Authentik - self-hosted провайдер идентификации (IdP) и единого входа (SSO): подключаете свои приложения по SAML, OAuth2/OIDC, LDAP, SCIM или прокси-аутентификации, ведете каталог пользователей и групп, включаете MFA (TOTP/WebAuthn) и собираете потоки входа как конструктор. Приватная self-hosted замена облачным Okta, Auth0, Microsoft Entra ID и Cloudflare Access: учетные записи и данные пользователей остаются на вашем сервере под 152-ФЗ, а не в чужом облаке и без оплаты за активных пользователей.
Что внутри
- authentik server - веб и API провайдера идентификации (Python), слушает порт
9000внутри. - authentik worker - фоновые задачи (Python).
- PostgreSQL 16 - каталог пользователей, приложения и потоки входа (Redis в 2026.5 не нужен).
- Caddy - reverse-proxy и авто-TLS (Let's Encrypt).
Как войти
- Адрес формируется из IP сервера: замените точки на дефисы и добавьте
.fatmetal.net. Пример: IP45.15.159.10->https://45-15-159-10.fatmetal.net/. - Логин администратора -
akadmin, пароль сгенерирован при установке и лежит в файле кредов на сервере (cat /root/authentik-credentials.txt). Вход:/if/flow/default-authentication-flow/, админ-панель -/if/admin/. - Дальше - подключаете приложения (провайдеры SAML/OIDC/Proxy), заводите пользователей и настраиваете потоки входа и MFA.
Свой домен
Направьте A или CNAME на этот сервер и укажите домен в Caddyfile (/etc/caddy/Caddyfile), перезапустите Caddy - выпустит Let's Encrypt. Пароль администратора - в /root/authentik-credentials.txt.
Требования
Ubuntu 24.04, открытые порты 80/443. Умеренный стек: в простое 3 контейнера занимают около 829 МиБ RAM (server ~471, worker ~284, postgres ~74), образ server - 1.84 ГБ. Хватает тарифа CPU2-RAM4-DISK50; под нагрузку и много подключенных приложений - CPU4-RAM8. Критично: бэкап тома PostgreSQL (это ваш каталог пользователей и потоки входа).