Sécurité Avancée Open Source : SSO (Authentik), Secrets et Coffres

Formation inter-entreprise

À qui s'adresse la formation?

Administrateurs systèmes, DevOps, SRE, architectes sécurité ayant déjà des bases Linux, réseaux, Docker ou Kubernetes

Durée

5,00 jour(s)

Langues(s) de prestation

EN FR

Prochaine session

23.02.2026
Voir détails
Lieu
A distance

Prix

3875,00€

Prérequis

Bonnes notions de TLS, reverse proxy, DNS, LDAP/AD, conteneurs, notions d’OIDC/SAML

Objectifs

Déployer un SSO d’entreprise avec Authentik et fédération d’identités - Sécuriser et distribuer les secrets applicatifs avec HashiCorp Vault en haute disponibilité- Mettre en place des coffres forts numériques pour comptes privilégiés et secrets d’équipe - Industrialiser l’intégration SSO/Secrets dans CI/CD, VMs, conteneurs et Kubernetes, avec audit et rotation automatique

Contenu

Jour 1 — Déployer et fédérer un SSO avec Authentik

Positionner les standards d’authentification moderne : OIDC, OAuth2, SAML, tokens, scopes, claims
Installer Authentik en Docker Compose et découvrir Providers, Applications, Policies, Users, Groups
Configurer l’annuaire : intégration LDAP/AD, mappers d’attributs, synchronisation
Configurer les flux : OIDC (Authorization Code + PKCE), SAML SSO, proxies intégrés
Personnaliser l’expérience : pages de login, branding, gestion du consentement

Atelier fil rouge : protéger le Back-office de l’app avec Authentik et OIDC, mapping des rôles fonctionnels

Jour 2 — Renforcer Authentik en production

Sécuriser l’instance : TLS, reverse proxy NGINX/Traefik, gestion des secrets, 2FA/MFA
Gouverner les accès : Policies (IP, heures, groupes), RBAC avancé, delegation
Intégrer les IdP externes : Azure AD, Google Workspace, annuaires externes
Automatiser l’administration : API d’Authentik, scripts, backups, mises à jour
Monter en disponibilité : clustering, persistance Postgres, monitoring avec Prometheus
Auditer et tracer : logs, événements, intégration Wazuh/OpenSearch, alertes sur anomalies

Atelier fil rouge : basculer le Front et l’API sur OIDC avec Authentik, activer MFA adaptatif

Jour 3 — Gérer les secrets avec HashiCorp Vault

Comprendre les concepts : init/unseal, storage backend, auth methods, secret engines, policies
Installer Vault en mode dev puis HA intégré (Raft), activer l’audit device et les logs
Sélectionner les méthodes d’authent : AppRole, Kubernetes, LDAP, JWT, Token
Exploiter les moteurs de secrets : KV v2 pour config, Transit pour chiffrement/déchiffrement, Database pour secrets dynamiques, PKI pour certificats courts
Écrire des policies least-privilege et mettre en place l’auto-rotation des secrets dynamiques

Atelier fil rouge : extraire les secrets de l’app vers Vault KV, chiffrer des données avec Transit, générer des comptes DB éphémères

Jour 4 — Intégrer SSO et secrets dans l’infra et le CI/CD

Sécuriser les reverse proxies : NGINX auth_request + oauth2-proxy, Traefik ForwardAuth, intégration Authentik Proxy Provider
Intégrer dans les pipelines : accès temporaires à Vault depuis GitLab/Gitea Actions, masquage de variables, rotation post-déploiement
Gérer les secrets sur Kubernetes : auth k8s de Vault, CSI/Agent Injector, External Secrets Operator, bonnes pratiques de namespaces et RBAC
Protéger les accès SSH et machines : certificats SSH signés par Vault, récupération ponctuelle d’identifiants privilégiés
Comparer Ansible Vault, Mozilla SOPS/age et Vault pour IaC et inventaires

Atelier fil rouge : déployer l’app sur k3s avec Authentik (SSO via oauth2-proxy) et secrets rendus par External Secrets Operator

Jour 5 — Coffres forts numériques, PAM open source et conformité

Choisir un coffre d’équipe : Bitwarden (self-host), Passbolt et bonnes pratiques de partage et délégation
Mettre en place une gestion des comptes privilégiés légère : stratégies d’accès “break-glass”, justification, journalisation et rotation via Vault
Sécuriser les fichiers et sauvegardes : Borg/Restic, SOPS/age, chiffrement côté client, clés de récupération
Tracer et répondre aux incidents : tableaux de bord d’authent, détection de comportements anormaux, playbooks de révocation de tokens et rotation massive de secrets
Aligner conformité et durabilité : politique d’expiration des secrets, revues périodiques d’accès, sauvegardes et tests de restauration, matrice RACI et preuves d’audit

Atelier fil rouge : déployer un coffre d’équipe, migrer les secrets restants, documenter le runbook d’incident et les preuves d’audit

Livrables et évaluations

Livrables : dépôts Git des ateliers, exports de configuration Authentik, scripts d’initialisation Vault, manifests Kubernetes et playbooks CI fournis
Évaluation continue : quiz courts en fin de module, validation par la mise en œuvre complète du fil rouge, revue de sécurité finale avec checklist d’audit
Attendus en sortie : plateforme SSO Authentik opérationnelle, Vault HA avec politiques et moteurs clés, reverse proxy OIDC en place, intégration CI/CD ou Kubernetes, coffre d’équipe en production pilote

Méthodes pédagogiques

Active Learning

Évaluation

contrôle continu ou certification si prévue dans le financement

Prochaine session

Date
Ville
Language & prix
23.02.2026

27.02.2026
A distance
FR 3875,00€
Voir détails
18.05.2026

22.05.2026
A distance
FR 3875,00€
Voir détails
20.07.2026

24.07.2026
A distance
FR 3875,00€
Voir détails
14.09.2026

18.09.2026
A distance
FR 3875,00€
Voir détails
16.11.2026

20.11.2026
A distance
FR 3875,00€
Voir détails

Contact pour cette formation

Dawan - Service commercial

Ces formations pourraient vous intéresser

EN
Journée
WebDev
Sur demande
Informatique et systèmes d'information - Analyse programmation - Programmation - Programmation web