ADMIN

2024

10

2024-09-29T12:00:00

Identitäts- und Datenschutz

TESTS

014

Identitätsschutz

Identitätsanbieter

authentik 2024.6

Schlüssel in eigenen Händen

von Dr. Christian Knermann

Veröffentlicht in Ausgabe 10/2024 - TESTS

Das Open-Source-Projekt authentik positioniert sich als Identity-Provider, der die Zugänge zu einer Vielzahl an Applikationen und Diensten konsolidiert. Die Software punktet mit einfacher Installation und Konfiguration, ohne die Kontrolle über die Identitäten abzugeben. IT-Administrator hat authentik in der Praxis erprobt und war von der simplen Konfiguration und der breiten Unterstützung begeistert.

Aufgrund der herausgehobenen Bedeutung der Identitäten steigen die Risiken von Diebstahl, Missbrauch und Kompromittierung kontinuierlich, seien diese verursacht durch Cyberangriffe, Datenschutzverletzungen oder auch menschliche Fehler. Um die Sicherheit und Effizienz der Benutzeridentitäten zu gewährleisten, benötigen Admins und Entwickler einen robusten und flexiblen Identity-Provider (IdP), der ihnen die volle Kontrolle über die Authentifizierung, Autorisierung und Verwaltung ihrer Benutzer bietet. Ein Identitätsmanagement mit Single Sign-on (SSO), möglichst abgesichert durch Multifaktor-Authentifizierung (MFA) und moderne Anmeldemethoden wie Security-Token oder Passkeys, ist das Gebot der Stunde.
Alternative zum Vendor-Lock-in
Für diese Aufgabe bringen sich die großen Hyperscaler in Stellung, die in ihren Public-Cloud-Angeboten neben zahlreichen Diensten auch gleich einen eigenen IdP betreiben. Der bindet jeweils neben dem Zugriff auf die hauseigenen Cloudangebote über gängige Protokolle auch Systeme anderer Anbieter und solche in privaten Clouds an. Und so buhlen die Cloudprovider um die Gunst der Kunden, ihrem IdP den Vorzug bei der zentralen Verwaltung aller Identitäten im Unternehmen zu geben. Daneben werben weitere kommerzielle Anbieter mit dedizierten Diensten für das Identitäts- und Zugriffsmanagement aus der Cloud.
All diese Angebote haben den Vorteil, dass sich Admins nicht um Installation und Betrieb eigener Server und Dienste kümmern müssen. Kehrseite der Medaille ist, dass die etablierten Anbieter ihre Dienste nicht quelloffen bereitstellen und erweiterte Sicherheitsfunktionen oft an zusätzliche Lizenzkosten knüpfen, verbunden mit einem drohenden Vendor-Lock-in. Dieses Phänomen bezeichnet die Abhängigkeit von einem Anbieter, die einen Wechsel zu einem anderen Produkt sehr schwer bis unmöglich macht.
Aufgrund der herausgehobenen Bedeutung der Identitäten steigen die Risiken von Diebstahl, Missbrauch und Kompromittierung kontinuierlich, seien diese verursacht durch Cyberangriffe, Datenschutzverletzungen oder auch menschliche Fehler. Um die Sicherheit und Effizienz der Benutzeridentitäten zu gewährleisten, benötigen Admins und Entwickler einen robusten und flexiblen Identity-Provider (IdP), der ihnen die volle Kontrolle über die Authentifizierung, Autorisierung und Verwaltung ihrer Benutzer bietet. Ein Identitätsmanagement mit Single Sign-on (SSO), möglichst abgesichert durch Multifaktor-Authentifizierung (MFA) und moderne Anmeldemethoden wie Security-Token oder Passkeys, ist das Gebot der Stunde.
Alternative zum Vendor-Lock-in
Für diese Aufgabe bringen sich die großen Hyperscaler in Stellung, die in ihren Public-Cloud-Angeboten neben zahlreichen Diensten auch gleich einen eigenen IdP betreiben. Der bindet jeweils neben dem Zugriff auf die hauseigenen Cloudangebote über gängige Protokolle auch Systeme anderer Anbieter und solche in privaten Clouds an. Und so buhlen die Cloudprovider um die Gunst der Kunden, ihrem IdP den Vorzug bei der zentralen Verwaltung aller Identitäten im Unternehmen zu geben. Daneben werben weitere kommerzielle Anbieter mit dedizierten Diensten für das Identitäts- und Zugriffsmanagement aus der Cloud.
All diese Angebote haben den Vorteil, dass sich Admins nicht um Installation und Betrieb eigener Server und Dienste kümmern müssen. Kehrseite der Medaille ist, dass die etablierten Anbieter ihre Dienste nicht quelloffen bereitstellen und erweiterte Sicherheitsfunktionen oft an zusätzliche Lizenzkosten knüpfen, verbunden mit einem drohenden Vendor-Lock-in. Dieses Phänomen bezeichnet die Abhängigkeit von einem Anbieter, die einen Wechsel zu einem anderen Produkt sehr schwer bis unmöglich macht.
Admins können dieser Gefahr durch den Einsatz von Open Source begegnen, wahlweise lokal im eigenen Rechenzentrum oder in einer Cloud. Nutzt eine solche Software eine Cloudplattform hierbei lediglich als Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS), bleibt die Migration in eine andere Umgebung einfach möglich. Hier kommt nun die Software authentik ins Spiel.
authentik 2024.6
Produkt
Quelloffener Identity-Provider.
Hersteller
Authentik Security
Preis
Open-Source-Edition kostenfrei, Enterprise-Edition 5 US-Dollar pro Monat für jeden internen Benutzer (bei jährlicher Abrechnung pro zehn Benutzer) und 0,02 Dollar für jeden externen Benutzer (bei jährlicher Abrechnung pro 5000 Benutzer), Enterprise-Plus-Edition für sehr große Unternehmen und Support für benutzerdefinierte Integrationen auf Anfrage.
Systemanforderungen
Mindestens ein physischer oder virtueller Host mit zwei CPU-Kernen und 2 GByte Hauptspeicher; Docker und Docker-Compose oder Kubernetes und Helm.
Technische Daten
Open-Source-Projekt mit Enterprise-Variante
Bei authentik handelt es sind um ein noch junges Open-Source-Projekt, das sich aber in den letzten Jahren rasant zu einer ausgewachsenen Umgebung für die Verwaltung von Benutzeridentitäten entwickelt hat. Der Entwickler Jens Langhammer hatte das Projekt im Jahr 2018 gestartet und zunächst als einzelner Maintainer den Großteil des Codes beigesteuert. Seit 2022 bietet die von ihm gegründete Firma Authentik Security über den Umfang des Open-Source-Projekts hinaus eine Enterprise-Edition mit einigen zusätzliche Funktionen sowie Support an.
Authentik Security folgt den auf GitHub veröffentlichten Grundsätzen der "Open Core Ventures Public Benefit Company (OPC) Charter". Die sieht vor, dass ein Unternehmen sich dazu verpflichtet, eine Open-Source-Plattform zum Nutzen der Öffentlichkeit zu unterhalten. Einmal unter Open-Source-Lizenz veröffentlichte Software darf nicht aus öffentlich zugänglichen Quellcode-Repositories entfernt werden, um ausschließlich eine kostenpflichtige Version solcher Produkte unter einer proprietären Lizenz anzubieten, und es sind auch keine anderweitigen Einschränkungen für die Nutzung der Software zulässig.
Unterstützung gängiger Protokolle kostenfrei
Bereits der als Open-Source-Software kostenfrei nutzbare Kern von authentik bietet eine breite Unterstützung für Authentifizierung und Autorisierung mittels der Protokolle OAuth2 sowie OpenID Connect (OIDC), Security Assertion Markup Language (SAML), Lightweight Directory Access Protocol (LDAP), System for Cross-domain Identity Management (SCIM) und Remote Authentication Dial-In User Service (RADIUS).
Authentik kann selbst als führender IdP fungieren oder aber als Identity-Broker, der im Rahmen einer Föderation Benutzer mittels eines externen IdP authentifiziert und an die eigenen Anwendungen weiterleitet. Die Software bietet hier eine webbasierte Oberfläche mit dem Ziel, die Konfiguration von Identitätsquellen, Anwendungen und Richtlinien möglichst einfach und ohne die Notwendigkeit, selbst Code zu schreiben, zu gestalten.
Das Webinterface adressiert sowohl Administratoren als auch Endbenutzer. Letzteren ermöglicht ein integriertes Self-Service-Portal, ihre Profile, Passwörter, MFA sowie weitere Einstellungen selbst zu verwalten. Admins profitieren von der erweiterten Policy-Engine, die bereits in der frei verfügbaren Variante mit komplexen Regeln und Richtlinien den Zugriff auf Anwendungen nach verschiedenen Kriterien, wie etwa Benutzergruppen, IP-Adressen, Geräten oder Zeitfenstern, steuert. Neben dem Webinterface bietet authentik optional auch ein API zur Automatisierung. Die frei verfügbare Variante muss ohne Support durch den Hersteller auskommen, Admins können hier lediglich auf den Austausch mit der Open-Source-Community bauen.
Enterprise-Edition integriert Google und Microsoft
Der Support durch Authentik Security ist der Enterprise-Edition vorbehalten. Die Kosten für deren Lizenzierung bestimmt Authentik Security anhand der internen und externen Benutzer, die ein Unternehmen mithilfe der Software verwalten möchte. Zusätzlich zu den frei verfügbaren Providern für die zuvor genannten Protokolle bringt die Enterprise-Edition weitere Provider für die Integration mit Microsoft Entra ID sowie Google Workspace mit. Beide deklarierte die Online-Dokumentation zur Version 2024.6 von authentik zum Zeitpunkt unseres Tests allerdings noch als Technical Preview, verbunden mit dem Hinweis, auftretende Fehler als Issue auf der Plattform GitHub zu melden.
Zudem ist auch der Provider für Remote Access Control (RAC) eine exklusive Enterprise-Funktion. Der RAC-Provider ermöglicht den Benutzern den Zugang zu entfernten Systemen unter Windows, macOS und Linux mithilfe der Protokolle RDP, SSH und VNC. Grundlegendes Logging unterstützt bereits die Open-Source-Variante. Erweitertes Logging, das im Hinblick auf Anforderungen der Compliance auch Auditoren adressiert, bringt die Enterprise-Edition mit. So enthalten die Logs im Falle einer gültigen Enterprise-Lizenz zusätzliche Auditdaten dazu, welche Felder mit einem Ereignis geändert wurden, sowie eine Diff-Ansicht mit den vorherigen und neuen Werten.
Weitere Enterprise-Funktionen befanden sich laut Authentik Security in der Planungsphase und waren noch nicht final verfügbar, darunter CSV-Exporte, Push-Benachrichtigungen zur MFA und eine KI-gestützte Risikobewertung. Oberhalb der Enterprise-Variante positioniert der Anbieter noch die Edition Enterprise-Plus mit Rabatten für sehr großen Unternehmen mit Tausenden von internen Benutzern sowie dediziertem Support beim Entwickeln benutzerdefinierter Integrationen. Im Zentrum unseres Interesses stand aber vor allem die Open-Source-Edition, deren Funktionen die Basis für das Enterprise-Paket bilden.
Container als Basis
Die Entwickler legen den Fokus auf selbstgehostete Umgebungen. Der Betrieb in komplett vom Internet abgeschotteten Bereichen, auch als air-gapped bezeichnet, ist möglich und genügt damit selbst hohen Ansprüchen an die Informationssicherheit. Unter der Haube setzt authentik auf Container. Der Server-Container besteht aus zwei Elementen, dem eigentlichen Server-Core und dem Embedded-Outpost. Ein integrierter Router leitet eingehende Anfragen entweder an den Core oder den Embedded-Outpost weiter. Der Core enthält den Großteil der Logik und kümmert sich um alle Arten von SSO-Anfragen sowie API-Requests und führt Flows aus.
Ein Outpost ist ein optionaler Bestandteil von authentik, der es ermöglicht, externe Systeme mit dem IdP zu integrieren, die sonst kein natives Protokoll wie SAML oder OIDC unterstützen. Ein Outpost ermöglicht es so, die Benutzer- und Gruppenverwaltung von authentik in verschiedenen Anwendungsszenarien zu nutzen, ohne die bestehenden Systeme zu ändern. Die Providertypen LDAP, Proxy, RADIUS und RAC benötigen einen Outpost. Die Software bringt ab Werk einen eingebetteten Outpost mit, um die Bereitstellung insbesondere für Benutzer zu vereinfachen, die den Proxy-Provider nutzen möchten. Darüber hinaus können Admins weitere Outposts auf jedem System installieren, das über eine Verbindung zum Core verfügt.
Neben dem Server kümmert sich der Background-Worker um Hintergrundaufgaben, wie etwa den Versand von E-Mails und Benachrichtigungen beim Auftreten konfigurierbarer Events. Weiterhin benötigt authentik zwei Datenbanken: Redis als schnelle nicht persistente Cache-Datenbank und PostgreSQL als eigentliche Datenbasis für die persistente Speicherung der Konfiguration und weiterer Daten.
Docker oder Kubernetes
Grundsätzlich unterstützt die Software zwei Arten der Installation und Konfiguration. Für erste Tests und auch kleinere produktive Umgebungen empfehlen die Entwickler Docker und Docker-Compose als Basis. Authentik stellt dazu offizielle Docker-Images und eine vorgefertigte Docker-Compose-Datei bereit, die alle notwendigen Komponenten einrichtet. Der Administrator muss nur einige Umgebungsvariablen anpassen und die Docker-Compose-Datei ausführen, um authentik zu starten.
Für größere Umgebungen unterstützt authentik die Container-Orchestrierung mittels Kubernetes und Helm. Die Entwickler stellen hierzu ein passendes Helm-Chart bereit. Administratoren können Installation und Konfiguration wiederum leicht mittels Variablen an ihre Bedürfnisse anpassen. Für beide Varianten der Inbetriebnahme pflegt Authentik Security eine ausführliche Online-Dokumentation, die alle Schritte und Optionen für die Installation und Konfiguration erklärt. YouTube-Tutorials, die einfach nachvollziehbar durch alle nötigen Schritte führen, ergänzen die Dokumentation.
Schnell startklar per Docker-Compose
In unserer Testumgebung haben wir authentik mittels Docker und Docker-Compose unter Ubuntu 22.04.4 LTS eingerichtet. Vorweg sei erwähnt, dass die Inbetriebnahme mithilfe der Tutorials in kürzester Zeit gelingt, dass Admins aber keine Scheu vor der Linux-Shell haben sollten, da Installation und Konfiguration weitestgehend auf Shell-Kommandos und das Anpassen von Textdateien basieren.
Nachdem wir unser Linux-System mit allen aktuellen Updates versorgt hatten, folgten wir der Dokumentation des Docker-Projekts, um die Docker-Engine (Docker CE) mitsamt Docker-Compose aus dem von Docker bereitgestellten APT-Repository zu installieren. Hierbei führten wir auch die Schritte nach der Installation aus, die dafür sorgen, dass auch Benutzer ohne Root-Rechte den Befehl sudo  und Docker-Kommandos ausführen dürfen.
Daraufhin folgten wir den Empfehlungen der authentik-Dokumentation, legten eine Verzeichnisstruktur für die Software an und luden die Docker-Compose-Datei herunter. Weiterhin erzeugten wir für unsere Instanz eine Datei für die Umgebungsvariablen mit individuellem Passwort und Secret. Zu guter Letzt ergänzten wir in dieser Datei die optionale Konfiguration zum Versand von E-Mails aus authentik heraus und waren damit gerüstet, die Container-Infrastruktur zu starten.
Daraufhin erreichten wir das Webinterface unter "http://<IP-Adresse-unseres-Servers>:9000", das sich passend zur Sprache unseres Webbrowsers auf Deutsch präsentierte. Auch wenn die Oberfläche an einigen Stellen noch englische Begriffe verwendete, erwies sich das Webinterface mit einem vertikalen Menü auf der linken Seite als intuitiv bedienbar.
Benutzerverwaltung mit MFA und RBAC
Zunächst setzten wir ein Passwort für den initialen Admin-Account "akadmin", legten dann aber, wie von den Entwicklern empfohlen, im Admin-Interface und dort im Bereich "Verzeichnis / Benutzer" einen separaten Account als Mitglied der Gruppe "authentik Admins" an. Diesen konfigurierten wir zur Verwendung von MFA und deaktivierten schließlich das integrierte Admin-Konto. Authentik unterstützt statische One-Time-Passwords (OTP), die gängigen Time-based OTP sowie Webauthn-Token als MFA-Methoden.
Für die Authentifizierung von Benutzern an verbundenen Applikationen und Diensten verwendet authentik die Terminologie von Anwendungen (Applications), die im Hintergrund auf Anbieter (Provider) zurückgreifen. Jede Authentifizierung folgt einem Ablauf (Flow), der sich wiederum in Phasen (Stages) zusammensetzt. Auf diese Begriffe werden wir gleich zurückkommen.
Zunächst widmeten wir uns aber der Benutzerverwaltung im Bereich "Verzeichnis", wo wir mithilfe der Unterpunkte "Benutzer" und "Gruppen" Accounts innerhalb von authentik manuell anlegen und verwalten konnten. Über den globalen Schalter "Ist Admin" hinaus, der alle Mitglieder einer Gruppe als Superuser berechtigt, konnten wir im Unterpunkt "Roles" im Rahmen von Role-based Access Control (RBAC) individuelle Rollen zur Vergabe von Berechtigungen definieren. Auch wenn die Oberfläche diesen Bereich noch als Preview deklarierte, präsentierte sich das System hier bereits als mächtiges Werkzeug, mit dem wir über 450 einzelne Berechtigungen granular an Benutzer und Gruppen zuweisen konnten.
Föderation schnell eingerichtet
Als besonders praktisch erwies sich der Bereich "Verzeichnis / Federation and Social login". Über die manuelle Verwaltung von Benutzern innerhalb von authentik konnten wir hier zahlreiche externe Quellen zur Synchronisierung und Authentifizierung von Benutzern anbinden, darunter etwa gängige OAuth-Quellen wie Apple, Entra ID, Facebook, GitHub, GitLab, Google und Okta (Bild 1). Weiterhin unterstützt authentik LDAP-Server als Quelle und beschreibt in der Dokumentation neben generischen LDAP-Quellen insbesondere die Integration mit dem Active Directory (AD) und FreeIPA. So gelang es uns komplikationslos, unser AD anzubinden, aus dem authentik unmittelbar sämtliche Benutzer synchronisierte. Wir konnten uns daraufhin sofort mit Benutzerkonten aus dem AD am Webportal von authentik anmelden.
Bild 1: Authentik unterstützt die Föderation mit zahlreichen weiteren Identity-Providern.
Im Admin-Interface stellt die Software in der Übersicht eines jeden Benutzers Aktionen der letzten Woche grafisch aufbereitet dar. Dies betrifft fehlgeschlagene sowie erfolgreiche Anmeldungen und auch Applikationsgenehmigungen. Aus der Übersicht heraus kann der Admin zur Identität des Benutzers wechseln, um die Umgebung aus seiner Perspektive zu sehen, sowie manuell das Passwort des Benutzers zurücksetzen. Alternativ konnten wir einen Wiederherstellungslink erzeugen oder einen solchen Link direkt aus dem System heraus per E-Mail versenden, damit der Benutzer sein Passwort im Self-Service zurücksetzen kann. Bevor wir diese beiden Funktionen nutzen konnten, mussten wir aber zunächst passende Flows konfigurieren, denn authentik betrachtet nicht nur die Authentifizierung eines Anwenders, sondern fast alle Vorgänge im System als Flows.
Alles im Flow
Die Entwickler beschreiben die Arbeit mit Flows umfassend in der Online-Dokumentation und stellen dort auch diverse Beispiele zum Download im YAML-Format bereit. Wir luden den Flow "Recovery with email verification" herunter und importierten ihn im Bereich "Flows and Stages / Abläufe" in unser System. Dort fanden wir auch sämtliche Abläufe, die authentik bereits von Haus aus mitbrachte.
Als besonders flexibel und mächtig präsentierte sich die Konfiguration der Flows. So konnten wir jeden Ablauf in einer Detailansicht öffnen. Hier zeigt authentik in der Übersicht ein grafisches Ablaufdiagramm, das die Phasen und ihre logische Verknüpfung verdeutlicht (Bild 2). Wir konnten jeden Ablauf direkt aus dieser Ansicht heraus ausführen und dies normal im Kontext des aktuellen Nutzers oder mit Inspektor.
Bild 2: Das Webinterface stellt Abläufe grafisch als Diagramm dar. authentik 2024.6
Letztere Option erwies sich als besonders praktisch bei individuellen Anpassungen an Abläufen. So führt authentik einen Flow mit dem Inspektor in einem separaten Fenster mit einer geteilten Ansicht aus, links die Webseite von authentik, wie sie der Benutzer sieht, und rechts daneben der Ablauf-Inspektor, der als Schritt-für-Schritt-Debugger die Phasen mitsamt Kontext darstellt. Auf diesem Weg konnten wir Änderungen an einem Flow, die wir auf der Registerkarte "Phasen Bindungen" vornahmen, unmittelbar überprüfen (Bild 3).
Bild 3: Der Ablauf-Inspektor hilft beim Anpassen und Prüfen von Abläufen. Testsauthentik 2024.6
Conditional Access mit Richtlinien
In Verbindungen mit den Richtlinien ermöglicht authentik individuelle Abläufe. So konnten wir etwa einen individuellen Ablauf für die Authentifizierung erstellen. Hierzu konfigurierten wir zunächst eine Richtlinie für die Reputation. Authentik verfolgt fehlgeschlagene Anmeldeversuche nach Quell-IP sowie versuchtem Benutzernamen und speichert diese Werte als Scores. Jede fehlgeschlagene Anmeldung verringert die Punktzahl für eine IP-Adresse sowie den eingegebenen Benutzernamen um einen Zähler. Dies konnten wir dann im Flow als Bedingung nutzen, um beim Unterschreiten eines bestimmten Scores etwa zusätzlich ein Captcha vom Benutzer anzufordern.
Doch kommen wir zunächst zurück zu unserem Ablauf für den Passwort-Reset. Nach dem Import des Flows navigierten wir in den Bereich "System / Brands". Hier verwaltet authentik visuelle Einstellungen und Standards für verschiedene Domains, um den Anmeldedialog des Systems für verschiedene Anwendungsfälle mit einem eigenen Logo und Favicon anzupassen.
Neben der Darstellung fanden wir in den Einstellungen des Brandings "authentik-default" auch den Bereich "Standardabläufe", wo wir das zuvor leere Feld des Wiederherstellungsflusses mit unserem zuvor importierten Ablauf für die Passwort-Wiederherstellung belegten. Der Standard für die Authentifizierung war bereits mit dem Eintrag "default-authentication-flow" belegt, den wir nun nutzten, um Applikationen und Dienste an authentik anzubinden.
Vielfältige Integrationen mit namhaften Produkten
Die Entwickler pflegen auf der Webseite des Projekts mit den Integrationen einen separaten Bereich der Online-Dokumentation, der die Anbindung zahlreicher Anwendungen an authentik detailliert erläutert. Authentik unterteilt die Anwendung hierbei in Kategorien wie Cloudprovider, Infrastruktur, Netzwerk, Monitoring, Plattformen, Hypervisoren und Orchestrierung.
Das Projekt überzeugte uns hier mit dem breiten Support. So fanden wir Beschreibungen für namhafte Lösungen, darunter Nextcloud, OnlyOffice, AWS, Proxmox, VMware, QNAP, Synology, Grafana oder auch WordPress. Sämtliche Integrationen aufzulisten, würde den Umfang dieses Artikels bei Weitem sprengen. Für jede Applikation beschreibt die Doku die nötigen Schritte innerhalb von authentik sowie auch die Konfiguration auf Gegenseite, entweder direkt oder per Link auf die Dokumentation des jeweiligen Drittanbieters.
Innerhalb des Admin-Interfaces vereinfacht authentik die Anbindung mithilfe eines Wizards, der in einem Rutsch eine Anwendung und den zugehörigen Provider anlegt. Unsere exemplarischen Anwendungen Grafana und die Fotoverwaltung Immich konnten wir auf diesem Weg in wenigen Minuten per OAuth2 mit authentik integrieren. Neben der Anmeldung mit lokalen Accounts innerhalb der jeweiligen Anwendung präsentierten uns die beiden Programme anschließend zusätzlich die Möglichkeit, externe Benutzer via authentik anzumelden. In diesem Fall leitete der Loginprozess erfolgreich zu authentik und von dort zurück zur Applikation. Alternativ dazu konnten wir unsere Benutzer auch direkt an authentik anmelden, wo wir im User-Portal alle konfigurierten Anwendungen per SSO starten konnten, wie in Bild 4 zu sehen.
Bild 4: Das Portal zeigt alle für einen Benutzer verfügbaren Anwendungen an und startet diese per SSO.
Fazit
Stehen Admins vor der Herausforderung, für viele verschiedene Anwendungen und Dienste auf sichere Weise die zentrale Verwaltung und Authentifizierung ihrer Anwender zu konsolidieren, sollten sie definitiv einen Blick auf den Open-Source Identity-Provider authentik werfen. Im Gegensatz zu einem Rundum-sorglos-Paket aus der Cloud setzt der Betrieb von authentik zwar Kenntnisse im Umgang mit Linux und Containern voraus. Doch der Lohn der Mühe ist, die Hoheit über die Identitäten zu behalten und diese nicht an einen Drittanbieter zu verlieren.
Mithilfe der umfangreichen Dokumentation gelingen Inbetriebnahme und Konfiguration in kürzester Zeit. Auch im Betrieb überzeugt die Software mit ihrem No-Code-Ansatz und einfacher Bedienbarkeit über das Webinterface insbesondere im Hinblick auf die Konfiguration von Flows, Applikationen und Providern. Mit der Vielzahl an Integrationen hat uns authentik im Test positiv überrascht.
(dr)
So urteilt IT-Administrator
Protokollunterstützung
7
Dokumentation und Tutorials
8
Föderation mit anderen IdP
7
Flow-Inspektor
8
Integrationen
8
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/