Votre contrôleur a un mot de passe pour Odoo, un autre pour Nextcloud, un troisième pour le VPN, un quatrième pour le Wi-Fi corporatif, et probablement le même pour les trois derniers. Votre nouvelle employée au marketing attend depuis deux jours qu'on lui crée ses six comptes. Et quand quelqu'un quitte, personne n'est vraiment sûr d'avoir fermé tous les accès.
C'est le quotidien de beaucoup de PME. Pas par négligence : par manque d'outils. Chaque application a sa propre base d'utilisateurs, sa propre page de connexion, ses propres règles de mot de passe. Résultat : les mots de passe sont réutilisés, les accès traînent après les départs, et l'équipe TI passe un temps fou à créer, modifier et supprimer des comptes manuellement.
La solution existe depuis longtemps dans les grandes entreprises : le SSO, l'authentification unique. Un seul compte, un seul mot de passe, une seule connexion pour tout. Et depuis quelques années, les outils open source ont rendu ça accessible aux PME.
Le SSO en deux mots
SSO veut dire Single Sign-On, ou authentification unique en français. Le principe est simple : au lieu de se connecter séparément à chaque application, on se connecte une seule fois à un fournisseur d'identité central. Ce fournisseur confirme ensuite notre identité aux autres applications, sans qu'on ait à retaper un mot de passe.
Concrètement, le matin, un employé ouvre son navigateur, se connecte à la page du fournisseur d'identité (avec son mot de passe et son deuxième facteur), et c'est fait. Nextcloud, Odoo, le portail interne, le Wi-Fi : tout reconnaît la même session. Quand l'employé quitte l'organisation, on désactive un seul compte et tous les accès tombent en même temps.
Pour que ça fonctionne, il faut deux choses : un fournisseur d'identité (le serveur central qui gère les comptes) et un protocole de communication entre ce fournisseur et chaque application. C'est là qu'entrent en jeu LDAP, SAML et OIDC.
LDAP, SAML, OIDC : trois protocoles, trois usages
On ne va pas faire un cours d'ingénierie, mais comprendre la différence entre ces trois protocoles aide à faire les bons choix.
LDAP (Lightweight Directory Access Protocol) : c'est le plus ancien. Un annuaire centralisé qui stocke les comptes utilisateurs, les groupes et les mots de passe. L'application interroge l'annuaire directement pour vérifier les identifiants. C'est fiable, bien supporté par presque toutes les applications, mais chaque connexion demande quand même un mot de passe. Ce n'est pas du vrai SSO, c'est plutôt de la centralisation de comptes.
SAML (Security Assertion Markup Language) : c'est le protocole historique du SSO en entreprise. L'application redirige l'utilisateur vers le fournisseur d'identité, qui confirme l'identité et renvoie un « jeton ». L'utilisateur n'entre jamais son mot de passe dans l'application elle-même. C'est du vrai SSO. SAML utilise du XML, c'est verbeux, mais ça fonctionne bien pour les applications web traditionnelles.
OIDC (OpenID Connect) : c'est le protocole moderne, bâti sur OAuth 2.0. Même principe que SAML (redirection vers le fournisseur d'identité, jeton de retour), mais en format JSON plutôt que XML. C'est plus léger, plus facile à intégrer, et ça fonctionne aussi bien sur le web que sur les applications mobiles. C'est le standard vers lequel tout converge.
| Critère | LDAP | SAML | OIDC |
|---|---|---|---|
| Type | Annuaire (comptes centralisés) | SSO (jeton XML) | SSO (jeton JSON) |
| Vrai SSO? | Non (mot de passe à chaque app) | Oui | Oui |
| Support applicatif | Très large (même les vieux logiciels) | Large (applications web) | En croissance rapide |
| Complexité d'intégration | Faible à moyenne | Moyenne | Faible à moyenne |
| Applications mobiles | Limité | Possible mais complexe | Natif |
| Cas d'usage typique | Wi-Fi, VPN, apps legacy | Applications web d'entreprise | Applications modernes, cloud, mobile |
En pratique, dans un déploiement SSO complet pour une PME, on utilise souvent les trois : OIDC pour les applications web modernes (Nextcloud, Odoo), LDAP pour le Wi-Fi et le VPN, et SAML pour les quelques applications qui ne supportent que ça. Le fournisseur d'identité gère les trois protocoles en parallèle.
Authentik : le SSO pensé pour les mortels
Authentik, c'est un fournisseur d'identité open source qui a été conçu dès le départ pour être déployable par des humains normaux. L'interface d'administration est moderne, claire, et le système de « flows » (flux d'authentification) permet de configurer visuellement comment les utilisateurs se connectent, récupèrent leur mot de passe ou s'inscrivent.
Ce qu'Authentik offre :
Protocoles complets : OIDC, SAML, LDAP, RADIUS et proxy d'authentification. Tout ce qu'il faut pour connecter la quasi-totalité des applications d'une PME, y compris le Wi-Fi WPA-Enterprise et le VPN.
MFA intégré : TOTP (codes temporaires), WebAuthn (clés de sécurité physiques), SMS et courriel. Pas besoin d'un service externe pour l'authentification multifacteur.
Interface de connexion personnalisable : on peut mettre le logo de l'entreprise, adapter les couleurs, et l'expérience pour l'utilisateur final est propre et professionnelle.
Gestion des accès par application : on définit qui a accès à quoi. Le marketing voit Nextcloud et le CRM, la comptabilité voit Odoo, la direction voit tout. Les accès se gèrent par groupes.
Déploiement Docker : un fichier docker-compose, quelques variables d'environnement, et c'est en ligne. Il faut PostgreSQL et Redis, mais dans un contexte de conteneurs, c'est standard.
La version Community est gratuite et couvre tous les besoins d'une PME. La version Enterprise ajoute des fonctions avancées (gestion du cycle de vie des objets, support dédié), mais c'est rarement nécessaire pour les organisations de moins de 100 personnes.
Keycloak : le poids lourd de l'industrie
Keycloak, c'est le projet de la fondation CNCF (Cloud Native Computing Foundation), initialement développé par Red Hat. C'est la solution de référence dans les grandes entreprises et les environnements Kubernetes. Le projet est mature, massivement documenté, et supporte à peu près tous les cas d'usage imaginables.
Le problème : c'est un outil conçu pour des équipes d'infrastructure dédiées. L'interface d'administration est fonctionnelle mais dense. Le modèle de données (realms, clients, scopes, mappers) demande du temps à comprendre avant de pouvoir configurer quoi que ce soit. Et le déploiement, même en Docker, est plus lourd qu'Authentik.
Keycloak brille quand on a besoin de fédérer plusieurs sources d'identité (Active Directory, LDAP externe, fournisseurs sociaux), de gérer des milliers d'utilisateurs, ou d'intégrer des applications avec des besoins OAuth2 complexes. Pour une PME de 20 à 50 personnes avec une demi-douzaine d'applications, c'est souvent surdimensionné.
Cela dit, Keycloak est entièrement gratuit (licence Apache 2.0), sans version Enterprise payante. Si vous avez l'expertise interne ou un partenaire qui le maîtrise, c'est un choix solide et pérenne.
LLDAP : l'option minimaliste
Il y a un troisième acteur qui mérite d'être mentionné : LLDAP (Light LDAP). Ce n'est pas un fournisseur d'identité complet comme Authentik ou Keycloak. C'est un annuaire LDAP léger, écrit en Rust, avec une interface web simple pour gérer les utilisateurs et les groupes.
LLDAP est intéressant dans deux scénarios. Premier cas : vous avez juste besoin de centraliser les comptes sans vrai SSO. Vos applications supportent toutes LDAP, et vous voulez un seul endroit pour créer et supprimer des utilisateurs. LLDAP fait ça très bien, dans un conteneur Docker qui consomme presque rien.
Deuxième cas : vous combinez LLDAP avec un proxy d'authentification comme Authelia pour ajouter du SSO par-dessus. C'est une approche modulaire qui plaît aux administrateurs systèmes qui aiment contrôler chaque pièce.
La limite, c'est que LLDAP ne parle ni SAML ni OIDC. Pour du vrai SSO, il faut le combiner avec autre chose. Et pour une PME qui veut une solution intégrée et simple à maintenir, Authentik reste un meilleur choix.
La comparaison
| Critère | Authentik | Keycloak | LLDAP |
|---|---|---|---|
| Type | Fournisseur d'identité complet | Fournisseur d'identité complet | Annuaire LDAP seulement |
| Protocoles | OIDC, SAML, LDAP, RADIUS, proxy | OIDC, SAML, LDAP | LDAP seulement |
| MFA intégré | Oui (TOTP, WebAuthn, SMS) | Oui (TOTP, WebAuthn) | Non |
| Interface admin | Moderne, visuelle | Fonctionnelle, dense | Simple, minimaliste |
| Courbe d'apprentissage | Moyenne | Élevée | Faible |
| Ressources serveur | ~1 Go RAM (PostgreSQL + Redis) | ~1,5 Go RAM (Java) | ~50 Mo RAM (Rust + SQLite) |
| Licence | MIT (Community gratuite) | Apache 2.0 (100% gratuit) | GPL-3.0 (100% gratuit) |
| Idéal pour | PME de 10 à 200 personnes | Grandes organisations, Kubernetes | Petits environnements, labos |
Qu'est-ce qu'on peut brancher dessus?
C'est la question qui compte le plus. Un fournisseur d'identité, c'est utile seulement si vos applications le supportent. La bonne nouvelle : la plupart des outils qu'on déploie pour les PME sont compatibles.
Nextcloud : supporte OIDC et SAML nativement. L'intégration avec Authentik est bien documentée. Les utilisateurs se connectent via la page Authentik et arrivent directement dans Nextcloud. Une nuance importante : si le chiffrement côté serveur de Nextcloud est activé sur votre instance, il faut utiliser LDAP plutôt qu'OIDC ou SAML, sinon la documentation officielle prévient d'un risque de perte de données irréversible. Pour la grande majorité des déploiements (chiffrement côté client ou pas de chiffrement applicatif), OIDC reste le bon choix.
Odoo : supporte OAuth2/OIDC via un module dédié. La connexion passe par le fournisseur d'identité, et le compte Odoo est créé automatiquement à la première connexion.
VPN (WireGuard, OpenVPN) : via LDAP pour l'authentification, ou via RADIUS avec un proxy Authentik. Chaque connexion VPN est validée contre l'annuaire central.
Wi-Fi d'entreprise (WPA-Enterprise) : via RADIUS et LDAP. Chaque employé se connecte au Wi-Fi avec son compte unique, et quand il quitte, l'accès tombe automatiquement. Fini le mot de passe Wi-Fi partagé sur un post-it.
Vaultwarden / Bitwarden : Vaultwarden 1.36.0 (sortie en mai 2026) supporte maintenant le SSO OIDC nativement, via un client générique compatible Authentik, Keycloak ou tout fournisseur OIDC standard. Le plan Enterprise de Bitwarden offre aussi du SSO. À noter : la 1.36.0 a corrigé plusieurs CVE liées au SSO — il faut absolument tourner sur cette version ou plus récente avant d'activer la fonction. Cela dit, le gestionnaire de mots de passe reste complémentaire au SSO : le SSO réduit le nombre de mots de passe, le gestionnaire sécurise ceux qui restent.
Portails web internes : via le proxy d'authentification d'Authentik, on peut protéger n'importe quelle application web, même celles qui n'ont pas de support SSO natif. L'application ne voit jamais le mot de passe : le proxy vérifie la session et laisse passer.
Blue Fox déploie et héberge Authentik, Nextcloud et Odoo au Québec. Un seul fournisseur, une seule infrastructure, un SSO qui fonctionne du premier coup.
Ce que ça prend concrètement
Déployer un SSO, ce n'est pas un projet d'un après-midi. Voici ce que ça implique pour une PME typique.
Un serveur : Authentik a besoin d'un serveur avec au moins 2 Go de RAM et un peu de stockage. Si vous avez déjà un serveur pour Nextcloud ou Odoo, on peut souvent cohabiter sur la même machine.
Un certificat SSL : votre fournisseur d'identité doit absolument être en HTTPS. Avec Let's Encrypt, c'est gratuit et automatique.
Du temps de configuration : compter une demi-journée pour installer Authentik et configurer la première application. Ensuite, chaque application supplémentaire prend entre 30 minutes et deux heures selon la complexité.
Un plan de migration : il faut importer les utilisateurs existants, communiquer le changement à l'équipe, et prévoir une période où les deux systèmes coexistent. En général, on parle de deux à quatre semaines pour une migration complète.
De la maintenance : comme tout serveur, Authentik demande des mises à jour régulières et des sauvegardes. C'est critique : si votre fournisseur d'identité tombe, plus personne ne se connecte à rien.
Les compromis
Le SSO règle beaucoup de problèmes, mais il en crée aussi quelques-uns. Mieux vaut le savoir d'avance.
Point unique de défaillance. Si Authentik tombe, aucune application connectée ne fonctionne. Il faut des sauvegardes solides, idéalement une instance de secours, et un plan B pour les accès critiques. C'est le même risque qu'avec Active Directory dans les grandes entreprises, et la solution est la même : redondance et sauvegardes.
Complexité initiale. Même si Authentik est plus simple que Keycloak, ce n'est pas un outil grand public. La configuration demande des compétences en administration système. Pour une PME sans ressource TI interne, il faut un partenaire.
Pas toutes les applications sont compatibles. Les logiciels propriétaires anciens, certaines applications métier spécialisées, et les services SaaS qui ne supportent pas OIDC ou SAML restent en dehors du SSO. On réduit le nombre de mots de passe, on ne les élimine pas complètement.
Le MFA ajoute une étape. C'est voulu et c'est souhaitable pour la sécurité, mais certains employés vont trouver que c'est une étape de trop. Il faut accompagner le changement.
Les licences Enterprise existent. Authentik a une version Enterprise payante pour les fonctions avancées. Pour la plupart des PME, la version Community suffit largement. Mais si vous avez besoin de gestion du cycle de vie ou de support dédié, ça a un coût.
Notre recommandation pour démarrer :
- Commencer par connecter Nextcloud et Odoo à Authentik via OIDC : c'est le scénario le mieux documenté
- Ajouter le Wi-Fi WPA-Enterprise et le VPN via LDAP dans un deuxième temps
- Activer le MFA dès le départ : TOTP au minimum, WebAuthn pour la direction et les TI
- Garder un gestionnaire de mots de passe pour les comptes qui restent en dehors du SSO
Chez Blue Fox
Chez Blue Fox, on déploie Authentik pour la majorité de nos clients. Le choix est pragmatique : l'interface est accessible, la documentation est bonne, le déploiement Docker s'intègre bien dans nos infrastructures existantes, et la version Community couvre tous les besoins qu'on rencontre en PME et en OBNL.
On configure typiquement Authentik avec OIDC pour Nextcloud et Odoo, LDAP pour le VPN et le Wi-Fi, et le proxy d'authentification pour les applications web internes qui n'ont pas de support SSO natif. Le tout hébergé au Québec, sur la même infrastructure que les autres services.
Le SSO, combiné à un gestionnaire de mots de passe, au MFA et à des pratiques de Zero Trust, c'est ce qui transforme une PME qui « fait attention » en une organisation qui a une vraie posture de sécurité.
Votre équipe jongle avec trop de mots de passe et vous aimeriez simplifier tout ça? Simplifions vos accès.
Sources
Authentik : site officiel et documentation
Authentik : fonctionnalités et protocoles supportés
Authentik : guide d'intégration Nextcloud
Authentik : notes de version 2026.2
Elest.io : comparatif Authentik vs Authelia vs Keycloak (2026)