Skip to main content
server.camp Docs
Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Zurück zur Startseite
  1. Dokumentation
  2. /
  3. Dienste
  4. /
  5. Authentik
  6. /
  7. Erste Schritte

Erste Schritte

Du hast ein managed Authentik bei server.camp bestellt – herzlichen Glückwunsch! Damit hast du die Grundlage für ein zentrales, sicheres Login-Management in deinem Unternehmen gelegt. Diese Anleitung richtet sich an Freelancer und kleine bis mittlere Unternehmen, die ihre Mitarbeitenden und Apps ohne komplizierte IT-Kenntnisse zentral verwalten wollen.

Warum Authentik im Unternehmen?

In vielen KMU sieht die Realität so aus: Jede Software hat ihre eigene Benutzerverwaltung. Die neue Kollegin bekommt für jedes Tool ein eigenes Konto – Mattermost, Nextcloud, GitLab, Paperless-ngx, das interne Wiki. Wenn sie das Unternehmen verlässt, muss sie in jedem System einzeln deaktiviert werden – und meistens wird das vergessen.

Authentik löst dieses Problem: Es ist ein zentraler Identity Provider (IdP), bei dem alle Anwendungen “nachfragen”, wer sich gerade anmeldet. Du verwaltest Benutzer, Passwörter und Berechtigungen an einem einzigen Ort.

Typische Einsatzszenarien im KMU:

  • Onboarding: Neues Teammitglied bekommt ein einziges Konto in Authentik – und hat damit Zugang zu allen verbundenen Apps
  • Offboarding: Konto in Authentik deaktivieren – Zugriff auf alle verbundenen Systeme sofort gesperrt
  • Single Sign-On (SSO): Einmal einloggen, alle Tools nutzen – ohne Passwort-Flut
  • Zwei-Faktor-Authentifizierung (2FA): Einmal für alle Apps konfigurieren, statt in jedem Tool separat
  • Externe Zugriffe absichern: Lieferanten, Freelancer oder Kunden bekommen temporäre Zugänge mit genau definierten Rechten
  • Passwort-Richtlinien durchsetzen: Zentrale Regeln für alle Tools – Mindestlänge, Komplexität, Ablaufdaten

Grundkonzept: Was Authentik wie verbindet

Authentik kennt einige zentrale Begriffe, die du kennen solltest:

  • Provider – eine Verbindungsmethode zwischen Authentik und einer App (z. B. OAuth2, SAML, LDAP, Proxy)
  • Application – eine App, die Authentik zur Anmeldung nutzt (z. B. “Nextcloud”, “Mattermost”)
  • Flow – der Ablauf, den ein Benutzer bei der Anmeldung durchläuft (z. B. “Passwort eingeben → 2FA-Code eingeben”)
  • Stage – ein einzelner Schritt in einem Flow (z. B. “Passwort prüfen”, “TOTP-Code verlangen”)
  • Policy – eine Regel, die bestimmt, wer unter welchen Bedingungen Zugang bekommt
  • Source – eine externe Benutzerquelle, aus der Authentik Benutzer und Gruppen importiert (z. B. Active Directory, OpenLDAP)
  • Brand – ein Branding-Profil, das Aussehen und Verhalten der Oberfläche steuert (Logo, Farben, Hintergrundbild)
Für den Einstieg
Du musst Policies, Flows und Stages nicht sofort im Detail verstehen. Für den Einstieg reicht es, Benutzer und Gruppen anzulegen und Apps anzubinden. Die vorinstallierten Standard-Flows von Authentik funktionieren für die meisten Organisationen ohne Anpassung.

Authentik an dein Unternehmen anpassen (Branding)

Bevor deine Mitarbeitenden Authentik zum ersten Mal sehen, solltest du die Oberfläche an dein Unternehmen anpassen. Eine Login-Seite mit eurem eigenen Logo und euren Farben wirkt professionell und schafft Vertrauen – besonders wenn auch externe Partner oder Kunden darüber Zugang erhalten.

Logo und Favicon

  1. Öffne die Admin-Oberfläche und navigiere zu System → Brands
  2. Klicke auf das Bearbeiten-Symbol neben dem bestehenden Brand (oder erstelle einen neuen)
  3. Unter Brand-Einstellungen findest du die Felder:
  • Branding Title: Der Titel, der im Browser-Tab und in der Oberfläche angezeigt wird (z. B. euer Firmenname)
  • Logo: Wird oben links angezeigt – lade hier euer Firmenlogo hoch
  • Favicon: Das kleine Icon im Browser-Tab
Logo-Tipps
Verwende ein SVG-Format für das Logo – es skaliert verlustfrei auf jeder Bildschirmgröße. Achte darauf, unnötigen Leerraum um das Logo herum zu entfernen und feste Breiten-/Höhen-Angaben aus der SVG-Datei zu löschen, damit es sich responsiv an den verfügbaren Platz anpasst. Ein SVG-Editor wie Inkscape oder Figma hilft dabei.

Hintergrundbild der Login-Seite

Das Hintergrundbild wird auf der Login-Seite und allen anderen Flows (Passwort-Reset, Registrierung etc.) angezeigt.

  1. Unter System → Brands → Brand bearbeiten das Feld Default flow background nutzen
  2. Lade ein Bild hoch oder hinterlege eine URL zu einem Bild
Hintergrundbild pro Flow
Du kannst das Hintergrundbild auch pro Flow individuell überschreiben, falls z. B. die Login-Seite anders aussehen soll als die Passwort-Reset-Seite. Das konfigurierst du unter Flows & Stages → Flows → Flow bearbeiten → Background.

Farben und Custom CSS

Ab Authentik 2025.4 kannst du direkt in der Admin-Oberfläche eigenes CSS hinterlegen, ohne Dateien auf dem Server zu ändern:

  1. Navigiere zu System → Brands → Brand bearbeiten
  2. Scrolle zum Feld Custom CSS
  3. Hinterlege dein CSS

Ein Beispiel, um die Primärfarbe eures Unternehmens durchzusetzen:

:root {
    --pf-global--primary-color--100: #1a73e8; /* Eure Hauptfarbe */
    --pf-global--primary-color--200: #1557b0; /* Etwas dunkler für Hover */
}
Farben an eure CI anpassen
Die CSS-Variablen --pf-global--primary-color--100 und --pf-global--primary-color--200 steuern die Akzentfarbe von Buttons, Links und aktiven Elementen. Ersetze die Hex-Werte durch eure Unternehmensfarben. Das sorgt für ein konsistentes Erscheinungsbild über die gesamte Login-Oberfläche.

Flow-Texte anpassen

Die Texte auf der Login-Seite (z. B. “Willkommen bei authentik” oder “Einloggen”) kannst du individuell anpassen:

  1. Navigiere zu Flows & Stages → Flows
  2. Bearbeite den gewünschten Flow (z. B. default-authentication-flow)
  3. Passe den Titel an – z. B. “Willkommen bei MeineFirma” oder “Login – Vereinsname e.V.”

Anwendungs-Icons setzen

Damit deine Nutzer auf der “Meine Anwendungen”-Seite sofort erkennen, welches Tool welches ist, hinterlege für jede Anwendung ein Icon:

  1. Unter Anwendungen → Anwendungen die jeweilige App öffnen
  2. Im Feld Icon ein Logo hochladen (z. B. das Nextcloud- oder Mattermost-Logo)
  3. Optional eine Beschreibung hinzufügen (z. B. “Dateien & Cloud-Speicher”)
Mehrere Domains, verschiedenes Branding
Authentik unterstützt mehrere Brands für verschiedene Domains. Wenn du z. B. eine Instanz für dein Unternehmen und eine für einen Kunden betreibst, kannst du für jede Domain ein eigenes Logo, Farbschema und Hintergrundbild konfigurieren – unter System → Brands → Create.

Bestehendes Active Directory / LDAP anbinden

Wenn dein Unternehmen bereits ein Active Directory (AD) oder einen LDAP-Server betreibt, kannst du Authentik damit verbinden. Authentik synchronisiert dann automatisch Benutzer und Gruppen aus dem bestehenden Verzeichnis. Das bedeutet: Deine Mitarbeitenden können sich mit ihren bekannten AD-Zugangsdaten bei allen über Authentik angebundenen Apps anmelden.

Voraussetzungen

Bevor du die Verbindung einrichtest, stelle sicher, dass:

  • Authentik eine Netzwerkverbindung zum LDAP-/AD-Server herstellen kann (ggf. VPN oder Firewall-Regeln erforderlich)
  • Ein Service-Account im AD/LDAP existiert, mit dem Authentik das Verzeichnis lesen kann (nur Leserechte reichen für die Synchronisation; für Passwort-Writeback sind Schreibrechte nötig)
  • Du die Base DN deines Verzeichnisses kennst (z. B. DC=firma,DC=local)
  • Für Passwort-Writeback: LDAPS (Port 636) muss aktiviert sein – unverschlüsseltes LDAP erlaubt kein Zurückschreiben von Passwörtern ins AD
Netzwerkverbindung bei Managed Hosting
Da deine Authentik-Instanz bei server.camp gehostet wird, muss dein AD-/LDAP-Server von außen erreichbar sein – entweder direkt (z. B. über eine feste IP mit Firewall-Regeln) oder über einen VPN-Tunnel. Kontaktiere unseren Support, wenn du Unterstützung bei der Netzwerkeinrichtung benötigst.

LDAP Source einrichten

  1. Öffne die Admin-Oberfläche und navigiere zu Verzeichnis → Federation & Social Login
  2. Klicke auf Create und wähle LDAP Source
  3. Konfiguriere die Verbindungseinstellungen:
Feld Beschreibung Beispielwert
Name Frei wählbarer Name Active Directory Firma
Server URI Adresse des LDAP-/AD-Servers ldaps://dc01.firma.local
Enable StartTLS Nur aktivieren wenn kein LDAPS (Port 636) genutzt wird Nein (bei LDAPS)
Bind CN Benutzername des Service-Accounts CN=svc-authentik,OU=Service Accounts,DC=firma,DC=local oder svc-authentik@firma.local
Bind Password Passwort des Service-Accounts (dein Passwort)
Base DN Basis-DN für alle Abfragen DC=firma,DC=local
Mehrere Domain Controller
Für Hochverfügbarkeit kannst du mehrere Server-URIs kommagetrennt angeben, z. B. ldaps://dc01.firma.local,ldaps://dc02.firma.local. Authentik wählt beim Verbinden automatisch einen verfügbaren Server aus.
  1. Unter Synchronisationseinstellungen:
Option Empfehlung Erklärung
Sync Users Aktivieren Benutzer werden aus dem AD/LDAP synchronisiert
Sync Groups Aktivieren Gruppen werden aus dem AD/LDAP synchronisiert
User password writeback Nach Bedarf Wenn aktiviert, werden in Authentik geänderte Passwörter zurück ins AD geschrieben (erfordert LDAPS und Schreibrechte)
Update internal password on login Empfohlen Speichert das AD-Passwort als Hash in Authentik, sodass ein Login auch bei kurzfristiger AD-Nichterreichbarkeit funktioniert
  1. Unter Property Mappings:
  • User Property Mappings: Wähle alle Mappings aus, die mit authentik default LDAP und authentik default Active Directory beginnen
  • Group Property Mappings: Wähle authentik default LDAP Mapping: Name
  1. Unter Additional Settings (optional, je nach AD-Struktur anpassen):
Feld Beschreibung Standardwert
Addition User DN Wird der Base DN vorangestellt, um die Benutzersuche einzuschränken (leer – durchsucht gesamte Base DN)
Addition Group DN Wird der Base DN vorangestellt, um die Gruppensuche einzuschränken (leer)
User object filter LDAP-Filter für Benutzerobjekte (&(objectClass=user)(!(objectClass=computer)))
Group object filter LDAP-Filter für Gruppenobjekte (objectClass=group)
Group membership field Attribut, das die Gruppenmitgliedschaft definiert member
Object uniqueness field Eindeutiges Identifikationsfeld objectSid (für AD)
Parent Group Optionale Elterngruppe für alle synchronisierten Gruppen z. B. eine Gruppe importiert-aus-ad
Scope einschränken
Wenn du nicht alle Benutzer und Gruppen aus dem gesamten AD synchronisieren möchtest, nutze die Felder Addition User DN und Addition Group DN, um den Sync auf bestimmte OUs einzuschränken. Beispiel: Setze Addition User DN auf OU=Mitarbeiter, um nur Benutzer aus der OU “Mitarbeiter” unterhalb der Base DN zu synchronisieren.
  1. Klicke auf Finish, um die LDAP Source zu speichern

Synchronisation prüfen

Nach dem Speichern startet Authentik automatisch eine Synchronisation im Hintergrund. Den Status kannst du überprüfen:

  1. Navigiere zu Dashboards → System Tasks
  2. Suche nach den Tasks ldap_sync_users und ldap_sync_groups
  3. Dort siehst du, wie viele Benutzer und Gruppen synchronisiert wurden – und ob Fehler aufgetreten sind

Die synchronisierten Benutzer findest du anschließend unter Verzeichnis → Benutzer, die Gruppen unter Verzeichnis → Gruppen.

Synchronisationsintervall
Authentik synchronisiert standardmäßig regelmäßig mit dem LDAP-Server. Änderungen im AD (neue Benutzer, deaktivierte Konten, Gruppenmitgliedschaften) werden beim nächsten Sync-Lauf automatisch übernommen. Du kannst eine Synchronisation auch jederzeit manuell anstoßen, indem du unter Verzeichnis → Federation & Social Login die LDAP Source auswählst und auf Sync klickst.

Passwort-Writeback (optional)

Wenn du möchtest, dass Passwortänderungen in Authentik auch ins Active Directory zurückgeschrieben werden:

  1. Stelle sicher, dass die Verbindung über LDAPS (Port 636) läuft – Passwort-Writeback funktioniert nur über eine verschlüsselte Verbindung
  2. Der Service-Account benötigt Schreibrechte auf die Passwort-Attribute der Benutzerobjekte im AD
  3. Aktiviere User password writeback in den Einstellungen der LDAP Source
Sicherheitshinweis zu Passwörtern
Wenn Update internal password on login aktiviert ist, speichert Authentik einen Hash des AD-Passworts in seiner eigenen Datenbank. Das ermöglicht ein Fallback-Login bei AD-Nichterreichbarkeit. Beachte aber: Wird das Passwort im AD geändert, ist das alte Passwort in Authentik weiterhin gültig, bis der Benutzer sich erneut über LDAP anmeldet oder der nächste Sync läuft.

Fehlerbehebung LDAP-Anbindung

Problem Mögliche Ursache Lösung
Keine Benutzer synchronisiert Falsche Base DN oder User object filter Base DN und Filter prüfen; ggf. Addition User DN entfernen und breiter suchen
Verbindung fehlgeschlagen Netzwerk, Firewall oder falsche URI Prüfen, ob Authentik den AD-Server erreichen kann; LDAPS-Zertifikat prüfen
Gruppen fehlen Group object filter passt nicht Filter prüfen; bei AD ist (objectClass=group) der Standard
Login mit AD-Passwort funktioniert nicht LDAP-Backend nicht in Password Stage aktiviert Unter Flows & Stages → Stages die Password Stage prüfen und “authentik LDAP” aktivieren
Passwort-Writeback schlägt fehl Kein LDAPS oder fehlende Schreibrechte LDAPS aktivieren und Berechtigungen des Service-Accounts prüfen

Benutzer und Gruppen anlegen

Hinweis bei LDAP/AD-Anbindung
Wenn du Benutzer und Gruppen aus einem bestehenden Active Directory oder LDAP synchronisierst (siehe oben), werden diese automatisch in Authentik angelegt. Die folgenden Schritte sind dann primär relevant für zusätzliche Benutzer, die nur in Authentik existieren sollen (z. B. externe Partner oder Freelancer ohne AD-Konto).

Benutzer anlegen

Benutzer verwaltest du unter Verzeichnis → Benutzer. Klicke auf “Erstellen” und fülle die Pflichtfelder aus:

  • Benutzername – wird für den Login verwendet (z. B. max.mustermann)
  • Name – Anzeigename (z. B. “Max Mustermann”)
  • E-Mail – für Benachrichtigungen und Passwort-Reset
  • Passwort – entweder direkt setzen oder den Benutzer per E-Mail einladen, selbst eines zu vergeben
Praxistipp
Lege eine einheitliche Namenskonvention fest – z. B. immer vorname.nachname als Benutzernamen. Das macht die Verwaltung bei wachsendem Team deutlich einfacher und sorgt für eindeutige Bezeichner in allen verbundenen Apps. Wenn du ein AD anbindest, übernimmt Authentik die Konvention aus dem AD (z. B. sAMAccountName).

Gruppen anlegen

Gruppen findest du unter Verzeichnis → Gruppen. Lege Gruppen an, die deiner Unternehmensstruktur entsprechen:

Empfohlene Gruppen für KMU:

Gruppe Zugang zu
geschaeftsfuehrung Alle Apps, Adminbereiche
buchhaltung Paperless-ngx, Nextcloud (Buchhaltungsordner)
entwicklung GitLab, Mattermost, Nextcloud
alle-mitarbeiter Mattermost, Wiki, Nextcloud (allgemeine Bereiche)
extern Nur spezifische, freigegebene Apps

Weise Benutzer dann den passenden Gruppen zu. Viele App-Integrationen erlauben es, den Zugang auf bestimmte Gruppen zu beschränken – so hat nicht automatisch jeder Zugriff auf alles.

Gruppen aus dem AD nutzen
Wenn du Gruppen aus dem AD synchronisierst, kannst du diese direkt in Authentik verwenden, um den Zugang zu Apps zu steuern. Du musst keine separaten Gruppen in Authentik anlegen – nutze einfach die bestehenden AD-Gruppen. Optional kannst du in der LDAP Source eine Parent Group (z. B. importiert-aus-ad) setzen, damit synchronisierte Gruppen klar von manuell angelegten Gruppen unterscheidbar sind.

Anwendungen anbinden (SSO einrichten)

Der wichtigste Schritt: Deine bestehenden Tools mit Authentik verbinden. Authentik unterstützt mehrere Standards:

OAuth2 / OpenID Connect (OIDC)

Empfehlenswert für moderne Apps wie Nextcloud, Mattermost, Gitea/GitLab, Paperless-ngx und viele mehr. Das Prinzip ist immer ähnlich:

In Authentik:

  1. Unter Anwendungen → Provider einen neuen “OAuth2/OpenID Connect Provider” anlegen
  2. Name vergeben (z. B. “Nextcloud”)
  3. Redirect URIs eintragen – das sind die Adressen, an die Authentik nach dem Login weiterleitet (die jeweilige App-Dokumentation gibt vor, welche URL das ist)
  4. Client ID und Client Secret werden automatisch generiert – diese brauchst du für die App

In der App:

  1. In den Einstellungen der App den SSO-Bereich öffnen
  2. Client ID, Client Secret und die Authentik-URL eintragen
  3. Fertig – beim nächsten Login erscheint ein “Login mit Authentik”-Button
Zugang auf Gruppen beschränken
Beim Anlegen einer Application in Authentik kannst du unter Policy / Group / User Bindings festlegen, welche Gruppen Zugriff auf die App haben. So kannst du z. B. sicherstellen, dass nur die Gruppe buchhaltung Zugang zu Paperless-ngx hat, während alle-mitarbeiter Zugriff auf Mattermost und Nextcloud bekommen.

LDAP

Ältere Systeme (z. B. bestimmte VPN-Gateways, ältere ERP-Systeme) nutzen LDAP. Authentik kann als LDAP-Server fungieren. Das erfordert etwas mehr Konfiguration – melde dich beim Support, wenn du LDAP-Anbindung brauchst.

Zwei-Faktor-Authentifizierung (2FA / MFA)

Authentik macht es einfach, 2FA für alle verbundenen Apps einzuführen – ohne dass du in jeder App separat etwas konfigurieren musst.

TOTP (Authenticator App)

Die verbreitetste Methode: Ein 6-stelliger Code aus einer Authenticator-App (z. B. Aegis, Google Authenticator, Bitwarden Authenticator).

So aktivierst du TOTP für deine Nutzer:

  1. Unter Flows & Stages → Stages eine neue Stage vom Typ “Authenticator TOTP Setup Stage” anlegen
  2. Diese Stage in den Standard-Enrollment-Flow oder einen eigenen Flow einbauen
  3. Beim nächsten Login werden Benutzer aufgefordert, ihren Authenticator einzurichten
Empfehlung
Mache 2FA für die Gruppe geschaeftsfuehrung verpflichtend, für alle anderen empfohlen. Du kannst Policies erstellen, die den Zugang zu bestimmten Apps nur erlauben, wenn 2FA aktiv ist.

Selbstbedienung für Nutzer

Jeder Benutzer kann unter Einstellungen (oben rechts im User-Interface) seinen eigenen 2FA-Code einrichten, sein Passwort ändern und verbundene Apps sehen. Du musst als Admin nicht für jeden einzelnen Nutzer tätig werden.

Einladungen und Self-Service-Registrierung

Benutzer einladen

Statt Passwörter selbst zu setzen und zu verteilen, kannst du Benutzer per E-Mail einladen:

  1. Benutzer anlegen, E-Mail-Adresse eintragen
  2. Unter Verzeichnis → Benutzer den Benutzer öffnen
  3. “Wiederherstellungslink erstellen” – dieser Link ermöglicht dem Nutzer, selbst ein Passwort zu setzen

So kommen keine Passwörter per E-Mail in Umlauf.

Gastkonten für externe Partner

Für Freelancer, Kunden oder Lieferanten, die temporären Zugang brauchen:

  1. Benutzer anlegen und der Gruppe extern zuweisen
  2. Ablaufdatum für das Konto setzen (unter Benutzerprofil → “Account Expiry”)
  3. Nur die Apps freigeben, die der externe Nutzer braucht – per Gruppenbeschränkung am Provider
Externe ohne AD-Konto
Wenn du ein Active Directory anbindest, ergibt es oft Sinn, externe Partner nicht ins AD aufzunehmen, sondern als reine Authentik-Benutzer anzulegen. So bleiben sie vom internen Verzeichnis getrennt und du kannst ihre Zugänge unabhängig vom AD verwalten.

Benutzer deaktivieren (Offboarding)

Wenn ein Teammitglied das Unternehmen verlässt, reicht ein einziger Schritt:

  1. Unter Verzeichnis → Benutzer den Benutzer öffnen
  2. “Deaktivieren” klicken

Der Benutzer kann sich ab sofort bei keiner verbundenen App mehr anmelden – unabhängig davon, ob er sein Passwort noch kennt. Aktive Sessions werden beim nächsten Token-Refresh ungültig (in der Regel nach wenigen Minuten bis einer Stunde, je nach App-Konfiguration).

Sofortige Sperrung
Für sofortige Sperrung aktiver Sessions: Unter Verzeichnis → Benutzer → Token alle aktiven Token des Benutzers widerrufen. Damit wird der Zugang auch in laufenden Sessions sofort unterbrochen.
Offboarding bei AD-Anbindung
Wenn du ein Active Directory als Quelle nutzt, genügt es in der Regel, das Konto im AD zu deaktivieren. Beim nächsten Synchronisationslauf übernimmt Authentik den Status automatisch und sperrt den Benutzer auch dort. Du musst also nicht an zwei Stellen deaktivieren.

Audit-Log: Wer hat sich wann wo angemeldet?

Authentik protokolliert alle Anmeldungen und Änderungen. Das Log findest du unter Ereignisse → Log. Praktisch für:

  • Sicherheitsvorfälle nachvollziehen (“Hat sich jemand aus einem unbekannten Land eingeloggt?”)
  • Compliance-Anforderungen (Nachweise für ISO 27001, DSGVO etc.)
  • Troubleshooting bei fehlgeschlagenen Logins

Authentik mit externen Identity Providern verbinden

Authentik kann nicht nur als eigenständiger Identity Provider fungieren, sondern auch als vermittelnde Schicht zwischen externen IdPs und deinen Apps. Das ist praktisch, wenn du bereits ein bestehendes Identitätsmanagement hast – etwa Google Workspace, Microsoft 365/Azure AD oder einen anderen Dienst.

So funktioniert es: Authentik verbindet sich mit dem externen IdP (z. B. über OpenID Connect oder SAML) und leitet die Anmeldung dorthin weiter. Der Benutzer loggt sich also mit seinem Google- oder Microsoft-Konto ein – Authentik übernimmt dabei die Steuerung: Welche Gruppen bekommt der Nutzer? Welche Apps darf er nutzen? Muss er zusätzlich 2FA einrichten?

Unterstützte externe IdPs:

  • Google Workspace (OAuth2/OIDC)
  • Microsoft 365 / Azure Active Directory (OIDC oder SAML)
  • Okta, Auth0, OneLogin, JumpCloud
  • Keycloak, AWS Cognito
  • Jeder IdP, der OAuth2, OIDC oder SAML unterstützt

Typische Szenarien:

  • Dein Team nutzt bereits Google Workspace – Mitarbeitende sollen sich mit ihrem Google-Konto bei allen weiteren Apps (Mattermost, Nextcloud etc.) anmelden
  • Du willst einen Microsoft-365-Account als primären Login nutzen, aber Berechtigungen und Gruppenregeln zentral in Authentik verwalten
  • Du möchtest einem Kunden oder Partner den Zugang über seinen eigenen IdP ermöglichen, ohne ihm einen Account bei dir anlegen zu müssen

Für die Einrichtung einer externen IdP-Verbindung unterstützt dich unser Support gerne.

Zusammenfassung: Empfohlene Reihenfolge der Einrichtung

Für ein reibungsloses Setup empfehlen wir folgende Reihenfolge:

  1. Branding anpassen – Logo, Favicon, Farben und Hintergrundbild konfigurieren, damit die Login-Seite von Anfang an professionell aussieht
  2. LDAP/AD anbinden (falls vorhanden) – Benutzer und Gruppen aus dem bestehenden Verzeichnis synchronisieren
  3. Gruppen strukturieren – Bestehende AD-Gruppen nutzen oder neue Gruppen in Authentik anlegen
  4. Anwendungen anbinden – SSO für Nextcloud, Mattermost & Co. einrichten und Zugang per Gruppen steuern
  5. 2FA aktivieren – Mindestens für Admins verpflichtend, für alle anderen empfohlen
  6. Benutzer einladen – Passwort-Reset-Links versenden, damit Mitarbeitende sich selbst ein Passwort setzen

Noch Fragen?

Falls du Unterstützung bei der Einrichtung von SSO-Integrationen brauchst, Fragen zur 2FA-Konfiguration hast oder LDAP-Anbindung benötigst, erreichst du uns jederzeit unter support@server.camp. Wir helfen dir gerne!

Häufig gestellte Fragen zu Authentik findest du auch auf unserer Produktseite.

gdoc_arrow_left_alt Authentik DocuSeal gdoc_arrow_right_alt