Authentik: modernes Identity-Provider-System mit SAML, OIDC, LDAP und SCIM

Was ist Authentik?

Authentik ist ein modernes Open-Source-Identity-Provider-System (IdP), das seit 2018 vom deutschen Entwickler Jens Langhammer und einer wachsenden Community entwickelt wird. Die Software steht primär unter MIT-Lizenz; bestimmte Enterprise-Features (RAC-Remote-Access, Enterprise-Audit-Logs, dedizierter Support) sind separat unter einer Enterprise-Lizenz verfügbar. Mai 2026 ist Authentik in Version 2025.6+ stabil und gilt als die führende Open-Source-IdP-Alternative zu Keycloak und Microsoft Entra im KMU-Bereich.

Die Architektur ist modern: Python-basiertes Backend (Django), React-basiertes Frontend, Postgres als Datenbank, Redis als Cache, Outposts als verteilte Proxy-Forwarder für Reverse-Proxy-Integration und LDAP-Bridge. Authentik unterstützt nahezu alle Standard-Protokolle: SAML 2.0 (sowohl Provider als auch Service-Provider-Rolle), OpenID Connect (OIDC) als IdP, OAuth 2.0, LDAP (Outpost als LDAP-Server-Bridge), SCIM 2.0 für User-Provisioning, RADIUS für Netzwerk-Auth, WebAuthn/FIDO2 für Hardware-Keys.

Flows und Stages sind das zentrale Konzept. Ein Flow ist eine Login-Sequenz aus mehreren Stages: Identifikation (Username), Passwort, MFA, Consent, Enrollment. Jeder Flow ist visuell konfigurierbar im UI und kann konditional verzweigen ("Wenn Gruppe = admins, dann zusätzlich FIDO2 erzwingen"). Das ist deutlich mächtiger als Authelias YAML-Access-Control, erfordert aber auch mehr Konfigurations-Aufwand.

Outposts sind separate Service-Container, die Authentik-Funktionalität an die Edge bringen: der LDAP-Outpost emuliert einen LDAP-Server für Apps, die nur LDAP können (Mail, Samba); der Proxy-Outpost arbeitet wie Authelias Forward-Auth für nginx/Traefik; der RADIUS-Outpost liefert RADIUS-Auth für VPN-Konzentratoren oder WLAN-Controller. Outposts skalieren horizontal -- man kann Dutzende davon parallel betreiben.

Provider-Typen sind die App-spezifischen Schnittstellen: SAML-Provider für Enterprise-Apps wie SAP/Oracle/Workday, OAuth2/OIDC-Provider für moderne Apps wie Grafana/Nextcloud/Outline, LDAP-Provider für Legacy-Apps. Pro App ein Provider, mit eigenen Settings für Token-TTL, Scopes, Property-Mappings.

Mai 2026 mit Version 2025.6+ hat Authentik wichtige Neuerungen: AI-Risk-Scoring für Logins (anomale Login-Versuche werden mit zusätzlicher MFA blockiert), Passkey-Native-Support (FIDO2 als Erst-Faktor ohne Passwort), Hybrid-Cloud-Deployment-Modus (lokales Self-Host plus Cloud-Standby).

Warum es für mittelständische CH-KMU zählt

Authentik wird Mai 2026 in vier konkreten Szenarien zur richtigen Wahl für CH-KMU und Mittelstand.

SAML-Pflicht für Enterprise-Apps: Wer Mandanten mit Microsoft 365, Google Workspace, Salesforce, SAP oder klassischen Enterprise-Apps hat und SAML-2.0-Federation-SSO etablieren will, kommt um einen vollwertigen IdP nicht herum. Authentik liefert SAML-Provider-Rolle out-of-the-box, mit Property-Mappings, Signing-Zertifikaten und SP-Initiated-Flow. Authelia kann das nicht.

Hybrid-Identity über LDAP-Outpost: Anwaltskanzlei mit alten Samba-File-Servern und neuen Cloud-Tools braucht ein einheitliches Identity-Backend. Authentik-LDAP-Outpost emuliert einen LDAP-Server, gegen den Mail-Server, Samba, VPN-Konzentratoren authentifizieren -- während die gleichen Nutzer mit OIDC/SAML gegen Cloud-Tools authentifizieren. Single-Source-of-Truth für alle Identitäten.

SCIM 2.0 für User-Provisioning: Mandanten-Onboarding wird zur Klick-Aufgabe -- ein neuer Mitarbeiter wird in Authentik angelegt, SCIM-Push provisioniert ihn in Slack, Notion, Nextcloud, Bitwarden automatisch. Offboarding ist analog: Deaktivierung in Authentik führt zu Deaktivierung in allen Apps. Bei einem 50+-Mitarbeitende-Büro spart das mehrere Stunden pro Personalwechsel.

FIDO2-Passkeys ohne Passwort: Mai 2026 mit v2025+ unterstützt Authentik Passkey-Native-Auth: der Mitarbeiter loggt sich nur mit FIDO2-Key plus PIN ein, kein Passwort mehr. Das eliminiert Passwort-Phishing strukturell. Für Anwaltskanzleien mit Berufsgeheimnis-Pflicht eine deutliche Sicherheits-Verbesserung.

Regulatorischer Bezug: revFADP-Art. 8 verlangt Stand der Technik. ISO 27001 Annex A.9 (Access Control) wird mit Authentik vollständig abgedeckt -- Identity Lifecycle, Privileged Access Management, Authentication. ISO-27001-Auditoren akzeptieren Authentik-Konfiguration als Nachweis. SOC 2 Type II Trust Services Criteria (CC6 Logical Access Controls) ebenfalls.

Setup mit Docker-Compose und Beispiele

Authentik läuft Mai 2026 typisch als Docker-Compose-Stack mit fünf Containern. Die offizielle goauthentik.io-Distribution liefert das fertige Setup.

```yaml version: "3.8" services: postgresql: image: postgres:16-alpine restart: unless-stopped healthcheck: test: ["CMD-SHELL", "pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER}"] interval: 30s volumes: - database:/var/lib/postgresql/data environment: POSTGRES_PASSWORD: ${PG_PASS} POSTGRES_USER: authentik POSTGRES_DB: authentik redis: image: redis:7-alpine restart: unless-stopped volumes: - redis:/data server: image: ghcr.io/goauthentik/server:2025.6 restart: unless-stopped command: server environment: AUTHENTIK_REDIS__HOST: redis AUTHENTIK_POSTGRESQL__HOST: postgresql AUTHENTIK_POSTGRESQL__USER: authentik AUTHENTIK_POSTGRESQL__NAME: authentik AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS} AUTHENTIK_SECRET_KEY: ${AUTHENTIK_SECRET_KEY} volumes: - ./media:/media - ./custom-templates:/templates ports: - "127.0.0.1:9000:9000" - "127.0.0.1:9443:9443" depends_on: - postgresql - redis worker: image: ghcr.io/goauthentik/server:2025.6 restart: unless-stopped command: worker environment: AUTHENTIK_REDIS__HOST: redis AUTHENTIK_POSTGRESQL__HOST: postgresql AUTHENTIK_POSTGRESQL__USER: authentik AUTHENTIK_POSTGRESQL__NAME: authentik AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS} AUTHENTIK_SECRET_KEY: ${AUTHENTIK_SECRET_KEY} volumes: - ./media:/media - ./certs:/certs - ./custom-templates:/templates depends_on: - postgresql - redis volumes: database: {} redis: {} ```

Erster Setup-Step: auf https://authentik.treuhand-mueller.ch/if/flow/initial-setup/ den Admin-Account anlegen.

Beispiel SAML-Provider für Nextcloud: in der UI unter Applications > Providers > Create > SAML Provider. ACS-URL aus Nextcloud kopieren (https://cloud.treuhand-mueller.ch/apps/user_saml/saml/acs), Issuer setzen, Signing-Zertifikat erzeugen lassen. Property-Mappings: username -> sAMAccountName, email -> email, displayName -> name. In Nextcloud Auth-Provider auf SAML umstellen, Metadata-XML von Authentik importieren.

Beispiel OIDC-Provider für Grafana: Applications > Providers > Create > OAuth2/OpenID Provider. Client-Type confidential, Redirect-URI https://grafana.treuhand-mueller.ch/login/generic_oauth, Scopes openid+email+profile. Client-ID und Client-Secret in Grafana-Config eintragen.

Beispiel LDAP-Outpost für Postfix-Mail-Auth: Outposts > Create > LDAP Outpost. Bind-Adresse 0.0.0.0:389, Token generieren lassen. Outpost-Container starten, der läuft als LDAP-Server gegen Authentik. Postfix mit smtpd_sasl_auth_enable plus pam-ldap konfigurieren.

Flow-Konfiguration mit Risk-Scoring: Default-Authentication-Flow erweitern mit User-Login-Stage (Risk-Score auswerten). Wenn Risk > 60: Step-up MFA via FIDO2 erzwingen. Wenn Risk > 90: Login ablehnen plus Alert. Risk-Scoring basiert Mai 2026 auf: ungewohnte Geo-IP (nicht Schweiz), unbekanntem Browser/Device, ungewöhnlicher Uhrzeit, kürzlich gesperrten IPs.

Die Konfiguration ist im UI klick-basiert, kann aber auch via Blueprints (YAML-Definitionen) als Code versioniert werden -- gut für Multi-Tenant-Deployments und Disaster-Recovery.

Authentik-Einführung in 5 Schritten

1. 01Stack via Docker-Compose deployen: Postgres, Redis, Authentik-Server, Authentik-Worker; Initial-Admin-Account anlegen, Brand-Konfiguration mit eigenem Logo.
2. 02Authentication-Flow härten: Identification-Stage plus Password-Stage plus MFA-Stage (TOTP plus WebAuthn-Pflicht für Admins); Risk-Scoring aktivieren mit Step-up MFA.
3. 03Provider und Applications anlegen: SAML-Provider für Enterprise-Apps (M365, SAP), OIDC-Provider für moderne Apps (Grafana, Nextcloud, n8n), Property-Mappings konfigurieren.
4. 04Outposts deployen: LDAP-Outpost für Legacy-Apps, Proxy-Outpost für nginx-Integration, optional RADIUS-Outpost für VPN-Konzentrator-Auth.
5. 05SCIM-Integration und Audit: User-Provisioning zu Slack/Notion/Nextcloud konfigurieren, Audit-Logs zu Loki/Wazuh spiegeln, Blueprints als Code versionieren für Disaster-Recovery.

Wann Authentik einsetzen

Authentik ist Mai 2026 in fünf Konstellationen die richtige Wahl.

Mittelständische Kanzlei oder Treuhand mit 50+ Nutzern: bei dieser Grösse rechnet sich der Setup-Aufwand von 1-2 Wochen, weil Onboarding/Offboarding-Effizienz-Gewinn sich monatlich addiert. Self-Service-Funktionen (Passwort-Reset, Profil-Änderung, 2FA-Reset) entlasten die IT-Verantwortlichen.

SAML-Bedarf für Enterprise-Apps: Mandanten mit Microsoft 365, SAP, Salesforce, Workday, ServiceNow. Authentik liefert SAML-Provider-Rolle aus dem Standard. Konfiguration pro App in 30 Minuten erledigt, danach läuft SSO transparent.

Hybrid-Identity mit LDAP-Legacy: alte Mail-Server, Samba, VPN-Konzentratoren, die nur LDAP können, plus moderne Cloud-Tools mit OIDC/SAML. Authentik LDAP-Outpost emuliert LDAP-Server für die Legacy-Apps, OIDC-/SAML-Provider für die modernen Tools. Eine Identity-Quelle für alles.

Mandanten in regulierten Branchen mit Compliance-Pflicht: ISO 27001, SOC 2, PCI-DSS verlangen alle dokumentiertes Identity Lifecycle Management mit Audit-Trail. Authentik liefert das out-of-the-box mit Reports für Auditoren. Self-Hosted-Deployment ermöglicht volle Daten-Souveränität.

Multi-Tenant-Setups als Service-Anbieter: wer eine White-Label-Plattform für mehrere Mandanten betreibt (z.B. CH-Treuhand mit 20 Mandanten-Subportalen), profitiert von Authentiks Multi-Brand-Funktionalität: unterschiedliche Login-UIs pro Mandant, separate Flows, getrennte Audit-Logs. Mit Blueprints als Code versioniert.

Die Cloud-Variante authentik Cloud (ab USD 99 pro Monat für 100 Nutzer) reduziert Self-Host-Aufwand, eignet sich aber nur für Setups ohne strikten EU-Datenresidenz-Anspruch. Für CH-KMU mit Berufsgeheimnis-Pflicht bleibt Self-Host die richtige Wahl.

Wann Authentik zu schwer ist

Drei Fälle, in denen Authentik Mai 2026 nicht die richtige Wahl ist.

Kleines Setup unter 20 Nutzern: Authentik braucht Postgres plus Redis plus Server-Container plus Worker-Container -- mindestens 2 GB RAM und 4 vCPU für eine produktive Konfiguration. Bei einem 5-Personen-Treuhand-Büro ist das überdimensioniert. Authelia (Single-Binary unter 30 MB) ist die passende Schicht: gleiche FIDO2-2FA, gleiche SSO-Funktion für Reverse-Proxy-Setups, 2-4 Stunden Setup statt 1-2 Wochen.

Reine Reverse-Proxy-Auth ohne SAML/LDAP-Bedarf: wenn der Anwendungsfall nur "Login einmal für alle internen Tools" ist und keine externen SAML-Federation oder LDAP-Legacy-Integration anfällt, ist der Aufwand für Authentik nicht gerechtfertigt. Authelia oder oauth2-proxy mit Authentik-Outpost-Äquivalent sind schlanker.

Solo-Selbständig oder 1-3-Personen-Setup: hier ist Authentik komplett überdimensioniert. Bitwarden Family-Plan (CHF 40 pro Jahr) für Passwörter plus 1Password-Personal für Secrets reicht.

Generelle Fallen bei Authentik-Deployments: (a) Postgres-Performance vernachlässigen -- bei 100+ Nutzern und vielen SAML-Apps werden Indexe wichtig. (b) Worker-Container vergessen -- der Server-Container alleine kann keine Async-Tasks (E-Mail-Versand, SCIM-Push) ausführen. (c) AUTHENTIK_SECRET_KEY in Klartext im docker-compose.yml lassen -- aus Vault holen. (d) Default-Authentication-Flow nicht härten -- Risk-Scoring aktivieren, MFA-Pflicht setzen, Brute-Force-Schutz konfigurieren. (e) Blueprints nicht versionieren -- bei Disaster-Recovery muss man komplette Konfiguration manuell nachbauen.

Vor- und Nachteile

Häufige Fragen

Verwandte Themen

Quellen

1. Authentik -- official documentation · 2026-05
2. Authentik GitHub -- v2025.6 release notes · 2026-04
3. FIDO Alliance -- WebAuthn and FIDO2 specs · 2026-03
4. SCIM 2.0 -- RFC 7644 · 2026-02
5. ISO/IEC 27001:2022 -- Annex A.9 access control · 2026-02