Nextcloud, GitLab, n8n, Grafana, un ERP, un CRM : plus une entreprise se digitalise, plus le nombre d'applications à gérer augmente. Chaque outil a ses propres identifiants, sa propre politique de mot de passe, sa propre gestion des comptes. Résultat : les utilisateurs réutilisent les mêmes mots de passe, les administrateurs perdent du temps, et la sécurité en pâtit.
Le SSO (Single Sign-On) résout ce problème : un seul identifiant pour toutes les applications. Keycloak est la solution open source de référence pour mettre en place un SSO d'entreprise.
Qu'est-ce que le SSO ?
Le Single Sign-On permet à un utilisateur de s'authentifier une seule fois, puis d'accéder à toutes les applications connectées sans ressaisir ses identifiants. C'est le même principe que « Se connecter avec Google », mais hébergé chez vous.
Les avantages sont multiples :
- Expérience utilisateur — un seul couple identifiant/mot de passe à retenir
- Sécurité — politique de mot de passe centralisée, authentification à deux facteurs (2FA) sur toutes les applications
- Administration — création et suppression d'un compte en un seul endroit, désactivation instantanée en cas de départ
- Audit — traçabilité centralisée des connexions et des accès
Keycloak : la référence open source
Keycloak est développé par Red Hat (IBM) et publié sous licence Apache 2.0. C'est le moteur d'identité derrière de nombreuses plateformes d'entreprise. Il prend en charge les standards majeurs :
- OAuth 2.0 / OpenID Connect — le standard moderne utilisé par la plupart des applications web et mobiles
- SAML 2.0 — le standard historique, encore utilisé par de nombreuses applications d'entreprise
- LDAP / Active Directory — synchronisation avec les annuaires d'entreprise existants
- 2FA / MFA — TOTP (Google Authenticator), WebAuthn (clés FIDO2, empreinte digitale), OTP par email
- Social login — connexion via Google, GitHub, ou tout fournisseur OpenID Connect
Keycloak vs Auth0 vs Okta
Auth0 (Okta) et Okta sont des solutions SaaS populaires pour la gestion d'identité. Elles sont simples à mettre en place, mais présentent des inconvénients :
Keycloak auto-hébergé vs Auth0 / Okta SaaS
Keycloak auto-hébergé
- Gratuit, licence Apache 2.0
- Données d'identité sur vos serveurs, en France
- Indépendant des conditions tarifaires d'un tiers
- Intégration native avec toute application OpenID Connect / SAML
- Synchronisation LDAP / Active Directory incluse
Auth0 / Okta (SaaS)
- Facturation par utilisateur actif (coût élevé à l'échelle)
- Données d'identité stockées aux États-Unis
- Dépendance aux conditions et tarifs du fournisseur
- Configuration avancée limitée selon le plan
- Code source propriétaire, non auditable
Keycloak, auto-hébergé, élimine ces trois problèmes : gratuit, souverain et sous votre contrôle.
Cas d'usage typique — SSO pour une stack open source
Une entreprise qui utilise Nextcloud, GitLab, n8n et Grafana configure Keycloak comme fournisseur d'identité central. Chaque application est enregistrée comme « client » OpenID Connect dans Keycloak. Les collaborateurs se connectent une seule fois avec leur identifiant d'entreprise et accèdent à toutes les applications sans ressaisir leur mot de passe. Quand un employé quitte l'entreprise, un seul clic dans Keycloak révoque tous ses accès instantanément.
Mise en place et intégration
Keycloak se déploie via Docker ou sur un serveur Java (Quarkus depuis la version 17, WildFly entièrement supprimé en version 20). Il fournit une console d'administration web complète pour gérer les utilisateurs, les rôles, les groupes et les politiques de sécurité.
La plupart des applications open source supportent nativement le SSO via OpenID Connect ou SAML : Nextcloud, GitLab, Grafana, n8n, WordPress, et des centaines d'autres. La configuration se résume généralement à renseigner l'URL du serveur Keycloak, un identifiant client et un secret.
Centraliser l'identité avec Datacampus
Déployer Keycloak est accessible, mais le maintenir en production demande de la rigueur : mises à jour de sécurité, sauvegardes de la base d'identités, haute disponibilité, monitoring.
Datacampus propose un hébergement Keycloak infogéré, intégré avec vos autres applications hébergées chez nous. Un seul fournisseur, un SSO centralisé, des données d'identité qui restent en France.