Библиотека знаний - software:sso
Заметки IT программиста
http://178.140.10.58:8080/
2026-04-16T23:31:15+00:00
Библиотека знаний
http://178.140.10.58:8080/
http://178.140.10.58:8080/lib/exe/fetch.php?media=wiki:dokuwiki.svg
-
text/html
2025-12-05T17:12:03+00:00
Anonymous (anonymous@undisclosed.example.com)
Authentik
http://178.140.10.58:8080/doku.php?id=software:sso:goauthentik
<div class="tags"><span>
<a href="http://178.140.10.58:8080/doku.php?id=tag:sso&do=showtag&tag=%5Bsso" class="wikilink1" title="tag:sso" rel="tag">[sso</a>,
<a href="http://178.140.10.58:8080/doku.php?id=tag:keycloak&do=showtag&tag=keycloak%5D" class="wikilink1" title="tag:keycloak" rel="tag">keycloak]</a>
</span></div>
<h1 class="sectionedit1" id="authentik">Authentik</h1>
<div class="level1">
<p>
Authentik - это провайдер аутентификации с открытым исходным кодом, который отличается гибкостью и универсальностью, поддерживая широкий набор протоколов.
</p>
<p>
При развертывании приложений в домашней лаборатории вы можете столкнуться с тем, что некоторые из них вовсе не поддерживают аутентификацию либо поддерживают базовую в которой могут иметься уязвимости. Так же малое количество сервисов из коробки поддерживает 2FA (двухфакторная аутентификация). Помимо этого для каждого сервиса вам приходится придумывать отдельно логин и пароль, что может запутать когда этих сервисов у вас много. Выход из всего этого есть и это - Authentik.
</p>
<p>
Технология единого входа (Single sign-on SSO) — метод аутентификации, который позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учетных данных.
</p>
</div>
<!-- EDIT{"target":"section","name":"Authentik","hid":"authentik","codeblockOffset":0,"secid":1,"range":"25-1570"} -->
<h2 class="sectionedit2" id="docker-composeyml">docker-compose.yml</h2>
<div class="level2">
<pre class="code yaml"><span class="co4">services</span>:<span class="co3">
postgres</span><span class="sy2">: </span><span class="co1">## аусентик использует PG как основную БД</span><span class="co3">
image</span><span class="sy2">: </span>postgres:16-alpine<span class="co3">
container_name</span><span class="sy2">: </span>postgres<span class="co4">
ports</span><span class="sy2">:
</span> - <span class="st0">"5432:5432"</span><span class="co4">
environment</span>:<span class="co3">
POSTGRES_USER</span><span class="sy2">: </span>authentik<span class="co3">
POSTGRES_PASSWORD</span><span class="sy2">: </span>password<span class="co3">
POSTGRES_DB</span><span class="sy2">: </span>authentik_demo
<span class="co4">
redis</span>:<span class="co3">
image</span><span class="sy2">: </span>redis:alpine<span class="co3">
container_name</span><span class="sy2">: </span>redis<span class="co3">
restart</span><span class="sy2">: </span>always<span class="co4">
ports</span><span class="sy2">:
</span> - <span class="st0">"6379:6379"</span><span class="co3">
command</span><span class="sy2">: </span><span class="st0">"--requirepass authentik"</span>
<span class="co4">
server</span>:<span class="co3">
image</span><span class="sy2">: </span>ghcr.io/goauthentik/server:2024.6.3<span class="co3">
restart</span><span class="sy2">: </span>unless-stopped<span class="co3">
command</span><span class="sy2">: </span>server<span class="co4">
environment</span>:<span class="co3">
AUTHENTIK_EMAIL__HOST</span><span class="sy2">: </span>mailhog<span class="co3">
AUTHENTIK_EMAIL__PORT</span><span class="sy2">: </span>1025<span class="co3">
AUTHENTIK_EMAIL__USE_TLS</span><span class="sy2">: </span>false<span class="co3">
AUTHENTIK_EMAIL__USE_SSL</span><span class="sy2">: </span>false<span class="co3">
AUTHENTIK_EMAIL__FROM</span><span class="sy2">: </span>authentik@localhost<span class="co3">
AUTHENTIK_REDIS__HOST</span><span class="sy2">: </span>redis<span class="co3">
AUTHENTIK_REDIS__PASSWORD</span><span class="sy2">: </span>authentik<span class="co3">
AUTHENTIK_POSTGRESQL__HOST</span><span class="sy2">: </span>postgres<span class="co3">
AUTHENTIK_POSTGRESQL__USER</span><span class="sy2">: </span>authentik<span class="co3">
AUTHENTIK_POSTGRESQL__NAME</span><span class="sy2">: </span>authentik_demo<span class="co3">
AUTHENTIK_POSTGRESQL__PASSWORD</span><span class="sy2">: </span>password<span class="co3">
AUTHENTIK_SECRET_KEY</span><span class="sy2">: </span>auth <span class="co1"># super secret key</span><span class="co3">
AUTHENTIK_LOG_LEVEL</span><span class="sy2">: </span>trace<span class="co4">
ports</span><span class="sy2">:
</span> - <span class="st0">"9005:9000"</span>
- <span class="st0">"9443:9443"</span><span class="co4">
depends_on</span><span class="sy2">:
</span> - postgres
- redis
<span class="co4">
worker</span>:<span class="co3">
image</span><span class="sy2">: </span>ghcr.io/goauthentik/server:2024.6.3<span class="co3">
restart</span><span class="sy2">: </span>unless-stopped<span class="co3">
command</span><span class="sy2">: </span>worker<span class="co4">
environment</span>:<span class="co3">
AUTHENTIK_EMAIL__HOST</span><span class="sy2">: </span>mailhog<span class="co3">
AUTHENTIK_EMAIL__PORT</span><span class="sy2">: </span>1025<span class="co3">
AUTHENTIK_EMAIL__USE_TLS</span><span class="sy2">: </span>false<span class="co3">
AUTHENTIK_EMAIL__USE_SSL</span><span class="sy2">: </span>false<span class="co3">
AUTHENTIK_EMAIL__FROM</span><span class="sy2">: </span>authentik@localhost<span class="co3">
AUTHENTIK_REDIS__HOST</span><span class="sy2">: </span>redis<span class="co3">
AUTHENTIK_REDIS__PASSWORD</span><span class="sy2">: </span>authentik<span class="co3">
AUTHENTIK_POSTGRESQL__HOST</span><span class="sy2">: </span>postgres<span class="co3">
AUTHENTIK_POSTGRESQL__USER</span><span class="sy2">: </span>authentik<span class="co3">
AUTHENTIK_POSTGRESQL__NAME</span><span class="sy2">: </span>authentik_demo<span class="co3">
AUTHENTIK_POSTGRESQL__PASSWORD</span><span class="sy2">: </span>password<span class="co3">
AUTHENTIK_SECRET_KEY</span><span class="sy2">: </span>auth <span class="co1"># super secret key</span><span class="co3">
user</span><span class="sy2">: </span>root<span class="co4">
depends_on</span><span class="sy2">:
</span> - postgres
- redis
- mailhog
<span class="co3">
mailhog</span><span class="sy2">: </span><span class="co1"># мок smtp сервер, UI доступен на порту 8025 (можно посмотреть все отправленные письма)</span><span class="co3">
image</span><span class="sy2">: </span>mailhog/mailhog<span class="co3">
container_name</span><span class="sy2">: </span>mailhog<span class="co4">
ports</span><span class="sy2">:
</span> - <span class="st0">"1025:1025"</span>
- <span class="st0">"8025:8025"</span></pre>
</div>
<!-- EDIT{"target":"section","name":"docker-compose.yml","hid":"docker-composeyml","codeblockOffset":0,"secid":2,"range":"1571-"} -->
-
text/html
2025-12-07T03:05:02+00:00
Anonymous (anonymous@undisclosed.example.com)
keycloak
http://178.140.10.58:8080/doku.php?id=software:sso:keycloak
<div class="tags"><span>
<a href="http://178.140.10.58:8080/doku.php?id=tag:sso&do=showtag&tag=%5Bsso" class="wikilink1" title="tag:sso" rel="tag">[sso</a>,
<a href="http://178.140.10.58:8080/doku.php?id=tag:oauth2-proxy&do=showtag&tag=oAuth2-proxy" class="wikilink1" title="tag:oauth2-proxy" rel="tag">oAuth2-proxy</a>,
<a href="http://178.140.10.58:8080/doku.php?id=tag:keycloak&do=showtag&tag=keycloak%5D" class="wikilink1" title="tag:keycloak" rel="tag">keycloak]</a>
</span></div>
<h1 class="sectionedit1" id="keycloak">keycloak</h1>
<div class="level1">
<ul>
<li class="level1"><div class="li">
Единая точка входа (SSO) – пользователи входят один раз и получают доступ ко всем связанным приложениям
</div></li>
<li class="level1"><div class="li">
Централизованное управление – все пользователи, роли и группы управляются через единую административную панель
</div></li>
<li class="level1"><div class="li">
Готовые страницы авторизации – формы входа, регистрации, восстановления пароля уже реализованы и настраиваются визуально
</div></li>
<li class="level1"><div class="li">
Поддержка стандартов – полная совместимость с OpenID Connect, OAuth 2.0 и SAML 2.0
</div></li>
<li class="level1"><div class="li">
Реалмы (Realms) – возможность создания изолированных областей для разных групп пользователей или проектов
</div></li>
<li class="level1"><div class="li">
Гибкость интеграции – официальные адаптеры для популярных фреймворков и возможность создания собственных
</div></li>
<li class="level1"><div class="li">
Низкий порог входа – простое внедрение даже для разработчиков без глубоких знаний в области безопасности
</div></li>
<li class="level1"><div class="li">
Кастомизация внешнего вида – возможность полностью настроить дизайн страниц аутентификации под ваш бренд (сегодня рассматривать не будем)
</div></li>
</ul>
</div>
<!-- EDIT{"target":"section","name":"keycloak","hid":"keycloak","codeblockOffset":0,"secid":1,"range":"38-1688"} -->
<h3 class="sectionedit2" id="gogatekeeper_keycloak">goGatekeeper + keycloak</h3>
<div class="level3">
</div>
<!-- EDIT{"target":"section","name":"goGatekeeper + keycloak","hid":"gogatekeeper_keycloak","codeblockOffset":0,"secid":2,"range":"1689-1723"} -->
<h3 class="sectionedit3" id="oauth2-proxy_keycloak">OAuth2-Proxy + keycloak</h3>
<div class="level3">
<p>
<a href="http://178.140.10.58:8080/lib/exe/detail.php?id=software%3Asso%3Akeycloak&media=software:sso:1_unn3rhctmbztwt6dliczwg.webp" class="media" title="software:sso:1_unn3rhctmbztwt6dliczwg.webp"><img src="http://178.140.10.58:8080/lib/exe/fetch.php?media=software:sso:1_unn3rhctmbztwt6dliczwg.webp" class="mediacenter" loading="lazy" alt="" /></a>
</p>
<p>
Обратный прокси-сервер, который обеспечивает аутентификацию с помощью Google, Azure, OpenID Connect и многих других поставщиков удостоверений личности.
</p>
</div>
<!-- EDIT{"target":"section","name":"OAuth2-Proxy + keycloak","hid":"oauth2-proxy_keycloak","codeblockOffset":0,"secid":3,"range":"1724-"} -->