Services
Contactez-nous

Comparer 10 outils MFA open source

Cem Dilmegani
Cem Dilmegani
mis à jour le 3 juin 2026
Loading Chart

Lors du lancement de votre gratuit et open source authentification multi-facteurs (MFA) mise en œuvre, envisagez :

  • Solutions MFA de niveau entreprise: Keycloak, Authelia, Authentik, Zitadel, et Kanidm offrent une gestion complète de l'identité et des accès (IAM) avec prise en charge de plusieurs protocoles d'authentification.
  • Outils MFA légers: Hanko, LLDAP, FreeIPA, privacyIDEA, et Rauthy sont plus simples à configurer et mieux adaptés aux petits environnements ou aux installations auto-hébergées.

Fonctionnalités des solutions MFA open source

  • Architecture multi-locataire : Permet plusieurs groupes d'utilisateurs indépendants (locataires) avec des données et des configurations isolées.
  • Impersonation de jeton : Permet la délégation sécurisée de jetons ou l'usurpation d'identité d'un utilisateur/d'une application pour des actions autorisées.
  • Authentification biométrique : Propose des facteurs biométriques tels que les empreintes digitales.
  • Google Clé de sécurité Titan: Un dispositif d'authentification basé sur le matériel qui fournit une 2FA résistante au hameçonnage ou une connexion sans mot de passe.

Tous les outils (sauf LDAP) prennent en charge les jetons matériels (par exemple, YubiKey) et le protocole d'authentification sans mot de passe FIDO2 / WebAuthN. FIDO2 n'utilise pas de secrets partagés, tels que les mots de passe ; il minimise les vulnérabilités associées aux violations de données.

Fonctionnalités d'entreprise

  • OpenTelemetry : Standard open source et ensemble de technologies pour la capture et l'exportation de métriques, de traces et de journaux.
  • Sessions personnalisées : Permet un contrôle granulaire des comportements de session, tels que :
    • Comment et quand la MFA est déclenchée (par exemple, lors de la connexion, pour des actions sensibles).
    • Le type de méthodes MFA prises en charge (par exemple, TOTP, WebAuthn, SMS)
  • Fonctionnalités d'auto-service :
    • Réinitialisation du mot de passe
    • Inscription de l'utilisateur

Prise en charge de la gestion des accès privilégiés (PAM)

Les outils avec PAM vous permettent de gérer les droits d'accès des utilisateurs privilégiés.

Capacités d'auto-audit

Les capacités d'auto-audit améliorent la traçabilité des journaux, ce qui est essentiel pour les outils MFA (authentification multi-facteurs). Ils aident à suivre les activités non autorisées ou suspectes, telles que l'activation/désactivation de la MFA, les tentatives de connexion échouées et l'utilisation d'OTP.

Solutions MFA de niveau entreprise

Keycloak, Authelia, Authentik, Zitadel, et Kanidm offrent de vastes capacités MFA. Ces gratuits MFA outils offrent :

  • Plusieurs méthodes MFA : TOTP (mot de passe à usage unique basé sur le temps), WebAuthn, SMS, OIDC (OpenID Connect), E-mail, Push, authentification biométrique, et MFA basée sur l'approbation.
  • Plusieurs protocoles d'authentification: OAuth2, OIDC (OpenID Connect), SAML, LDAP, et RADIUS.
  • Personnalisation accrue : RBAC granulaire et connexions SSO sociales personnalisées (OIDC/OAuth2) via des politiques MFA.

Keycloak

Keycloak est une plateforme IAM open source qui couvre SSO, la fédération d'identité, la connexion sociale et RBAC, et prend en charge SAML, OAuth2, OIDC et LDAP dès la sortie de la boîte.

  • Keycloak prend en charge plusieurs backends de base de données, notamment PostgreSQL, MySQL, MariaDB, Oracle, et Microsoft SQL Server.1
  • L'automatisation du flux de travail d'administration, les autorisations JWT, l'authentification par jeton de compte de service Kubernetes pour les clients et la prise en charge complète d'OpenTelemetry pour les métriques et la journalisation. 2

Keycloak est plus complexe à installer et à configurer que Authelia ou Authentik. L'interface d'administration par défaut couvre une large surface qui peut être difficile à naviguer pour les équipes axées sur un ensemble restreint de cas d'utilisation.

Authelia

Authelia est un serveur d'authentification et d'autorisation open source qui fournit 2FA et SSO pour les applications web via un proxy inverse. Plutôt que d'agir comme une plateforme d'identité autonome, il fonctionne comme un compagnon pour des proxies tels que nginx, Traefik, Caddy et HAProxy, se plaçant devant les applications et gérant les décisions d'authentification. La configuration est gérée entièrement via un fichier YAML, ce qui le rend simple à versionner et à auditer, mais nécessite une familiarité avec le schéma de configuration.

Architecture et empreinte des ressources

L'image du conteneur fait moins de 20 Mo et utilise généralement moins de 30 Mo de RAM, ce qui en fait l'une des options les plus légères de cette liste. Authelia a obtenu la certification OpenID Connect 1.0 et peut agir comme fournisseur OIDC pour les applications en aval.3

Mises à jour récentes

La version 4.39 a ajouté les clés d'accès/connexion sans mot de passe via WebAuthn, le flux de code appareil pour les scénarios de connexion TV et d'écran partagé, les critères réseau pour les politiques d'autorisation OIDC et la prise en charge de la référence de méthode d'authentification RFC8176 pour communiquer le niveau d'authentification à des tiers.4

Fonctionnalités clés

FIDO2 WebAuthn avec des clés matérielles telles que YubiKey, TOTP avec des applications d'authentificateur compatibles, notifications push mobiles via Duo, connexion sans mot de passe via des clés d'accès, contrôle d'accès basé sur les politiques et prise en charge de Kubernetes via le graphique Helm.

Limitations

  • Authelia n'a pas de multi-locataire, pas de prise en charge PAM et pas d'interface utilisateur de gestion des utilisateurs intégrée ; les comptes utilisateurs sont gérés via un backend LDAP ou un fichier YAML statique.
  • Les équipes qui ont besoin d'un portail utilisateur d'auto-service ou d'une gestion des appareils devraient évaluer Authentik ou Kanidm à la place.

Authentik

Authentik est une plateforme IAM auto-hébergée qui couvre SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM et authentification forward. Par rapport à Keycloak, elle nécessite moins de configuration initiale pour les équipes sans expérience dédiée en infrastructure d'identité.

Mises à jour récentes

La version 2025.12 a ajouté la gestion des appareils de terminaux pour Windows, macOS et Linux via l'agent Authentik, l'interface conditionnelle WebAuthn, une refonte complète de RBAC avec des groupes à parents multiples et des permissions héritées par rôle, et la gestion centralisée des fichiers avec prise en charge de S3.5

La version 2026.2 a ajouté un fournisseur WS-Federation pour SharePoint et les applications natives Windows, un connecteur de flotte pour les signaux d'appareils de terminaux et l'accès conditionnel, la prise en charge de PAM Linux pour la connexion locale aux appareils et la génération de certificats ED25519/ED448.6

Sécurité

Authentik maintient un programme annuel de test d'intrusion et un processus formel de divulgation des CVE. Trois CVE ont été publiés en février 2026, dont un critique, corrigés dans les versions 2025.8.6, 2025.10.4 et 2025.12.4. Les équipes exécutant des instances auto-hébergées doivent maintenir les mises à jour.7

Limitations

  • À partir de la version 2025.10, Redis n'est plus requis ; Authentik fonctionne uniquement sur PostgreSQL.8
  • PostgreSQL reste une dépendance stricte, ce qui ajoute une surcharge opérationnelle pour les déploiements personnels sur un seul hôte.
  • Authentik n'a également pas de prise en charge native d'OpenTelemetry.

ZITADEL

ZITADEL est une plateforme d'infrastructure d'identité auto-hébergée construite autour de la multi-locataire. Elle prend en charge OpenID Connect, OAuth2, SAML 2, LDAP, clés d'accès/FIDO2, OTP et SCIM 2.0.

Mises à jour récentes

ZITADEL a achevé la migration des ressources principales (instances, organisations, projets, applications et utilisateurs) vers une API v2 basée sur les ressources.9

  • La connexion V2 est devenue disponible en général et est devenue la valeur par défaut pour les nouveaux clients dans la version 4. Actions V2 a remplacé le système d'extension intégré V1 par des webhooks pilotés par les événements qui s'exécutent en dehors du processus principal, permettant une prise en charge polyglotte et une mise à l'échelle découplée.10
  • La prise en charge de CockroachDB a été supprimée ; PostgreSQL est la seule base de données prise en charge à partir de la version 3. 11

Limitations

L'administration nécessite une familiarité avec le modèle de locataire multicouche de ZITADEL, ce qui ajoute une complexité de configuration pour les déploiements d'une seule organisation. La feuille de route 2026 indique que l'équipe travaille sur la simplification de ce modèle et l'unification de la console de gestion.12

Kanidm

Kanidm est une plateforme de gestion d'identité auto-hébergée écrite en Rust.

  • Contrairement à LDAP, qui ne fournit que des services d'annuaire, Kanidm inclut nativement OAuth2, OIDC, RADIUS, la gestion des clés SSH et l'intégration PAM Linux sans nécessiter de composants externes.
  • L'administration est principalement basée sur CLI ; l'interface web couvre l'auto-service utilisateur et certaines tâches de gestion de compte, mais pas toutes les tâches administratives.

Mises à jour récentes

L'interface web a été réécrite dans cette version, avec une prise en charge des thèmes. Kanidm suit un calendrier de publication trimestriel. Les mises à niveau doivent être effectuées séquentiellement à travers chaque version mineure.13

Limitations

Le modèle d'administration axé sur CLI nécessite une aisance avec les outils en ligne de commande. Les propres benchmarks de Kanidm avec 3 000 utilisateurs et 1 500 groupes rapportent environ 3 fois plus rapide pour la recherche et 5 fois plus rapide pour les opérations d'écriture par rapport à FreeIPA, bien que les résultats varient selon la charge de travail.14

Outils MFA légers

Hanko, LDAP, FreeIPA, privacyIDEA, et Rauthy couvrent des périmètres plus étroits que les plateformes IAM complètes comme Keycloak ou Authentik. Leur prise en charge des protocoles, leurs options de personnalisation et leur complexité de déploiement varient considérablement, de sorte que l'étiquette de catégorie « léger » couvre un large éventail.

Découvrez davantage de nos benchmarks et analyses basées sur les données dans la recherche Google.
GoogleAjouter comme source préférée

Hanko

Hanko est un service d'authentification open source axé sur la connexion sans mot de passe. Il prend en charge les clés d'accès, TOTP, les clés de sécurité, SSO OAuth (Apple, Google, GitHub) et SSO SAML personnalisé. Il inclut la gestion des sessions côté serveur et la révocation à distance des sessions.

Il ne prend pas en charge les connexions sociales OIDC/OAuth2 personnalisées, l'usurpation d'identité utilisateur, les sessions privilégiées/à étapes, les notifications de sécurité par e-mail ou les métadonnées utilisateur personnalisées. Les équipes nécessitant ces capacités ont besoin d'une plateforme plus complète.

LLDAP

LLDAP est un serveur LDAP léger. Il expose une interface LDAP standard et une interface web pour la gestion de base des utilisateurs et des groupes, y compris la réinitialisation des mots de passe par e-mail. Il ne fournit pas de protocoles d'authentification tels que OAuth2 ou OIDC, qui nécessitent un composant séparé (Keycloak, Authelia, etc.) placé devant lui.

Par défaut, les données utilisateur sont stockées dans SQLite. MySQL/MariaDB et PostgreSQL sont également pris en charge. LLDAP est principalement utilisé dans des environnements auto-hébergés où les applications nécessitent LDAP pour les recherches d'utilisateurs, mais où l'opérateur souhaite éviter la surcharge opérationnelle d'OpenLDAP.

privacyIDEA

privacyIDEA est un système de gestion MFA, pas un fournisseur d'identité complet. Il gère centralement les seconds facteurs : TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, jetons push, SMS, e-mail et clés SSH et expose ces derniers via une API que les fronts d'authentification (Keycloak, FreeIPA, Gluu, NGINX) consomment. Il ne gère pas lui-même les protocoles d'authentification.

Mises à jour récentes

La version 3.12 a ajouté des résolveurs d'utilisateurs pour Entra ID et Keycloak, permettant aux administrateurs de récupérer directement les données utilisateur de ces annuaires et d'attribuer des jetons dans privacyIDEA sans étape de synchronisation séparée.15 Cette version a également introduit un aperçu d'une interface web redessinée ; le remplacement complet de l'interface est prévu pour la version 3.13. La prise en charge des clés d'accès en tant que type de jeton distinct a été introduite dans la version 3.11.16

Limitations

  • privacyIDEA n'inclut pas Kerberos ni d'autres protocoles d'authentification nativement.
  • Les flux de travail d'automatisation (inscription, renouvellement, intégration, désactivation) sont configurables mais nécessitent une intégration API au-delà de ce qu'implique une configuration TOTP hors boîte dans Keycloak.

FreeIPA

FreeIPA est un système de gestion d'identité pour les environnements Linux et UNIX. Il regroupe un annuaire LDAP (389-ds), un KDC Kerberos, un serveur DNS, une autorité de certification et des bibliothèques Samba pour l'intégration Active Directory en une seule unité déployable avec une interface web et une CLI.

Il prend en charge les jetons TOTP et OTP, ainsi que l'authentification FIDO2/clés d'accès. FreeIPA est conçu pour les environnements qui nécessitent une authentification centralisée des hôtes Linux, l'émission de tickets Kerberos, la gestion des politiques sudo et les services d'annuaire utilisateur.

Limitations

  • L'architecture regroupée signifie que le déploiement de FreeIPA implique la configuration de plusieurs sous-systèmes.
  • Les mises à jour et les améliorations comportent plus de risques que les outils à composant unique car les modifications apportées à tout service regroupé peuvent affecter les autres.
  • Ce n'est pas un choix pratique pour les environnements qui n'utilisent pas l'authentification basée sur les hôtes Linux/UNIX.

Rauthy

Rauthy est un fournisseur OpenID Connect et une solution de connexion unique. Il prend en charge WebAuthn/FIDO2/clés d'accès, TOTP et la connexion sociale via des fournisseurs d'identité externes (GitHub, Google, Microsoft et autres configurés comme amonts OIDC génériques). Il est conçu pour une faible consommation de ressources et est livré sous forme d'un seul binaire ou d'une image de conteneur.

À partir de la version 0.27, Rauthy inclut un module rauthy-pam-nss qui permet l'intégration Linux PAM et NSS, prenant en charge les connexions locales aux postes de travail via des clés d'accès YubiKey et SSH sécurisé par MFA via des mots de passe éphémères.17

Limitations

Rauthy n'inclut pas de prise en charge RADIUS ni de serveur LDAP intégré. Il fonctionne comme un fournisseur OIDC contre lequel d'autres applications s'authentifient ; il ne remplace pas un annuaire utilisateur complet.

FAQ

L'authentification multi-facteurs (MFA) exige que l'utilisateur fournisse deux facteurs de vérification ou plus pour accéder à une ressource telle qu'une application, un compte en ligne ou un VPN. Il est essentiel de disposer d'une politique de gestion de l'identité et des accès (IAM) efficace. Plutôt que de simplement demander un nom d'utilisateur et un mot de passe, la MFA exige un ou plusieurs facteurs de vérification, réduisant ainsi la probabilité d'une cyberattaque réussie.

La MFA fonctionne en demandant des données de vérification supplémentaires (facteurs). Les mots de passe à usage unique sont l'un des facteurs MFA les plus courants que les utilisateurs rencontrent.
Les OTP sont ces codes à 4-8 chiffres que vous recevez fréquemment par e-mail, SMS ou une application mobile. Les OTP génèrent régulièrement un nouveau code ou à chaque fois qu'une demande d'authentification est soumise. Le code est généré à l'aide d'une valeur de semence attribuée à l'utilisateur lors de son inscription, ainsi que d'un autre facteur, qui peut être n'importe quoi, d'un compteur incrémenté à une valeur temporelle.

Considérez votre mot de passe comme une serrure de porte d'entrée. Si quelqu'un découvre votre mot de passe, c'est comme s'il avait trouvé la clé de la serrure. Sans MFA, ils peuvent entrer directement.

Cependant, la MFA demande aux utilisateurs une vérification supplémentaire, telle que la saisie d'un code envoyé à leur téléphone ou l'analyse de leur empreinte digitale.

Cette étape supplémentaire rend beaucoup plus difficile pour les attaquants de s'introduire. Même si un tiers obtient un type d'authentification (tel que votre mot de passe), ils auront toujours besoin d'un deuxième ou troisième facteur, ce qui est plus difficile à acquérir.

Pour aller plus loin

Citer cette recherche

Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.

Cem Dilmegani and Sena Sezer (2026) - "Comparer 10 outils MFA open source". Publié en ligne sur AIMultiple.com. Consulté le 3 Juin 2026, à : https://aimultiple.com/open-source-mfa [Ressource en ligne]

Dilmegani, C., & Sezer, S. (2026, 3 Juin). Comparer 10 outils MFA open source. AIMultiple. https://aimultiple.com/open-source-mfa

@misc{dilmegani2026,
  author = {Dilmegani, Cem and Sezer, Sena},
  title  = {{Comparer 10 outils MFA open source}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/open-source-mfa}},
  note   = {AIMultiple. Consulté le 3 Juin 2026}
}
Cem Dilmegani
Cem Dilmegani
Analyste principal
Cem est analyste principal chez AIMultiple depuis 2017. AIMultiple informe chaque mois des centaines de milliers d'entreprises (selon similarWeb), dont 55 % des entreprises du classement Fortune 500. Les travaux de Cem ont été cités par des publications internationales de premier plan telles que Business Insider, Forbes et le Washington Post, ainsi que par des entreprises mondiales comme Deloitte et HPE, des ONG comme le Forum économique mondial et des organisations supranationales comme la Commission européenne. Vous trouverez d'autres entreprises et ressources réputées ayant fait référence à AIMultiple. Tout au long de sa carrière, Cem a exercé les fonctions de consultant, d'acheteur et d'entrepreneur dans le secteur des technologies. Il a conseillé des entreprises sur leurs décisions technologiques chez McKinsey & Company et Altman Solon pendant plus de dix ans. Il a également publié un rapport McKinsey sur la numérisation. Il a dirigé la stratégie technologique et les achats d'un opérateur télécom, sous la responsabilité directe du PDG. Il a également piloté la croissance commerciale de la société de deep tech Hypatos, qui a atteint un chiffre d'affaires annuel récurrent à sept chiffres et une valorisation à neuf chiffres en seulement deux ans. Les travaux de Cem chez Hypatos ont été présentés dans des publications technologiques de référence telles que TechCrunch et Business Insider. Cem intervient régulièrement lors de conférences internationales sur les technologies. Diplômé en génie informatique de l'université de Bogazici, il est également titulaire d'un MBA de la Columbia Business School.
Voir le profil complet
Recherche effectuée par
Sena Sezer
Sena Sezer
Analyste du secteur
Sena est analyste sectorielle chez AIMultiple. Elle a obtenu sa licence à l'Université de Bogazici.
Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires. Les commentaires sont laissés dans leur langue d'origine.

0/450