Comparaison de 10 outils MFA open source

Lors de la mise en œuvre de votre solution d'authentification multifacteurs (MFA) libre et open source , tenez compte des points suivants :

• Solutions MFA de niveau entreprise : Keycloak, Authelia, Authentik, Zitadel et Kanidm offrent une gestion complète des identités et des accès (IAM) avec prise en charge de plusieurs protocoles d’authentification.
• Outils MFA légers : Hanko, LLDAP, FreeIPA, privacyIDEA et Rauthy sont plus simples à configurer et mieux adaptés aux configurations plus petites ou auto-hébergées.

Caractéristiques des solutions MFA open source

• Architecture mutualisée : permet à plusieurs groupes d’utilisateurs indépendants (locataires) de disposer de données et de configurations isolées.
• Usurpation d'identité par jeton : Permet la délégation ou l'usurpation d'identité sécurisée d'un jeton d'un utilisateur/d'une application pour des actions autorisées.
• Authentification biométrique : propose des facteurs biométriques tels que les empreintes digitales.
• Google Clé de sécurité Titan : Un dispositif d'authentification matériel qui fournit une authentification à deux facteurs résistante au phishing ou une connexion sans mot de passe.

Tous les outils (à l'exception de LDAP) prennent en charge les jetons matériels (par exemple, YubiKey) et le protocole d'authentification sans mot de passe FIDO2/WebAuthN. FIDO2 n'utilise pas de secrets partagés, tels que les mots de passe ; il minimise ainsi les vulnérabilités liées aux violations de données.

Fonctionnalités d'entreprise

• OpenTelemetry : Norme open source et ensemble de technologies pour la capture et l’exportation de métriques, de traces et de journaux.
• Sessions personnalisées : Permet un contrôle précis des comportements de session, tels que :
  • Comment et quand l'authentification multifacteur est-elle déclenchée (par exemple, lors de la connexion, pour les actions sensibles) ?
  • Types de méthodes d'authentification multifacteur prises en charge (par exemple, TOTP, WebAuthn, SMS)
• Fonctionnalités en libre-service :
  • Réinitialisation du mot de passe
  • Inscription des utilisateurs

Prise en charge de la gestion des accès privilégiés (PAM)

Les outils dotés de PAM permettent de gérer les droits d'accès des utilisateurs privilégiés.

Capacités d'auto-évaluation

Les fonctionnalités d'auto-audit améliorent la traçabilité des journaux , essentielle pour les outils d'authentification multifacteurs (MFA). Elles permettent de suivre les activités non autorisées ou suspectes, comme l'activation/désactivation de la MFA, les tentatives de connexion infructueuses et l'utilisation des mots de passe à usage unique (OTP).

Solutions MFA de niveau entreprise

Keycloak, Authelia, Authentik, Zitadel et Kanidm offrent des fonctionnalités MFA étendues . Ces outils MFA gratuits proposent :

• Plusieurs méthodes d'authentification multifacteur : TOTP (mot de passe à usage unique basé sur le temps), WebAuthn, SMS, OIDC (OpenID Connect), e-mail, notification push, authentification biométrique. et l'authentification multifacteur basée sur l'approbation.
• Plusieurs protocoles d'authentification : OAuth2, OIDC (OpenID Connect), SAML, LDAP et RADIUS.
• Personnalisation plus poussée : contrôle d’accès basé sur les rôles (RBAC) granulaire et connexions SSO sociales personnalisées (OIDC/OAuth2) via des politiques MFA.

Keycloak

Keycloak est une plateforme IAM open source qui couvre l'authentification unique (SSO), le courtage d'identité, la connexion sociale et le contrôle d'accès basé sur les rôles (RBAC), et prend en charge nativement SAML, OAuth2, OIDC et LDAP.

• Keycloak prend en charge plusieurs bases de données, notamment PostgreSQL, MySQL, MariaDB, et SQL Server. ¹
• L'automatisation des flux de travail administratifs, les autorisations JWT, l'authentification par jeton de compte de service Kubernetes pour les clients et la prise en charge complète d'OpenTelemetry pour les métriques et la journalisation. ²

Keycloak est plus complexe à installer et à configurer qu'Authelia ou Authentik. Son interface d'administration par défaut est très complète et peut s'avérer difficile à appréhender pour les équipes se concentrant sur des cas d'utilisation spécifiques.

Authelia

Authelia est un serveur d'authentification et d'autorisation open source qui fournit l'authentification à deux facteurs (2FA) et l'authentification unique (SSO) pour les applications web via un proxy inverse. Plutôt que de fonctionner comme une plateforme d'identité autonome, il s'intègre aux proxies tels que nginx, Traefik, Caddy et HAProxy, en se plaçant devant les applications et en gérant les décisions d'authentification. La configuration est entièrement gérée par un fichier YAML, ce qui simplifie le contrôle de version et l'audit, mais requiert une bonne connaissance du schéma de configuration.

Architecture et empreinte des ressources

L'image conteneur pèse moins de 20 Mo et utilise généralement moins de 30 Mo de RAM, ce qui en fait l'une des options les plus légères de cette liste. Authelia a obtenu la certification OpenID Connect 1.0 et peut servir de fournisseur OIDC pour les applications en aval. ³

Dernières mises à jour

La version 4.39 a ajouté la connexion par clé d'accès/sans mot de passe via WebAuthn, le flux de code de périphérique pour les scénarios de connexion TV et d'écran partagé, les critères réseau pour les politiques d'autorisation OIDC et la prise en charge de la référence de méthode d'authentification RFC8176 pour communiquer le niveau d'authentification à des tiers. ⁴

Caractéristiques principales

FIDO2 WebAuthn avec clés matérielles telles que YubiKey, TOTP avec applications d'authentification compatibles, notifications push mobiles via Duo, connexion sans mot de passe via des clés d'accès, contrôle d'accès basé sur des politiques et prise en charge de Kubernetes via le graphique Helm.

Limites

• Authelia ne prend pas en charge le multi-tenant, ni PAM, et n'a pas d'interface utilisateur intégrée pour la gestion des utilisateurs ; les comptes utilisateurs sont gérés via un backend LDAP ou un fichier YAML statique.
• Les équipes qui ont besoin d'un portail utilisateur en libre-service ou d'une gestion des appareils devraient plutôt envisager Authentik ou Kanidm.

Authentik

Authentik est une plateforme IAM auto-hébergée qui prend en charge l'authentification unique (SSO), LDAP, OAuth2/OpenID Connect, SAML, SCIM et l'authentification directe. Comparée à Keycloak, elle nécessite une configuration initiale plus simple pour les équipes ne disposant pas d'expertise en infrastructure d'identité dédiée.

Dernières mises à jour

La version 2025.12 a ajouté la gestion des périphériques de point de terminaison pour Windows, macOS et Linux via l'agent Authentik, l'interface utilisateur conditionnelle WebAuthn, une refonte complète du RBAC avec des groupes multi-parents et des autorisations héritées des rôles, ainsi qu'une gestion centralisée des fichiers avec prise en charge de S3. ⁵

La version 2026.2 a ajouté un fournisseur WS-Federation pour SharePoint et les applications natives Windows, un connecteur de flotte pour les signaux des périphériques de point de terminaison et l'accès conditionnel, la prise en charge de Linux PAM pour la connexion locale aux périphériques et la génération de certificats ED25519/ED448. ⁶

Sécurité

Authentik applique un programme annuel de tests d'intrusion et une procédure formelle de signalement des CVE. Trois CVE ont été publiées en février 2026, dont une critique, corrigée dans les versions 2025.8.6, 2025.10.4 et 2025.12.4. Les équipes utilisant des instances auto-hébergées doivent veiller à la mise à jour de leurs systèmes. ⁷

Limites

• À partir de la version 2025.10, Redis n'est plus requis. Authenticik fonctionne uniquement avec PostgreSQL. ⁸
• PostgreSQL reste une dépendance essentielle, ce qui ajoute une surcharge opérationnelle pour les déploiements personnels sur un seul hôte.
• Authentik ne prend pas non plus en charge nativement OpenTelemetry.

ZITADEL

ZITADEL est une plateforme d'infrastructure d'identité auto-hébergée, conçue autour d'une architecture mutualisée. Elle prend en charge OpenID Connect, OAuth2, SAML 2, LDAP, les clés d'accès/FIDO2, les mots de passe à usage unique (OTP) et SCIM 2.0.

Dernières mises à jour

ZITADEL a finalisé la migration des instances de ressources principales, des organisations, des projets, des applications et des utilisateurs vers une API v2 basée sur les ressources. ⁹

• Login V2 a atteint la disponibilité générale et est devenu le système par défaut pour les nouveaux clients dans la v4. Actions V2 a remplacé le système d'extension intégré V1 par des webhooks pilotés par événements qui s'exécutent en dehors du processus principal, permettant une prise en charge polyglotte et une mise à l'échelle découplée. ¹⁰
• La prise en charge de CockroachDB a été supprimée ; PostgreSQL est la seule base de données prise en charge à partir de la version 3. ¹¹

Limites

L'administration nécessite une bonne connaissance du modèle de locataires multicouches de ZITADEL, ce qui complexifie la configuration pour les déploiements au sein d'une seule organisation. La feuille de route 2026 indique que l'équipe travaille à la simplification de ce modèle et à l'unification de la console d'administration. ¹²

Kanidm

Kanidm est une plateforme de gestion d'identité auto-hébergée écrite en Rust.

• Contrairement à LDAP, qui ne fournit que des services d'annuaire, Kanidm inclut nativement OAuth2, OIDC, RADIUS, la gestion des clés SSH et l'intégration Linux PAM sans nécessiter de composants externes.
• L'administration se fait principalement via l'interface de ligne de commande (CLI) ; l'interface web couvre le libre-service utilisateur et certaines tâches de gestion de compte, mais pas l'ensemble des tâches administratives.

Dernières mises à jour

L'interface web a été entièrement réécrite dans cette version et prend désormais en charge les thèmes. Kanidm est publié trimestriellement. Les mises à jour doivent être effectuées séquentiellement, version mineure par version. ¹³

Limites

Le modèle d'administration privilégiant l'interface en ligne de commande (CLI) exige une bonne maîtrise des outils en ligne de commande. Les tests de Kanidm, réalisés avec 3 000 utilisateurs et 1 500 groupes, indiquent des vitesses de recherche environ trois fois supérieures et des vitesses d'écriture cinq fois supérieures à celles de FreeIPA, bien que les résultats varient en fonction de la charge de travail. ¹⁴

Outils MFA légers

Hanko, LDAP, FreeIPA, privacyIDEA et Rauthy couvrent des domaines plus restreints que les plateformes IAM complètes comme Keycloak ou Authentik. Leur prise en charge des protocoles, leurs options de personnalisation et leur complexité de déploiement varient considérablement ; l’appellation « léger » recouvre donc une large gamme de solutions.

Hanko

Hanko est un service d'authentification open source axé sur la connexion sans mot de passe. Il prend en charge les clés d'accès, le protocole TOTP, les clés de sécurité, l'authentification unique OAuth (Apple, Google, GitHub) et l'authentification unique SAML personnalisée. Il inclut la gestion des sessions côté serveur et la révocation de session à distance.

Cette plateforme ne prend pas en charge les connexions sociales OIDC/OAuth2 personnalisées, l'usurpation d'identité, les sessions privilégiées/à accès renforcé, les notifications de sécurité par e-mail ni les métadonnées utilisateur personnalisées. Les équipes ayant besoin de ces fonctionnalités doivent se procurer une plateforme plus complète.

LLDAP

LLDAP est un serveur LDAP léger. Il propose une interface LDAP standard et une interface web pour la gestion basique des utilisateurs et des groupes, incluant la réinitialisation des mots de passe par e-mail. Il ne prend pas en charge les protocoles d'authentification tels que OAuth2 ou OIDC, qui nécessitent un composant externe (Keycloak, Authelia, etc.).

Par défaut, les données utilisateur sont stockées dans SQLite. MySQL/MariaDB et PostgreSQL sont également pris en charge. LLDAP est principalement utilisé dans les environnements auto-hébergés où les applications nécessitent LDAP pour la recherche d'utilisateurs, mais où l'opérateur souhaite éviter la charge opérationnelle d'OpenLDAP.

confidentialitéIDEA

privacyIDEA est un système de gestion de l'authentification multifacteur (MFA), et non un fournisseur d'identité complet. Il gère de manière centralisée les seconds facteurs d'authentification : TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, jetons push, SMS, e-mail et clés SSH. Ces informations sont exposées via une API utilisée par les interfaces d'authentification (Keycloak, FreeIPA, Gluu, NGINX). privacyIDEA ne gère pas directement les protocoles d'authentification.

Dernières mises à jour

La version 3.12 a ajouté des résolveurs d'utilisateurs pour Entra ID et Keycloak, permettant aux administrateurs d'extraire les données utilisateur directement de ces répertoires et d'attribuer des jetons dans privacyIDEA sans étape de synchronisation séparée. ¹⁵ Cette version a également introduit un aperçu d'une interface utilisateur Web repensée ; le remplacement complet de l'interface utilisateur est prévu pour la version 3.13. La prise en charge des clés d'accès en tant que type de jeton distinct a été introduite dans la version 3.11. ¹⁶

Limites

• privacyIDEA n'intègre pas nativement Kerberos ni d'autres protocoles d'authentification.
• Les flux de travail d'automatisation (inscription, renouvellement, intégration, désinscription) sont configurables mais nécessitent une intégration API allant au-delà de ce qu'implique une configuration TOTP prête à l'emploi dans Keycloak.

FreeIPA

FreeIPA est un système de gestion d'identités pour les environnements Linux et UNIX. Il intègre un annuaire LDAP (389-ds), un KDC Kerberos, un serveur DNS, une autorité de certification et les bibliothèques Samba pour l'intégration à Active Directory dans une seule unité déployable dotée d'une interface web et d'une interface en ligne de commande.

Il prend en charge les jetons TOTP et OTP, ainsi que l'authentification FIDO2/clé d'accès. FreeIPA est conçu pour les environnements nécessitant une authentification centralisée des hôtes Linux, l'émission de tickets Kerberos, la gestion des politiques sudo et les services d'annuaire d'utilisateurs.

Limites

• L'architecture intégrée implique que le déploiement de FreeIPA nécessite la configuration de plusieurs sous-systèmes.
• Les mises à jour et les mises à niveau comportent plus de risques que les outils à composant unique, car les modifications apportées à un service groupé peuvent affecter les autres.
• Ce n'est pas un choix pratique pour les environnements qui n'utilisent pas l'authentification basée sur l'hôte Linux/UNIX.

Rauthy

Rauthy est un fournisseur OpenID Connect et une solution d'authentification unique. Il prend en charge l'authentification Web, FIDO2, les clés d'accès, le TOTP et la connexion via les réseaux sociaux grâce à des fournisseurs d'identité externes (GitHub, Google, Microsoft et d'autres configurés comme serveurs OIDC génériques). Conçu pour une faible consommation de ressources, il est distribué sous forme d'un seul fichier binaire ou d'une image conteneur unique.

À partir de la version 0.27, Rauthy inclut un module rauthy-pam-nss qui permet l'intégration Linux PAM et NSS, prenant en charge les connexions locales aux postes de travail via les clés d'accès YubiKey et le SSH sécurisé par MFA via des mots de passe éphémères. ¹⁷

Limites

Rauthy ne prend pas en charge RADIUS ni un serveur LDAP intégré. Il fonctionne comme un fournisseur OIDC auprès duquel d'autres applications s'authentifient ; il ne remplace pas un annuaire d'utilisateurs complet.

FAQ

Pour en savoir plus

• Les 10 meilleures solutions d'authentification multifacteurs (MFA)
• Les 10 meilleurs outils RBAC open source selon le nombre d'étoiles sur GitHub

Liens de référence

1.

FIPS 140-2 support - Keycloak

2.

Keycloak 26.5.0 released - Keycloak

Keycloak

3.

Authelia | Free Open-Source Software Modern IAM Solution

4.

Release v4.39.0 · authelia/authelia · GitHub

5.

authentik version 2025.12 is here! | authentik

6.

Release 2026.2 | authentik

7.

CVE-2026-25227 | authentik

8.

Release 2025.10 | authentik

9.

Zitadel Version 4 Release Candidate now available! · zitadel/zitadel · Discussion #10201 · GitHub

10.

ZITADEL Changelog | ZITADEL

11.

Release Cycle | ZITADEL Docs

12.

ZITADEL - Identity Infrastructure, Simplified

13.

Server Updates - Kanidm Administration

14.

GitHub - kanidm/kanidm: Kanidm: A simple, secure, and fast identity management platform · GitHub

15.

https://www.privacyidea.org/privacyidea-3-12-is-available/

16.

https://www.privacyidea.org/privacyidea-3-11-is-available/

17.

Introduction - Rauthy Documentation

Cem Dilmegani

Analyste principal

Suivre

Cem est analyste principal chez AIMultiple depuis 2017. AIMultiple informe chaque mois des centaines de milliers d'entreprises (selon similarWeb), dont 55 % des entreprises du classement Fortune 500. Les travaux de Cem ont été cités par des publications internationales de premier plan telles que Business Insider, Forbes et le Washington Post, ainsi que par des entreprises mondiales comme Deloitte et HPE, des ONG comme le Forum économique mondial et des organisations supranationales comme la Commission européenne. Vous trouverez d'autres entreprises et ressources réputées ayant fait référence à AIMultiple. Tout au long de sa carrière, Cem a exercé les fonctions de consultant, d'acheteur et d'entrepreneur dans le secteur des technologies. Il a conseillé des entreprises sur leurs décisions technologiques chez McKinsey & Company et Altman Solon pendant plus de dix ans. Il a également publié un rapport McKinsey sur la numérisation. Il a dirigé la stratégie technologique et les achats d'un opérateur télécom, sous la responsabilité directe du PDG. Il a également piloté la croissance commerciale de la société de deep tech Hypatos, qui a atteint un chiffre d'affaires annuel récurrent à sept chiffres et une valorisation à neuf chiffres en seulement deux ans. Les travaux de Cem chez Hypatos ont été présentés dans des publications technologiques de référence telles que TechCrunch et Business Insider. Cem intervient régulièrement lors de conférences internationales sur les technologies. Diplômé en génie informatique de l'université de Bogazici, il est également titulaire d'un MBA de la Columbia Business School.

Voir le profil complet

Recherche effectuée par

Sena Sezer

Analyste du secteur

Suivre

Sena est analyste sectorielle chez AIMultiple. Elle a obtenu sa licence à l'Université de Bogazici.

Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.

Nom

Adresse email

Commentaire

0/450

Publier un commentaire