Ein Login, der jede App kennt
Authentik ist die zentrale Identität des Homelabs. Apps binden sich über zwei Wege an: OIDC, wenn sie es nativ sprechen, oder ForwardAuth, wenn der Reverse Proxy sie davorschalten soll. Hochwertige Apps nutzen beides.
🎫OIDC (Pattern A)
Die App spricht direkt OpenID Connect mit Authentik: Login-Redirect, Token-Austausch, fertig. Inklusive Benutzer- und Gruppen-Sync — Rollen lassen sich aus Authentik-Gruppen ableiten.
🛡️ForwardAuth (Pattern B)
Für Apps mit schwacher oder fehlender eigener Anmeldung prüft Traefik vor jeder Anfrage bei Authentik. Erst bei gültiger Sitzung wird durchgereicht — sonst Redirect zum Login.
🔐Beides kombiniert (Pattern C)
Defense in Depth: ForwardAuth als äußerer Schutzwall plus natives OIDC für saubere Identität in der App. Eine bestehende Sitzung greift durch beide — der Login fühlt sich wie ein Klick an.
👥Gruppen statt Einzelrechte
Wer auf was darf, entscheidet die Gruppen-Zugehörigkeit in Authentik — eine zentrale Quelle der Wahrheit, kein Nutzer-Wirrwarr pro App.