La seguridad y la gestión de identidades se han convertido en pilares críticos tanto en empresas como en homelabs. Dos de las soluciones open-source más populares en este terreno son Authentik (goauthentik.io) y Authelia (authelia.com).
Ambas buscan resolver el mismo problema: centralizar la autenticación y mejorar la seguridad de aplicaciones y servicios web, pero lo hacen con enfoques distintos. En este artículo comparamos sus características, ventajas, desventajas y casos de uso ideales.
Comparativa rápida
| Característica | Authentik | Authelia |
|---|---|---|
| Tipo de solución | Identity Provider (IdP) completo | Portal de autenticación (proxy) |
| Protocolos soportados | SAML, OIDC, OAuth2, LDAP | OIDC (parcial), LDAP, integración vía proxy |
| SSO (Single Sign-On) | Sí, nativo (estilo Okta/Keycloak) | Limitado (depende del proxy) |
| 2FA/MFA | TOTP, WebAuthn, SMS, Email OTP | TOTP, Duo Push, WebAuthn, U2F |
| Integración con apps | Muy amplia: Nextcloud, Grafana, Proxmox, TrueNAS, Gitea, etc. | Funciona como capa previa a cualquier app web detrás de Nginx/Traefik |
| Base de datos | PostgreSQL | PostgreSQL/MySQL/MariaDB o SQLite |
| Requisitos extra | Redis para sesiones | Reverse proxy obligatorio (Nginx, Traefik, HAProxy, Caddy) |
| Interfaz web | Moderna y completa (dashboard de usuarios) | Simple y funcional (enfoque en seguridad) |
| Consumo de recursos | Medio (2 vCPU, 4 GB RAM recomendados) | Ligero (1 vCPU, 512 MB RAM en homelab) |
| Curva de aprendizaje | Media/Alta → flujo de políticas más complejo | Media → depende de conocimientos en proxies |
| Enfoque ideal | Gestión de identidades centralizada (IdP enterprise) | Seguridad extra para apps self-hosted detrás de proxy |
| Alternativa a | Okta, Keycloak, Auth0 | Duo, CAS, portales 2FA personalizados |
Diferencias clave
🔹 Enfoque de diseño
Authentik → diseñado como proveedor de identidad completo (IdP). Actúa como la “fuente de verdad” para credenciales y permisos, compatible con aplicaciones modernas vía SAML/OIDC.
Authelia → funciona más como un firewall de autenticación: protege aplicaciones web al colocarse delante de ellas mediante un proxy reverso (Nginx/Traefik).
🔹 Escalabilidad
Authentik escala mejor en entornos empresariales complejos, con muchos usuarios, roles y aplicaciones distintas.
Authelia brilla en homelabs y pymes que solo necesitan proteger servicios web expuestos.
🔹 Experiencia de usuario
Authentik → ofrece un portal central tipo “dashboard” donde el usuario ve todas sus apps disponibles con SSO.
Authelia → simplemente pide login antes de permitir acceso a cada aplicación protegida.
Ventajas de Authentik
IdP moderno, pensado como alternativa libre a Okta/Keycloak.
Integraciones listas con TrueNAS, Grafana, Nextcloud, Proxmox, etc.
Experiencia de usuario más completa (portal con apps).
Ventajas de Authelia
Ligero y rápido, con pocos requisitos de hardware.
Excelente para proteger rápidamente aplicaciones detrás de Nginx/Traefik.
Configuración YAML simple y flexible.
Limitaciones
Authentik → más pesado y complejo de configurar; requiere PostgreSQL y Redis.
Authelia → no es un IdP completo; limitado para escenarios de SSO empresarial.
¿Cuál elegir en 2025?
Elige Authentik si…
Necesitas un IdP central con SSO real.
Quieres integrar múltiples aplicaciones empresariales.
Buscas una alternativa libre a Okta/Auth0.
Elige Authelia si…
Quieres algo ligero para proteger apps self-hosted.
Solo necesitas 2FA y control de acceso sin complejidad extra.
Usas Nginx Proxy Manager, Traefik o HAProxy como front-end.
Veredicto
En 2025, tanto Authentik como Authelia son proyectos sólidos y mantenidos, pero con enfoques diferentes:
Authentik es la elección para quienes buscan un gestor de identidad completo (IdP con SSO, roles y políticas avanzadas).
Authelia es la opción ideal para quienes solo necesitan proteger servicios web con login central y 2FA, sin complicarse con un ecosistema más pesado.
En resumen:
Para empresas medianas o grandes → Authentik.
Para homelabs y pymes → Authelia.
Si desea seguir conociendo proyectos interesantes como este puede hacerlo en el siguiente enlace: https://blog.aewhitedevs.com/category/opinion-personal/
