TL;DR : Un seul compte pour accéder à toutes vos applications, protégé par double facteur : c'est ce qu'offre Authentik, un fournisseur d'identité libre qui réunit authentification unique (SSO) et annuaire centralisé. C'est une excellente porte de sortie de la dépendance Microsoft pour la partie identité. Nuance importante : Authentik gère l'identité et le SSO, pas l'administration des postes Windows joints au domaine. Ce sont deux rôles différents d'Active Directory.
Chaque employé jongle avec une douzaine de mots de passe, et chaque départ laisse des comptes orphelins éparpillés un peu partout. C'est le quotidien sans annuaire central. Active Directory règle ce problème depuis plus de vingt ans, mais il vous arrime solidement à l'écosystème Microsoft. Authentik fait la même promesse côté identité, en libre.
Notre comparatif SSO et LDAP pour PME a déjà comparé Authentik à Keycloak; ici, on entre dans le concret de la migration depuis Active Directory.
Authentik en version courte
Authentik est un fournisseur d'identité : le point central qui sait qui est qui dans votre organisation et qui décide à quoi chaque personne a droit. Il parle tous les langages standards de l'authentification unique (SAML, OpenID Connect, OAuth2) et expose même un annuaire LDAP, de sorte que vos applications, qu'elles soient modernes ou plus anciennes, peuvent s'y brancher pour offrir un login unique avec deux facteurs. L'éventail des facteurs couvre les codes TOTP, les clés matérielles FIDO2/WebAuthn et les notifications push (via Duo), soit largement plus solide que le SMS auquel beaucoup d'organisations sont encore habituées. Le cœur est libre sous licence MIT; une édition Enterprise payante (paliers Professional et plus) ajoute surtout du support professionnel avec garanties de service (SLA), sans retirer de fonctions à la version libre.
Ce qu'Active Directory fait, et ce qu'Authentik reprend
Active Directory porte deux casquettes : il est à la fois l'annuaire d'identité (les comptes, les groupes, le login unique) et le gestionnaire des postes Windows joints au domaine (stratégies de groupe, déploiement de configurations). Authentik reprend brillamment la première casquette. La seconde, la gestion fine des postes Windows, reste le terrain d'Active Directory. Le reconnaître honnêtement, c'est éviter une migration mal cadrée.
À quoi ressemble la migration
On commence par un inventaire des applications et de la façon dont chacune s'authentifie. On déploie ensuite Authentik, on y intègre les applications une à une via les protocoles standards, et on met en place l'authentification à deux facteurs. Les comptes sont migrés ou synchronisés, et on fait fonctionner les deux systèmes en parallèle le temps de valider, avant de basculer pour de bon. Comme pour toute migration d'identité, la prudence et les essais priment sur la vitesse.
Là où il faut être prudent
L'identité, c'est le trousseau de clés de toute l'organisation : une mauvaise manipulation peut barrer la porte à tout le monde. D'où l'importance d'un déploiement en parallèle et de plans de secours testés. Et si votre parc repose lourdement sur la gestion de postes Windows par stratégie de groupe, sachez qu'Authentik ne remplace pas cette fonction précise : il faut alors penser l'architecture dans son ensemble plutôt que de viser un remplacement pièce pour pièce.
Ce qu'on en pense
Pour les organisations dont l'identité s'articule de plus en plus autour d'applications web et infonuagiques, Authentik est une cible de migration solide : un login unique libre, moderne, que vous maîtrisez de bout en bout, qui s'inscrit naturellement dans une démarche de sortie de la « taxe Microsoft ». On cadre la migration selon votre parc réel, en distinguant clairement ce qui se remplace de ce qui se complète.
Prêt à reprendre la main sur vos identités? Parlons-en.
Sources
- Authentik : documentation officielle