Authentik – Gestión de identidad y SSO open-source -

En un mundo donde cada vez usamos más servicios y aplicaciones, la gestión de accesos e identidades se convierte en un pilar crítico de seguridad. Authentik (conocido como goauthentik) es una solución open-source que permite implementar SSO (Single Sign-On), autenticación multifactor y control de identidades en entornos empresariales y homelabs.

Este post busca explorar en profundidad qué es Authentik, qué funciones ofrece, cómo se instala y cuáles son sus ventajas y limitaciones en 2025.

Detalles técnicos

Nombre: Authentik (goauthentik)
Versión estable actual: v2025.x (según lanzamientos recientes)
Origen oficial:
- 🌐 Página oficial
- 📦 Repositorio GitHub
- 🐳 Docker Hub
Licencia: Open Source (Apache 2.0).
Rama: community (con soporte activo de la comunidad y empresa detrás del proyecto).

Funciones principales de Authentik

🔑 Gestión de identidades (IdP)

Se comporta como un Identity Provider centralizado.
Soporta LDAP, Active Directory, OAuth2, SAML, OIDC.
Permite integración con aplicaciones de terceros (ej. Nextcloud, GitLab, Grafana, Vaultwarden).

👥 Single Sign-On (SSO)

Unifica el inicio de sesión en múltiples aplicaciones con una sola cuenta.
Soporta autenticación delegada (login con Google, Microsoft, GitHub, etc.).
Panel de usuario con acceso a todas las apps vinculadas.

🔐 Autenticación multifactor (MFA/2FA)

Métodos soportados:
- TOTP (Google Authenticator, Authy, Aegis).
- WebAuthn (llaves YubiKey, FIDO2).
- SMS/Email OTP (opcional).

📊 Auditoría y seguridad

Logs detallados de accesos y autenticaciones.
Políticas avanzadas de seguridad → definir cuándo, cómo y desde dónde un usuario puede acceder.
Alertas ante intentos de login fallidos o sospechosos.

🔄 Integración con aplicaciones

Compatible con aplicaciones modernas y legacy.
Conectores listos para Kubernetes, Proxmox, TrueNAS, Nextcloud, Gitea, etc.
API completa para integraciones personalizadas.

Instalación de Authentik

Existen varios métodos, siendo Docker Compose el más popular:

🔹 1. Docker Compose

Archivo docker-compose.yml típico:

version: "3"
 services:
 postgresql:
 image: postgres:13
 environment:
 POSTGRES_USER: authentik
 POSTGRES_PASSWORD: secretpassword
 POSTGRES_DB: authentik
 volumes:
 - ./pgdata:/var/lib/postgresql/data

redis:
image: redis:6server:
image: goauthentik/server:latest
environment:
AUTHENTIK_SECRET_KEY: supersecreto
AUTHENTIK_REDIS__HOST: redis
AUTHENTIK_POSTGRESQL__HOST: postgresql
AUTHENTIK_POSTGRESQL__USER: authentik
AUTHENTIK_POSTGRESQL__PASSWORD: secretpassword
AUTHENTIK_POSTGRESQL__NAME: authentik
ports:
– «9000:9000»
– «9443:9443»
depends_on:
– postgresql
– redis

Luego se accede a la interfaz web en https://tu-servidor:9443 para la configuración inicial.

🔹 2. Helm Chart (Kubernetes)

Authentik ofrece un chart oficial en Helm, lo que permite su despliegue en clusters K8s para entornos empresariales de gran escala.

🔹 3. TrueNAS SCALE

Authentik también puede instalarse como App de la comunidad en TrueNAS SCALE, simplificando su despliegue en homelabs.

Consumo de recursos

RAM mínima: 2 GB (ideal 4 GB para entornos con múltiples apps integradas).
CPU mínima: 2 vCPU.
Base de datos: requiere PostgreSQL.
Dependencias: Redis para sesiones.

En un homelab pequeño (con Nextcloud, Grafana, etc.), Authentik puede funcionar en una VM de 2 vCPU y 4 GB RAM sin problemas. En entornos empresariales, se recomienda escalar con múltiples instancias.

Ventajas

Open-source con comunidad activa.
Compatibilidad amplia (SAML, OIDC, LDAP, OAuth2).
Soporte moderno para WebAuthn y 2FA.
Alternativa libre a soluciones como Okta, Keycloak o Auth0.
Fácil despliegue vía Docker/Helm.

Desventajas

Curva de aprendizaje inicial (configuración de flujos y policies).
Documentación buena, pero aún menos extensa que competidores como Keycloak.
Requiere PostgreSQL y Redis → dependencias extra que aumentan complejidad.

Escenarios de uso

Homelabs → centralizar accesos a servicios como TrueNAS, Vaultwarden, Gitea y Nextcloud.
Pymes → controlar accesos de empleados a aplicaciones internas con un único login.
Empresas grandes → integración con LDAP/AD y uso de políticas de seguridad avanzadas.
Ciberseguridad → implementación de MFA y monitoreo de accesos.

Veredicto

Authentik (goauthentik.io) es, en 2025, una de las soluciones más atractivas para quienes buscan gestión de identidades y SSO de código abierto. Su enfoque en compatibilidad con estándares modernos, facilidad de despliegue en Docker/Kubernetes y soporte de MFA lo convierten en un fuerte competidor frente a soluciones propietarias como Okta o Auth0, y frente al veterano Keycloak.

En homelabs y pymes resulta ideal por su equilibrio entre potencia y accesibilidad, mientras que en entornos empresariales ofrece la flexibilidad necesaria para integrarse en arquitecturas más complejas.

👉 Referencias oficiales:

🌐 Sitio oficial
📦 Repositorio GitHub
📖 Documentación
🐳 Docker Hubhttps://github.com/goauthentik/authentik?utm_source=chatgpt.co

Si desea seguir conociendo proyectos interesantes como este puede hacerlo en el siguiente enlace: https://blog.aewhitedevs.com/category/proyectos/

Comentarios

Deja una respuesta Cancelar la respuesta