SSO & Zero Trust¶
Authentik — Point d'entree unique¶
Toute authentification passe par Authentik, le fournisseur d'identite centralise. Aucun service n'a de gestion de comptes independante.
16 services OIDC natifs¶
| Service | Methode |
|---|---|
| Guacamole | OPENID_ENABLED |
| Nextcloud | Plugin user_oidc |
| Proxmox VE | Realm OpenID Connect |
| Firefly III | remote_user_guard |
| Gitea | OAuth2 auto-discovery |
| Grafana | GF_AUTH_GENERIC_OAUTH |
| Home Assistant | custom_component |
| WikiJS | OpenID Connect strategy |
| Open-WebUI | OAUTH env vars |
| Immich | OAuth/OIDC settings |
| PBS | OpenID realm |
| IRIS | OIDC authentication |
| MeshCentral | cert + TLSOffload |
| Wazuh Dashboard | OpenSearch Security OIDC |
| Kasm Workspaces | OpenID Connect |
| KitchenOwl | OIDC_ISSUER env var |
SAML¶
Omada Controller utilise un provider SAML Authentik.
Traefik Forward-Auth¶
12 services proteges par le middleware authentik@file : HoloNet, Dashy, SearXNG, Speedtest, Uptime Kuma, KitchenOwl, PBS, Pi-hole, Traefik Dashboard, nebula-docs, assetlinks.
Groupes et acces¶
| Groupe | Acces |
|---|---|
| NEBULA-Admins | Tous les services + administration |
| Famille | Services utilisateur (cloud, chat, photos, budget) |
| Amis | Services limites |
AD Sync — Kasm vers Samba AD¶
A chaque connexion OIDC sur Kasm, le compte AD est automatiquement cree/mis a jour dans Samba AD. Le mot de passe est reinitialise aleatoirement, et le user est ajoute au groupe Remote Desktop Users. Cela permet un SSO transparent vers Windows Server RDS — l'utilisateur atterrit sur son bureau Windows sans rien saisir.