Deze opleiding wordt gegeven in het Frans.

Deze tekst werd automatisch vertaald door een online vertaler (DeepL) om als leidraad te dienen, om de inhoud van de informatie over de opleiding te helpen begrijpen. Wij wijzen alle verantwoordelijkheid voor de inhoud ervan af. Indien u wenst te reageren op deze vertaling, kunt u een e-mail sturen naar helpdesk@digitalcity.brussels.

Sécurité Avancée Open Source : SSO (Authentik), Secrets et Coffres

(Réf.102004)

Dag(en)

Betalend

Volledige dag

Georganiseerd door:

Beschrijving

Organisation et environnement

Environnement technique : Linux Ubuntu/Debian, Docker et Compose, option Kubernetes (kind ou k3s), NGINX/Traefik, Authentik, HashiCorp Vault OSS, OAuth2-Proxy, External Secrets Operator, OpenLDAP ou passerelle AD, Bitwarden/Passbolt, Gitea ou GitLab CE, Wazuh pour l’audit
Pédagogie : alternance d’apports courts et d’ateliers guidés, forte part de pratique, support et dépôt Git remis en fin de session
Fil rouge : sécuriser une application 3-tiers (API + Front + Back-office) avec SSO Authentik, secrets gérés par Vault, reverse proxy OIDC et coffre d’équipe

Wat zijn de doelstellingen van de opleiding?

Déployer un SSO d’entreprise avec Authentik et fédération d’identités - Sécuriser et distribuer les secrets applicatifs avec HashiCorp Vault en haute disponibilité- Mettre en place des coffres forts numériques pour comptes privilégiés et secrets d’équipe - Industrialiser l’intégration SSO/Secrets dans CI/CD, VMs, conteneurs et Kubernetes, avec audit et rotation automatique

Wat moet je weten om de cursus te volgen?

Bonnes notions de TLS, reverse proxy, DNS, LDAP/AD, conteneurs, notions d’OIDC/SAML

Opleidingsprogramma

Jour 1 — Déployer et fédérer un SSO avec Authentik

Positionner les standards d’authentification moderne : OIDC, OAuth2, SAML, tokens, scopes, claims
Installer Authentik en Docker Compose et découvrir Providers, Applications, Policies, Users, Groups
Configurer l’annuaire : intégration LDAP/AD, mappers d’attributs, synchronisation
Configurer les flux : OIDC (Authorization Code + PKCE), SAML SSO, proxies intégrés
Personnaliser l’expérience : pages de login, branding, gestion du consentement
Atelier fil rouge : protéger le Back-office de l’app avec Authentik et OIDC, mapping des rôles fonctionnels

Jour 2 — Renforcer Authentik en production

Sécuriser l’instance : TLS, reverse proxy NGINX/Traefik, gestion des secrets, 2FA/MFA
Gouverner les accès : Policies (IP, heures, groupes), RBAC avancé, delegation
Intégrer les IdP externes : Azure AD, Google Workspace, annuaires externes
Automatiser l’administration : API d’Authentik, scripts, backups, mises à jour
Monter en disponibilité : clustering, persistance Postgres, monitoring avec Prometheus
Auditer et tracer : logs, événements, intégration Wazuh/OpenSearch, alertes sur anomalies
Atelier fil rouge : basculer le Front et l’API sur OIDC avec Authentik, activer MFA adaptatif

Jour 3 — Gérer les secrets avec HashiCorp Vault

Comprendre les concepts : init/unseal, storage backend, auth methods, secret engines, policies
Installer Vault en mode dev puis HA intégré (Raft), activer l’audit device et les logs
Sélectionner les méthodes d’authent : AppRole, Kubernetes, LDAP, JWT, Token
Exploiter les moteurs de secrets : KV v2 pour config, Transit pour chiffrement/déchiffrement, Database pour secrets dynamiques, PKI pour certificats courts
Écrire des policies least-privilege et mettre en place l’auto-rotation des secrets dynamiques
Atelier fil rouge : extraire les secrets de l’app vers Vault KV, chiffrer des données avec Transit, générer des comptes DB éphémères

Jour 4 — Intégrer SSO et secrets dans l’infra et le CI/CD

Sécuriser les reverse proxies : NGINX auth_request + oauth2-proxy, Traefik ForwardAuth, intégration Authentik Proxy Provider
Intégrer dans les pipelines : accès temporaires à Vault depuis GitLab/Gitea Actions, masquage de variables, rotation post-déploiement
Gérer les secrets sur Kubernetes : auth k8s de Vault, CSI/Agent Injector, External Secrets Operator, bonnes pratiques de namespaces et RBAC
Protéger les accès SSH et machines : certificats SSH signés par Vault, récupération ponctuelle d’identifiants privilégiés
Comparer Ansible Vault, Mozilla SOPS/age et Vault pour IaC et inventaires
Atelier fil rouge : déployer l’app sur k3s avec Authentik (SSO via oauth2-proxy) et secrets rendus par External Secrets Operator

Jour 5 — Coffres forts numériques, PAM open source et conformité

Choisir un coffre d’équipe : Bitwarden (self-host), Passbolt et bonnes pratiques de partage et délégation
Mettre en place une gestion des comptes privilégiés légère : stratégies d’accès “break-glass”, justification, journalisation et rotation via Vault
Sécuriser les fichiers et sauvegardes : Borg/Restic, SOPS/age, chiffrement côté client, clés de récupération
Tracer et répondre aux incidents : tableaux de bord d’authent, détection de comportements anormaux, playbooks de révocation de tokens et rotation massive de secrets
Aligner conformité et durabilité : politique d’expiration des secrets, revues périodiques d’accès, sauvegardes et tests de restauration, matrice RACI et preuves d’audit
Atelier fil rouge : déployer un coffre d’équipe, migrer les secrets restants, documenter le runbook d’incident et les preuves d’audit

Livrables et évaluations

Livrables : dépôts Git des ateliers, exports de configuration Authentik, scripts d’initialisation Vault, manifests Kubernetes et playbooks CI fournis
Évaluation continue : quiz courts en fin de module, validation par la mise en œuvre complète du fil rouge, revue de sécurité finale avec checklist d’audit
Attendus en sortie : plateforme SSO Authentik opérationnelle, Vault HA avec politiques et moteurs clés, reverse proxy OIDC en place, intégration CI/CD ou Kubernetes, coffre d’équipe en production pilote