Authentik auf Ubuntu einrichten

Authentik ist eine moderne Open-Source-Lösung für Identity Management, Single Sign-On (SSO) und Multi-Faktor-Authentifizierung. Damit kannst du zentrale Logins für interne Webanwendungen, Self-Hosted-Dienste und Admin-Tools bereitstellen, statt überall eigene Benutzerkonten und Passwörter zu pflegen.

In dieser Anleitung richten wir Authentik auf einem Ubuntu Server mit Docker Compose ein. Du lernst die Grundinstallation, den ersten Admin-Login, einen sauberen Betrieb hinter einem Reverse Proxy und die wichtigsten Punkte für Sicherheit und Wartung.

1. Voraussetzungen

• Ubuntu Server 22.04 oder neuer
• Root- oder Sudo-Zugriff
• Docker und Docker Compose Plugin
• Optional eine Domain wie auth.example.com für den Betrieb hinter einem Reverse Proxy
• Optional ein Reverse Proxy wie Caddy, Nginx Proxy Manager oder Traefik

Falls Docker auf deinem Server noch fehlt, helfen dir diese Anleitungen weiter:

• Docker auf Ubuntu Server installieren
• Caddy als Reverse Proxy auf Ubuntu

2. Arbeitsverzeichnis erstellen

Lege zunächst ein eigenes Verzeichnis für Authentik an und wechsle hinein:

mkdir -p ~/authentik
cd ~/authentik

Damit bleiben Compose-Dateien, Umgebungsvariablen und persistente Daten sauber getrennt.

3. Offizielle Compose-Datei herunterladen

Authentik stellt eine offizielle Docker-Compose-Datei bereit. Lade sie direkt von der Projekt-Dokumentation herunter:

wget https://goauthentik.io/version/2025.8/docker-compose.yml

Prüfe danach kurz, ob die Datei vorhanden ist:

ls -lh

Du solltest nun mindestens eine docker-compose.yml im aktuellen Verzeichnis sehen. Falls du eine andere Dateiversion oder URL bevorzugst, kannst du sie natürlich entsprechend anpassen.

4. Sichere Umgebungsvariablen anlegen

Authentik benötigt mindestens einen starken Secret Key sowie ein Passwort für PostgreSQL. Wir schreiben beide Werte in eine .env-Datei:

echo "PG_PASS=$(openssl rand -base64 36 | tr -d '\n')" >> .env
echo "AUTHENTIK_SECRET_KEY=$(openssl rand -base64 60 | tr -d '\n')" >> .env

Optional kannst du direkt zusätzliche Werte ergänzen, zum Beispiel eine Admin-E-Mail als Merkhilfe für die erste Einrichtung:

echo "AUTHENTIK_BOOTSTRAP_EMAIL=admin@example.com" >> .env

Kontrolliere den Inhalt anschließend:

cat .env

Wichtig: Committe diese Datei nie in ein Git-Repository und behandle sie wie ein Passwort-Container.

5. Container starten

Ziehe die Images und starte den Stack im Hintergrund:

docker compose pull
docker compose up -d

Prüfe danach, ob die Container sauber laufen:

docker compose ps

Wenn etwas nicht startet, helfen die Logs oft sofort weiter:

docker compose logs -f server worker

Beim ersten Start kann es einen Moment dauern, bis Migrationen abgeschlossen sind und Authentik bereit ist.

6. Ersten Zugriff durchführen

Ohne Reverse Proxy erreichst du Authentik zunächst direkt über den Server und den Web-Port:

http://10.0.0.5:9000/if/flow/initial-setup/

Öffne diese URL im Browser. Dort legst du den ersten Admin-Benutzer an. Verwende am besten:

• eine echte Admin-E-Mail wie admin@example.com
• ein langes, starkes Passwort
• später zusätzlich MFA für das Admin-Konto

Falls die Seite noch nicht erreichbar ist, warte kurz und prüfe erneut die Container-Logs.

7. Authentik hinter einem Reverse Proxy betreiben

Für einen produktiven Betrieb ist eine eigene Domain und ein Reverse Proxy mit HTTPS sehr zu empfehlen. Mit Caddy könnte eine einfache Konfiguration so aussehen:

auth.example.com {
    reverse_proxy localhost:9000
}

Nach dem Reload des Proxys erreichst du Authentik dann sauber über:

https://auth.example.com

Das bringt dir:

• saubere HTTPS-TLS-Terminierung
• eine feste URL für SSO-Integrationen
• bessere Benutzerfreundlichkeit für spätere Anwendungen und Outposts

Wenn du bereits Caddy, Traefik oder Nginx Proxy Manager im Einsatz hast, solltest du Authentik immer über so eine Domain veröffentlichen statt dauerhaft nur per IP und Port zu arbeiten.

8. Wichtige Grundeinstellungen nach dem ersten Login

Nach dem ersten Login solltest du direkt ein paar Dinge sauber setzen:

• MFA aktivieren für deinen Admin-Account
• E-Mail-Versand konfigurieren, damit Einladungen und Recovery-Funktionen später funktionieren
• Branding und Domain sauber prüfen
• Backups für die Docker-Volumes und PostgreSQL-Daten einplanen

Gerade bei einer zentralen Identitätslösung sind Backups und ein zweiter Zugang mit ausreichenden Rechten extrem wichtig. Sperrst du dich aus, betrifft das später potenziell mehrere Dienste auf einmal.

9. Beispiel: Was du später mit Authentik absichern kannst

Authentik eignet sich besonders gut für Self-Hosted-Dienste wie:

• Portainer
• Grafana
• Nextcloud
• Gitea oder GitLab
• interne Admin-Oberflächen und Dashboards

Statt überall lokale Benutzer anzulegen, kannst du Zugriffe zentral verwalten, Gruppen definieren und bei Bedarf zusätzliche Policies oder MFA-Regeln aktivieren.

10. Updates einspielen

Halte Authentik regelmäßig aktuell. Ein Update läuft in der Regel so:

cd ~/authentik
wget -O docker-compose.yml https://goauthentik.io/version/2025.8/docker-compose.yml
docker compose pull
docker compose up -d

Prüfe danach erneut die Logs und den Login. Vor größeren Versionssprüngen solltest du immer ein Backup der Datenbank und Volumes haben.

11. Sicherheitshinweise

• Expose Authentik nicht unnötig direkt ohne Reverse Proxy ins Internet
• Aktiviere MFA mindestens für Admin-Konten
• Schütze Docker und den Server selbst mit Updates, Firewall und sauberem SSH-Setup
• Erstelle regelmäßige Backups der Daten und teste die Wiederherstellung
• Dokumentiere deine Domain, SMTP-Konfiguration und Admin-Zugänge sauber

Authentik wird schnell zu einer zentralen Komponente deiner Infrastruktur. Genau deshalb lohnt es sich, von Anfang an sauber und sicher aufzusetzen.

12. Fazit

Mit Authentik bekommst du eine leistungsstarke Open-Source-Plattform für SSO, MFA und zentrales Identity Management. Auf Ubuntu lässt sich das mit Docker Compose sehr sauber und überschaubar betreiben.

Wenn du bereits mehrere interne Webdienste betreibst, ist Authentik ein sinnvoller nächster Schritt: weniger Passwort-Chaos, bessere Zugriffskontrolle und deutlich professionellere Benutzerverwaltung.

Tipp:
Kombiniere Authentik mit einem Reverse Proxy wie Caddy und integriere danach Schritt für Schritt Dienste wie Grafana, Portainer oder Gitea.