Per què cal un sistema d'identitat centralitzat?
Quan cada servei té els seus propis usuaris i contrasenyes, la gestió es torna inviable. Un sistema IAM (Identity and Access Management) centralitza l'autenticació i simplifica altes, baixes i permisos.
Keycloak
Què és: Servidor d'identitat i gestió d'accés de Red Hat. El més complet de l'ecosistema open source.
Funcions clau:
- SSO (Single Sign-On) per a totes les aplicacions internes
- Suport OIDC, SAML 2.0, LDAP
- MFA integrat (TOTP, WebAuthn/FIDO2)
- Federació d'identitats (Google, Microsoft, GitHub)
- Consola d'administració web completa
- Temes personalitzables per a la pàgina de login
Ideal per a: organitzacions mitjanes-grans que necessiten SSO entre múltiples aplicacions.
Requisits: Java, PostgreSQL/MySQL. Docker recomanat. 2+ GB RAM.
Lloc web: keycloak.org
Authentik
Què és: Plataforma d'identitat moderna pensada per a autoallotjament. Més senzilla que Keycloak, amb una interfície molt polida.
Funcions clau:
- SSO amb OIDC, SAML, LDAP i proxy d'autenticació
- Fluxos d'autenticació personalitzables (drag & drop)
- MFA (TOTP, WebAuthn, SMS, correu)
- Directori d'usuaris integrat
- Proxy outpost per protegir aplicacions que no suporten OIDC/SAML
Ideal per a: homelab i pimes que volen SSO sense la complexitat de Keycloak.
Requisits: Docker, PostgreSQL, Redis. Lleuger (~512 MB RAM).
Lloc web: goauthentik.io
FreeIPA
Què és: Solució integrada de gestió d'identitats per a Linux, equivalent a Active Directory per al món open source.
Funcions clau:
- Directori LDAP (389 Directory Server)
- Kerberos per a autenticació
- DNS integrat
- Gestió de polítiques de host i sudo
- Certificats (Dogtag CA)
- Sincronització amb Active Directory
Ideal per a: entorns Linux purs o mixtos que necessiten un equivalent a AD.
Requisits: RHEL/CentOS/Fedora (suport natiu), 4+ GB RAM.
Lloc web: freeipa.org
LLDAP
Què és: Servidor LDAP lleuger pensat per a autoallotjament. No pretén ser FreeIPA — és un directori LDAP mínim amb interfície web.
Funcions clau:
- Servidor LDAP compatible amb la majoria de clients
- Interfície web per gestionar usuaris i grups
- Extremadament lleuger (~15 MB RAM)
- Escrit en Rust
Ideal per a: quan només cal un directori LDAP senzill per centralitzar usuaris entre serveis (Nextcloud, Gitea, etc.) sense la complexitat d'un Keycloak o FreeIPA.
Lloc web: github.com/lldap/lldap
Comparativa ràpida
| Eina | Complexitat | SSO | LDAP | MFA | RAM mínima |
|---|---|---|---|---|---|
| Keycloak | Alta | OIDC, SAML | Client | Si | 2 GB |
| Authentik | Mitjana | OIDC, SAML, Proxy | Outpost | Si | 512 MB |
| FreeIPA | Alta | Kerberos | Servidor | Limitada | 4 GB |
| LLDAP | Baixa | No | Servidor | No | 15 MB |