🔐Single Sign-On im Heimnetz: Warum SSO auch privat absolut sinnvoll ist
Wer mehrere Dienste/Tools selbst betreibt – etwa Nextcloud, Proxmox, Portainer, Grafana, Paperless-ngx oder ioBroker – kennt das Problem:
- Mehrere Logins
- Unterschiedliche Passwörter
- Unterschiedliche Benutzerverwaltung
- Keine zentrale Rechtevergabe
- Multi-Factor-Authentifikation MFA überall separat konfigurieren
Spätestens wenn man im „gewachsenen“ Heimnetz Dienste von Außen zugänglich macht wird es im besten Fall unübersichtlich und im schlechtesten Fall unsicher und gefährlich. Eine sichere Lösung muss her!
Warum eine SSO-Lösung auch privat Sinn macht
Single Sign-On (SSO) bedeutet:
Ein Login = Zugriff auf alle Dienste.
User → Application → SSO-Tool → Token → Application → Access granted
1️⃣ Sicherheit steigt
- Zentrale Durchsetzung von MFA
- Einheitliche Passwort-Policies
- Kein „vergessenes“ Admin-Konto in irgendeinem Tool
- Schnellere Deaktivierung von Accounts
2️⃣ Benutzerverwaltung wird zentralisiert
Statt Benutzer in:
- Nextcloud
- Proxmox
- Grafana
- Portainer
- etc.
anzulegen, verwaltet man alles an einer Stelle.
3️⃣ Rollen & Gruppen statt Chaos
Man kann sauber definieren:
adminsfamilyiot-usersreadonly
Und diese Gruppen dann gezielt einzelnen Anwendungen zuweisen.
4️⃣ Komfort
Login bei einem Dienst → Zugriff auf alle anderen.
Keine erneute Passwortabfrage.
Gerade im privaten Umfeld mit mehreren Diensten ist SSO kein „Enterprise-Overkill“ (naja, schon ein bissle), aber ein enormer Gewinn an Übersicht und Sicherheit.
🏗️ Vollwertige Open-Source Identity-Provider im Vergleich
Wer SSO im Self-Hosting umsetzen möchte, landet zwangsläufig bei einer der folgenden gängigsten Open-Source-Lösungen. Damit beginnt die Qual der Wahl. Es kann sehr viel Zeit kosten, wenn man das falsche Tool nimmt, daher erst mal einen Vergleich machen 😉
🏛️ Keycloak
Enterprise-IAM-Plattform
Vorteile
- Unterstützt OIDC, OAuth2, SAML
- LDAP/AD Integration
- Extrem flexibel
- Große Community
Nachteile
- Java-basiert (höherer Ressourcenbedarf)
- Komplexe Konfiguration
- Steile Lernkurve
Geeignet für: Große Umgebungen mit komplexen Anforderungen.
🔐 Authentik
Moderner, flexibler Self-Hosted Identity Provider
Vorteile
- OIDC, OAuth2, SAML, Proxy-Modus
- Moderne Web-UI
- Docker-freundlich
- Gruppen & Policies sehr flexibel
- Ideal für Homelab + KMU
Nachteile
- Etwas Einarbeitung nötig
- Dokumentation umfangreich (aber gut)
Geeignet für: Self-Hosting-Umgebungen mit vielen unterschiedlichen Apps.
🛡️ Authelia
Leichtgewichtige Proxy-basierte Lösung
Vorteile
- Schnell eingerichtet
- Ideal für Reverse Proxy
- MFA integriert
Nachteile
- Kein vollwertiger IAM
- OIDC weniger flexibel als bei Authentik
Geeignet für: Kleine Umgebungen mit wenigen Apps.
☁️ ZITADEL
Cloud-orientierter moderner IdP
Vorteile
- OIDC & SAML
- Gute UI
- Skalierbar
Nachteile
- Teilweise komplex
- Mehr Enterprise-Fokus
🔐 TL;DR: Open-Source SSO / Identity-Provider Vergleich
| Kriterium | Authentik | Keycloak | Authelia | ZITADEL |
|---|---|---|---|---|
| Typ | Vollwertiger IdP + Proxy | Enterprise IAM | Reverse-Proxy Auth | Moderner IdP |
| OIDC Support | ✅ Vollständig | ✅ Vollständig | ✅ (eingeschränkt) | ✅ Vollständig |
| SAML Support | ✅ Ja | ✅ Ja | ❌ Nein | ✅ Ja |
| OAuth2 | ✅ Ja | ✅ Ja | ⚠️ Basis | ✅ Ja |
| Proxy-Modus (Apps ohne OIDC) | ✅ Ja | ❌ Nein | ✅ Ja | ❌ Nein |
| MFA integriert | ✅ Ja | ✅ Ja | ✅ Ja | ✅ Ja |
| LDAP/AD Integration | ✅ Ja | ✅ Ja | ⚠️ Eingeschränkt | ⚠️ Teilweise |
| Docker-freundlich | ✅ Sehr gut | ⚠️ Schwergewichtig | ✅ Sehr gut | ✅ Gut |
| Ressourcenbedarf | Mittel | Hoch | Niedrig | Mittel |
| UI / Bedienbarkeit | Modern & flexibel | Technisch & komplex | Minimalistisch | Modern |
| Komplexität | Mittel | Hoch | Niedrig | Mittel |
| Heimnetz-Eignung | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| Community / Reife | Groß & aktiv | Sehr groß | Mittel | Wachsend |
| Lernkurve | Mittel | Hoch | Niedrig | Mittel |
🏆 Warum Authentik die beste Wahl für mich war
Nach Abwägung aller Optionen fiel meine Entscheidung auf Authentik, weil:
- ✔️ Sehr gute Dokumentation und große Community
- ✔️ Open Source
- ✔️ Vollwertiger OIDC & SAML Support
- ✔️ Proxy-Modus für Apps ohne OIDC (z. B. ioBroker)
- ✔️ Docker-native Installation (habe ich die gute Doku erwähnt)
- ✔️ Gute Balance zwischen Enterprise-Features und Bedienbarkeit
- ✔️ Gruppen- und Rechteverwaltung
- ✔️ Zukunftssicher für wachsende Infrastruktur
Authentik bietet genau die Flexibilität, die ich für mein Heimnetz benötige – ohne (viel) unnötige Komplexität.
🚀 Authentik Installation mit Docker
(Schritt-für-Schritt)
Diese Anleitung basiert auf der offiziellen Docker-Installation.
🔹 Voraussetzungen
- Docker oder Portainer
- 2 GB RAM empfohlen
- Domain für Authentik (z. B.
id.hagenfragen.de) - Reverse Proxy empfohlen (z. B. NGINX Proxy Manager)
🔹 Schritt 1 – Arbeitsverzeichnis erstellen
mkdir authentik
cd authentik
🔹 Schritt 2 – Offizielle docker-compose.yml laden
wget https://goauthentik.io/docker-compose.yml
🔹 Schritt 3 – .env Datei erstellen
echo "PG_PASS=$(openssl rand -base64 36 | tr -d '\n')" >> .env
echo "AUTHENTIK_SECRET_KEY=$(openssl rand -base64 60 | tr -d '\n')" >> .env
Optional Ports anpassen:
echo "COMPOSE_PORT_HTTP=19000" >> .env
echo "COMPOSE_PORT_HTTPS=19443" >> .env
🔹 Schritt 4 – Container starten
docker compose pull
docker compose up -d
🔹 Schritt 5 – Initial Setup
Browser öffnen:
http://SERVER-IP:19000/if/flow/initial-setup/
Admin-Passwort setzen → Login.
🔹 Schritt 6 – Reverse Proxy konfigurieren
Im Reverse Proxy:
- Domain:
id.hagenfragen.de - Forward auf Authentik Container
- Websockets aktivieren
- TLS aktivieren
🎯 Fazit
SSO im privaten Umfeld ist kein bloßes „Weil ich es kann!“, sondern:
- Sicherheitsgewinn
- Strukturgewinn
- Komfortgewinn
Mit Authentik erhält man eine leistungsfähige, moderne und vollständig Open-Source-basierte Identitätslösung, die sowohl klassische OIDC-Integrationen als auch Proxy-Absicherung ermöglicht.
Für jedes gewachsene Heimnetz, das Dienste ins Internet exponiert ist SSO wirklich cool.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!