster das eigene Haus. authentik kehrt das um: Der Identitätsbestand bleibt auf eigener Infrastruktur, idealerweise in einem Schweizer Rechenzentrum, und unterliegt damit dem eigenen Zugriff statt einer fremden Vertragslage. Genau das ist der Beitrag eines selbst gehosteten IdP zur digitalen Souveränität: die zentralste aller Datenklassen, die Identität, verlässt die eigene Kontrolle nicht. Wie sich ein solcher IdP in eine Gesamtarchitektur einfügt, ordnet die Security-Strategie ein; die rechtliche Nachweisseite behandelt Compliance.

Einordnung

  • Einsatzbereich. Zentraler Login für Mitarbeiterportale, interne Werkzeuge, Kundenbereiche und API-Absicherung; das Absichern SSO-loser Anwendungen über Forward-Auth.
  • Stärke. Volle Kontrolle über den Identitätsbestand, breite Protokollabdeckung und ein leistungsfähiges, kostenfreies Kernsystem unter MIT-Lizenz.
  • Aufwand. Wie jeder selbst gehostete IdP verlangt authentik fundiertes Wissen über Authentifizierungsprotokolle und sorgfältigen Betrieb; die Flow-Konfiguration ist mächtig, aber nicht trivial.
  • Verwandtschaft. Keycloak löst dieselbe Aufgabe und ist die naheliegende quelloffene Alternative; die Wahl zwischen beiden hängt von Protokollbedarf, Bedienkonzept und vorhandenem Betriebswissen ab.

Referenzen

  • Authentik Security Inc. authentik Dokumentation, Releases. Offizielle Dokumentation des selbst hostbaren Identity-Providers; aktueller Versionsstrang 2026.5. (2026). docs.goauthentik.io/releases/
  • Authentik Security Inc. Pricing. Offizielle Aufstellung von kostenlosem Kernsystem und Enterprise-Edition samt Open-Core-Grenze und Nutzerpreis. (2026). goauthentik.io/pricing/
  • goauthentik authentik Quellcode (MIT-Lizenz). Öffentliches Repository des Identity-Providers mit Lizenz und Protokollübersicht. (2026). github.com/goauthentik/authentik
  • OpenID Foundation OpenID Connect Core 1.0, errata set 2. Die Spezifikation, die OIDC als Identitätsschicht auf OAuth2 definiert. (15.12.2023). openid.net/specs/openid-connect-core-1_0.html

Verwandte Themen

KI fragen

Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.