Per què cal un sistema d'identitat centralitzat?

Quan cada servei té els seus propis usuaris i contrasenyes, la gestió es torna inviable. Un sistema IAM (Identity and Access Management) centralitza l'autenticació i simplifica altes, baixes i permisos.

Keycloak

Què és: Servidor d'identitat i gestió d'accés de Red Hat. El més complet de l'ecosistema open source.

Funcions clau:

  • SSO (Single Sign-On) per a totes les aplicacions internes
  • Suport OIDC, SAML 2.0, LDAP
  • MFA integrat (TOTP, WebAuthn/FIDO2)
  • Federació d'identitats (Google, Microsoft, GitHub)
  • Consola d'administració web completa
  • Temes personalitzables per a la pàgina de login

Ideal per a: organitzacions mitjanes-grans que necessiten SSO entre múltiples aplicacions.

Requisits: Java, PostgreSQL/MySQL. Docker recomanat. 2+ GB RAM.

Lloc web: keycloak.org

Authentik

Què és: Plataforma d'identitat moderna pensada per a autoallotjament. Més senzilla que Keycloak, amb una interfície molt polida.

Funcions clau:

  • SSO amb OIDC, SAML, LDAP i proxy d'autenticació
  • Fluxos d'autenticació personalitzables (drag & drop)
  • MFA (TOTP, WebAuthn, SMS, correu)
  • Directori d'usuaris integrat
  • Proxy outpost per protegir aplicacions que no suporten OIDC/SAML

Ideal per a: homelab i pimes que volen SSO sense la complexitat de Keycloak.

Requisits: Docker, PostgreSQL, Redis. Lleuger (~512 MB RAM).

Lloc web: goauthentik.io

FreeIPA

Què és: Solució integrada de gestió d'identitats per a Linux, equivalent a Active Directory per al món open source.

Funcions clau:

  • Directori LDAP (389 Directory Server)
  • Kerberos per a autenticació
  • DNS integrat
  • Gestió de polítiques de host i sudo
  • Certificats (Dogtag CA)
  • Sincronització amb Active Directory

Ideal per a: entorns Linux purs o mixtos que necessiten un equivalent a AD.

Requisits: RHEL/CentOS/Fedora (suport natiu), 4+ GB RAM.

Lloc web: freeipa.org

LLDAP

Què és: Servidor LDAP lleuger pensat per a autoallotjament. No pretén ser FreeIPA — és un directori LDAP mínim amb interfície web.

Funcions clau:

  • Servidor LDAP compatible amb la majoria de clients
  • Interfície web per gestionar usuaris i grups
  • Extremadament lleuger (~15 MB RAM)
  • Escrit en Rust

Ideal per a: quan només cal un directori LDAP senzill per centralitzar usuaris entre serveis (Nextcloud, Gitea, etc.) sense la complexitat d'un Keycloak o FreeIPA.

Lloc web: github.com/lldap/lldap

Comparativa ràpida

Eina Complexitat SSO LDAP MFA RAM mínima
Keycloak Alta OIDC, SAML Client Si 2 GB
Authentik Mitjana OIDC, SAML, Proxy Outpost Si 512 MB
FreeIPA Alta Kerberos Servidor Limitada 4 GB
LLDAP Baixa No Servidor No 15 MB