Authentification unique & sécurisée

Avec une dizaine de services, chacun avec son propre compte, on accumule les mots de passe, on multiplie les risques et on complique la vie des utilisateurs. Et quand quelqu'un change de rôle — ou s'en va — il faut penser à mettre à jour ses accès partout.

Le besoin : centraliser l'identité. Une seule connexion, des accès cohérents, une sécurité renforcée, et une administration qui ne repose pas sur la mémoire de l'administrateur.

J'ai déployé un fournisseur d'identité (Authentik) relié de façon sécurisée (LDAPS) à un annuaire d'entreprise de type Active Directory, avec sa propre autorité de certification interne. Toutes les applications délèguent leur connexion à ce point central, selon deux mécanismes standards du marché :

• OpenID Connect (OIDC) pour les applications qui le supportent nativement.
• Authentification déléguée (forward-auth) pour protéger les applications qui n'ont pas de gestion de comptes.

Deux choix forts pour la sécurité et le confort :

• Connexion sans mot de passe par clé d'accès (passkey / WebAuthn) — résistante au phishing, plus rapide qu'un mot de passe.
• Droits pilotés par les groupes de l'annuaire : appartenir à un groupe donne automatiquement accès aux bons services. Plus de gestion manuelle service par service.

J'ai aussi personnalisé les parcours : récupération de compte par email, inscription contrôlée, marque visuelle cohérente.

Pour l'utilisateur : une connexion, partout, sans friction. Pour l'administration : la sécurité est centralisée et cohérente — couper un accès se fait à un seul endroit, et les droits suivent automatiquement le profil. C'est exactement la logique zéro-trust attendue en entreprise.