← Zurück zur Übersicht
🔑 Referenz · Identität & SSO

Ein Login, der jede App kennt

Authentik ist die zentrale Identität des Homelabs. Apps binden sich über zwei Wege an: OIDC, wenn sie es nativ sprechen, oder ForwardAuth, wenn der Reverse Proxy sie davorschalten soll. Hochwertige Apps nutzen beides.

Wie sich Apps am SSO anmelden
AOIDC
🧑Browser
📦App
🔑Authentik · Login
🎫Token → App-Sitzung
BForwardAuth
🧑Browser
🔀Traefik
🔑Authentik · Session-Check?
📦App (nur wenn ok)
C = beides kombiniert — OIDC für die Identität, ForwardAuth als zusätzlicher Schutzwall

🎫OIDC (Pattern A)

Die App spricht direkt OpenID Connect mit Authentik: Login-Redirect, Token-Austausch, fertig. Inklusive Benutzer- und Gruppen-Sync — Rollen lassen sich aus Authentik-Gruppen ableiten.

OpenID ConnectGruppen → RollenForgejo · Immich

🛡️ForwardAuth (Pattern B)

Für Apps mit schwacher oder fehlender eigener Anmeldung prüft Traefik vor jeder Anfrage bei Authentik. Erst bei gültiger Sitzung wird durchgereicht — sonst Redirect zum Login.

TraefikPerimeterPrometheus · Kuma

🔐Beides kombiniert (Pattern C)

Defense in Depth: ForwardAuth als äußerer Schutzwall plus natives OIDC für saubere Identität in der App. Eine bestehende Sitzung greift durch beide — der Login fühlt sich wie ein Klick an.

Wiki.jsNextcloudGrafana

👥Gruppen statt Einzelrechte

Wer auf was darf, entscheidet die Gruppen-Zugehörigkeit in Authentik — eine zentrale Quelle der Wahrheit, kein Nutzer-Wirrwarr pro App.

GruppenRollen-Mappingzentral
Eingesetzter Stack
AuthentikOIDCForwardAuthTraefikEmbedded Outpost