Zurück zum Blog|Identity

Authentik vs. Authelia 2026: Welcher Self-Hosted Identity Provider passt?

20. April 2026
Timo Wevelsiep
authhost

Authentik vs. Authelia 2026: Welcher Self-Hosted Identity Provider passt?

Authentik vs. Authelia im Direktvergleich: Protokoll-Support, Architektur, Ressourcenverbrauch, Enterprise-Features. Warum Authelia für Unternehmen zu kurz greift – und wie authhost Managed Authentik ab 34,90 €/Monat liefert.

authhost.de Blog

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Authentik oder Authelia? Die Frage taucht in jedem Self-Hosting-Forum auf – und die Antwort ist weniger nuanciert, als die meisten Vergleiche suggerieren. Authelia ist ein hervorragender Auth-Gateway für Homelabs. Aber sobald ein Unternehmen SAML für Legacy-Apps braucht, LDAP für Netzwerkgeräte, SCIM für automatisiertes On-/Offboarding oder eine zentrale Benutzerverwaltung mit Flows und Policies – ist Authelia am Ende seiner Möglichkeiten. Authentik deckt all das ab, als Open-Source-Lösung mit MIT-Lizenz. Und mit authhost erhalten Sie Managed Authentik Hosting ab 34,90 €/Monat – ohne den Betriebsaufwand.

Auch interessant: Keycloak Alternative für den Mittelstand

Kurzvergleich: Authentik vs. Authelia auf einen Blick

Kriterium Authentik Authelia
Typ Vollständiger Identity Provider Auth-Gateway / Reverse-Proxy-Companion
Sprache Python/Django + TypeScript Go + React
OIDC/OAuth2 ✓ (OpenID Certified)
SAML 2.0 ✗ (Roadmap, kein Zeitplan)
LDAP-Server ✓ (Outpost) ✗ (nur als Backend)
SCIM-Provisioning
RADIUS ✓ (Outpost)
Application Proxy
Flow Engine ✓ (visueller Builder)
Admin-UI ✓ (vollständig) Minimal
Docker-Image ~500 MB ~20 MB
RAM (Idle) ~150–200 MB ~30 MB
Lizenz MIT Apache 2.0
Managed Hosting ✓ (authhost)

Inhaltsverzeichnis

Was ist Authelia?

Authelia ist ein Open-Source-Authentifizierungsserver, geschrieben in Go. Er fungiert als Companion für Reverse Proxies – Nginx, Traefik, Caddy, HAProxy, Envoy – und stellt eine Login-Seite mit MFA vor Ihre Anwendungen.

Was Authelia gut kann:

  • Login-Portal mit MFA (TOTP, WebAuthn, Passkeys, Duo Push)
  • OpenID Connect 1.0 Provider (seit 2024 OpenID Certified)
  • Granulare Access-Policies pro Subdomain/Pfad
  • Brute-Force-Schutz und Session-Management
  • Extrem leichtgewichtig: <20 MB Image, ~30 MB RAM

Was Authelia designbedingt nicht kann:

  • Kein SAML 2.0 Provider (auf der Roadmap, kein veröffentlichter Zeitplan)
  • Kein LDAP-Server (kann LDAP nur als Backend nutzen, nicht bereitstellen)
  • Kein SCIM-Provisioning
  • Kein RADIUS
  • Kein Application Proxy für Apps ohne native SSO-Unterstützung
  • Keine visuelle Flow Engine oder Workflow-Automatisierung
  • Kein vollständiges User-Management-Dashboard
  • Keine User-Impersonation

Authelia wurde für einen spezifischen Zweck gebaut: eine Authentifizierungsschicht vor einen Reverse Proxy legen. Das macht es hervorragend – aber es ist kein Identity Provider im eigentlichen Sinne.

Was ist Authentik?

Authentik ist ein Open-Source Identity Provider, geschrieben in Python/Django mit einem TypeScript-Frontend. Es ist die Self-Hosted-Alternative zu kommerziellen Lösungen wie Okta, Auth0 oder Azure AD – mit vollem Protokoll-Support und einer visuellen Flow Engine.

Was Authentik bietet:

  • SSO über OIDC, OAuth2, SAML 2.0, LDAP, SCIM, RADIUS und Kerberos
  • Vollständiges Admin-Dashboard mit Benutzerverwaltung
  • Flow Engine: Authentifizierungsprozesse als konfigurierbare Flows mit Stages, Policies und Providern – visuell modellierbar
  • Application Proxy: SSO für Anwendungen, die kein OIDC oder SAML sprechen
  • LDAP-Outpost: Vollständiger LDAP-Server für Legacy-Anwendungen
  • RADIUS-Outpost: Authentifizierung für VPN, WLAN und Netzwerkgeräte
  • SCIM-Provisioning: Automatisches On-/Offboarding über HR-Systeme oder IdPs
  • Remote Access Gateway: Browser-basierter RDP-, SSH- und VNC-Zugriff
  • Conditional Access: GeoIP-Checks, Impossible-Travel-Detection, Device Posture
  • User-Impersonation für Support und Debugging
  • MIT-Lizenz: Keine Nutzungseinschränkungen, auch kommerziell

Authentik Enterprise ($5/User/Monat) fügt Features hinzu, die für die meisten KMUs nicht nötig sind: Google Workspace Integration, WS-Federation, mTLS-Login, erweiterte Compliance-Reports. Die Open-Source-Version deckt den Großteil der Unternehmensanforderungen ab.

Architektur: Auth-Gateway vs. Identity Provider

Authelia: Vor dem Reverse Proxy

Nutzer ──► Reverse Proxy (Traefik/Nginx) ──► Authelia prüft Login ──► App
                                                │
                                          MFA, Session, OIDC

Authelia schützt den Eingang. Es sitzt als Forward-Auth-Middleware vor dem Reverse Proxy und entscheidet: darf der Nutzer passieren oder muss er sich erst einloggen? Das funktioniert über auth_request (Nginx), forwardAuth (Traefik) oder forward_auth (Caddy).

Vorteil: Extrem leichtgewichtig, schnell aufgesetzt, minimal invasiv. Nachteil: Die Anwendung dahinter weiß nichts über den Nutzer – außer über HTTP-Header. Für Apps, die echte SSO-Integration brauchen (Tokens, Claims, Gruppen), reicht das nicht.

Authentik: Zentrale Identitätsplattform

Nutzer ──► Authentik (Login, MFA, Flow Engine) ──► Token/Session
                    │
        ┌───────────┼───────────┬──────────────┐
        ▼           ▼           ▼              ▼
   OIDC-App    SAML-App    LDAP-Gerät    Proxy-App

Authentik verwaltet die Identität. Es ist die zentrale Stelle, an der Nutzer authentifiziert, autorisiert und provisioniert werden. Anwendungen sprechen direkt mit Authentik über OIDC, SAML, LDAP oder den Application Proxy.

Vorteil: Jede Anwendung kennt den Nutzer, seine Gruppen, seine Rollen. Automatisierung über Flows und SCIM. Nachteil: Größerer Footprint (~250–350 MB RAM inkl. PostgreSQL; seit Release 2025.10 ohne Redis).

Architekturvergleich

Aspekt Authelia Authentik
Rolle Auth-Gateway vor Reverse Proxy Zentrale Identitätsplattform
Integration HTTP-Header / Forward-Auth OIDC, SAML, LDAP, RADIUS, Proxy
App-Wissen über Nutzer Begrenzt (Header) Vollständig (Tokens, Claims, Gruppen)
Skalierung Vertikal (ein Gateway) Horizontal (Outposts, Workers)
Setup-Aufwand 5–10 Minuten 15–20 Minuten
Betriebsaufwand Gering (YAML-Config) Mittel (Admin-UI, Flows, Policies)

Protokoll-Support: Der entscheidende Unterschied

Hier wird der Vergleich eindeutig. In einem Unternehmen gibt es nie nur OIDC-fähige Anwendungen. Es gibt Legacy-Software, die nur LDAP spricht. Netzwerkgeräte, die RADIUS brauchen. Enterprise-SaaS-Anbieter, die auf SAML bestehen. Und interne Tools, die gar kein SSO-Protokoll unterstützen.

Protokoll Authentik Authelia Relevanz
OIDC / OAuth2 ✓ (OpenID Certified) Standard für moderne Web-Apps
SAML 2.0 ✓ (Provider) ✗ (Roadmap) Enterprise-SaaS, Legacy-Apps
LDAP ✓ (Outpost als Server) ✗ (nur Backend) Netzwerkgeräte, NAS, Legacy
RADIUS ✓ (Outpost) VPN, WLAN, Switches
SCIM Automatisches On-/Offboarding
Kerberos Windows-Domänen
Proxy Mode ✓ (Application Proxy) ✓ (Forward-Auth) Apps ohne native SSO-Unterstützung

Authelia's SAML-Problem: SAML 2.0 steht seit Jahren auf der Authelia-Roadmap (GitHub Issue #493), ist aber Stand April 2026 nicht implementiert. Es gibt keinen veröffentlichten Zeitplan. Das Authelia-Team besteht aus 3 Entwicklern, die in ihrer Freizeit arbeiten. Für Unternehmen, die SAML für Microsoft 365, Salesforce, AWS SSO oder andere Enterprise-Dienste brauchen, ist das ein Dealbreaker.

Authelia's LDAP-Problem: Authelia kann LDAP als Authentifizierungs-Backend nutzen (z.B. gegen ein bestehendes Active Directory). Aber es kann keinen LDAP-Dienst bereitstellen. Wenn Sie ein NAS (Synology, QNAP), eine Firewall (OPNsense, pfSense) oder Netzwerk-Switches per LDAP authentifizieren wollen, brauchen Sie einen LDAP-Server – und Authelia kann das nicht.

MFA und Conditional Access

MFA-Methoden

Methode Authentik Authelia
TOTP
WebAuthn / FIDO2
Passkeys
SMS OTP ✓ (optional)
Duo Push
Email OTP

Beide unterstützen die wichtigsten MFA-Methoden. Authelia hat den Vorteil der Duo-Push-Integration, Authentik bietet dafür SMS und Email als zusätzliche Faktoren.

Conditional Access

Hier trennen sich die Wege deutlich:

Authelia bietet regelbasierte Access-Policies: Zugriff erlauben/verweigern basierend auf Domain, Pfad, Gruppe und Netzwerk. Das reicht für einfache Szenarien.

Authentik bietet eine vollständige Policy Engine:

  • GeoIP-Checks: Login aus ungewöhnlichem Land? Zusätzliche MFA-Abfrage.
  • Impossible Travel Detection: Login aus Berlin und 5 Minuten später aus Tokio? Block.
  • Device Posture: Gerät bekannt und compliant? Zugriff erlaubt.
  • Reputation Scoring: IP-Adressen mit bekanntem Missbrauch werden blockiert.
  • Time-based Policies: Zugriff nur während der Arbeitszeiten.
  • Flow Engine: Alle Bedingungen visuell modellierbar, ohne Code.

Für Unternehmen mit Compliance-Anforderungen (NIS2, DSGVO, ISO 27001) ist die Conditional-Access-Funktionalität von Authentik ein entscheidender Vorteil.

Benutzerverwaltung und Automatisierung

Authelia: Minimal by Design

Authelia verwaltet keine Nutzer im eigentlichen Sinne. Es authentifiziert gegen ein externes Backend (LDAP-Server, lokale YAML-Datei) und speichert Sessions. Es gibt kein Admin-Dashboard zur Nutzerverwaltung, keine Gruppen-Zuweisung über die UI, keine Self-Service-Funktionen für Endnutzer.

Authentik: Vollständige Identity Platform

  • Admin-Dashboard: Nutzer, Gruppen, Rollen, Anwendungen – alles über die Web-UI verwaltbar
  • Flow Engine: Authentifizierungsprozesse visuell modellieren (Registration, Recovery, Login, Enrollment)
  • SCIM-Provisioning: Nutzer automatisch aus HR-Systemen oder externen IdPs synchronisieren. Mitarbeiter verlässt das Unternehmen → Zugriff wird automatisch entzogen.
  • User-Impersonation: Als Admin die Perspektive eines Nutzers einnehmen – für Support und Debugging
  • Self-Service: Nutzer können Passwort zurücksetzen, MFA verwalten, Geräte registrieren – ohne Admin-Eingriff
  • Event-Logging: Jede Aktion protokolliert – Login, Logout, Policy-Änderung, Gruppenzuweisung. Enhanced Audit Logging (Diff-Ansicht, CSV-Export, Visual Analytics) mit Authentik Enterprise.
Feature Authentik Authelia
Admin-Dashboard ✓ Vollständig Minimal
User Self-Service Basis (Passwort-Reset)
Gruppen/Rollen-Management ✓ (UI) Über Backend (LDAP/YAML)
SCIM-Provisioning
User-Impersonation
Flow Engine ✓ (visuell)
Custom Branding ✓ (White-Label) Basis-Theming
Event-Logging ✓ (Enhanced Audit Logging mit Enterprise) ✓ Basis

Ressourcenverbrauch: Leichtgewicht vs. Full-Stack

Docker-Footprint im Vergleich

Komponente Authelia Authentik
Docker-Image ~20 MB ~500 MB
RAM (Idle, nur App) ~30 MB ~150–200 MB
PostgreSQL ~100–150 MB ~100–150 MB
Redis Nicht nötig Nicht nötig (seit Release 2025.10, nur PostgreSQL)
RAM gesamt (Idle) ~130–180 MB ~250–350 MB
CPU (Idle) <1 % 1–3 %

Authelia ist 2–3× ressourceneffizienter. Auf einem Raspberry Pi oder einem Mini-PC mit 2 GB RAM ist das relevant. Auf einem Server mit 8+ GB RAM – also jedem Unternehmens-Server – ist der Unterschied vernachlässigbar.

Für die Perspektive: Ein einziger Chrome-Tab verbraucht mehr RAM als der gesamte Authelia-Stack. Die Frage „Was braucht weniger RAM?" ist für Unternehmen die falsche Frage. Die richtige Frage ist: „Was löst mein Problem?"

Reverse Proxy Integration vs. Application Proxy

Authelia: Forward-Auth-Spezialist

Authelia integriert sich nativ mit:

  • Nginx (via auth_request)
  • Traefik (via forwardAuth Middleware)
  • Caddy (via forward_auth Plugin)
  • HAProxy, Envoy, Skipper

Die Integration ist eng und gut dokumentiert. Für Docker-Setups mit Traefik ist Authelia in 5 Minuten aufgesetzt.

Authentik: Drei Integrationswege

  1. Forward-Auth (wie Authelia) – über Traefik, Nginx, Caddy
  2. Application Proxy (Outpost) – Authentik stellt selbst einen Reverse Proxy bereit, der SSO vor beliebige Anwendungen setzt
  3. Native Integration – Anwendungen sprechen direkt OIDC/SAML mit Authentik

Der Application Proxy ist ein echter Differentiator: Er ermöglicht SSO für Anwendungen, die keinerlei SSO-Unterstützung haben – ohne dass die Anwendung angepasst werden muss. Das ist für Unternehmen mit Legacy-Software kritisch.

Sicherheit und Community

Sicherheit

Authelia hat historisch weniger gemeldete Sicherheitslücken. Das liegt primär an der kleineren Angriffsfläche: weniger Code, kein Admin-UI, keine Multi-Protokoll-Unterstützung. Die Codebasis in Go ist speichersicher.

Authentik hat eine breitere Angriffsfläche durch mehr Features und Code. Dafür wird das Projekt von Authentik Security Inc. professionell betreut – mit einem dedizierten Security-Team, regelmäßigen Releases und einem Responsible-Disclosure-Prozess.

Community und Entwicklung

Aspekt Authentik Authelia
GitHub Stars ~14.000+ ~27.000
Contributors 500+ 272
Entwicklung Unternehmen (Authentik Security Inc.) 3 Entwickler (Freizeit)
Release-Zyklus Alle 2–4 Wochen Alle 2–3 Wochen
Aktuelle Version 2026.2.2 (März 2026) v4.39.19 (April 2026)
Enterprise-Support ✓ ($5/User/Monat)
Lizenz MIT Apache 2.0

Authelia hat mehr GitHub Stars – ein Zeichen für die starke Homelab-Community. Authentik hat mehr Contributors und wird von einem Unternehmen entwickelt, was langfristige Stabilität und Enterprise-Readiness garantiert.

Setup und Betrieb: YAML vs. Self-Service-Portal

Authelia: YAML-Konfiguration

Authelia wird über eine YAML-Datei konfiguriert. Das ist für Entwickler und Self-Hoster komfortabel, aber jede Änderung erfordert einen Dateiedit und Service-Restart. Es gibt kein Web-UI zur Konfiguration.

Authentik: Web-UI + Flow Engine

Authentik wird über ein vollständiges Web-Dashboard konfiguriert. Flows, Policies, Provider und Anwendungen werden grafisch verwaltet. Änderungen greifen sofort, ohne Restart.

authhost: Managed Authentik Hosting

Wer den Betriebsaufwand komplett eliminieren möchte, nutzt authhost – Managed Authentik Hosting von merkaio:

  1. Account auf portal.merkaio.com erstellen
  2. Instanz deployen – Plan wählen, Region auswählen (Deutschland, Niederlande, USA, Kanada, Singapur, Japan, Sydney oder Indien)
  3. Authentik Dashboard öffnen – Ihre dedizierte Instanz ist fertig
  4. Anwendungen anbinden und Nutzer onboarden

7 Tage kostenlos testen – eigene dedizierte Instanz.

Aspekt Authelia (Self-Hosted) Authentik (Self-Hosted) authhost (Managed)
Setup-Zeit 5–10 Min (YAML) 15–20 Min (Docker) Minuten (Portal)
Konfiguration YAML-Dateien Web-UI Web-UI
Updates Manuell Manuell Automatisch
Monitoring Selbst aufsetzen Selbst aufsetzen 24/7 inkl.
Backups Selbst aufsetzen Selbst aufsetzen Automatisch
Support Community Community / Enterprise Im Preis inkl.
Zertifizierungen (RZ) Eigenverantwortlich Eigenverantwortlich DE: ISO 27001 + BSI C5; Andere: ISO 27001 + SOC 2 Type II

Kosten im Vergleich

Authelia: Kostenlos, aber Betriebsaufwand

Authelia ist kostenlos (Apache 2.0). Aber der Betrieb kostet:

  • Server-Hosting: ~20–50 €/Monat (VM mit PostgreSQL)
  • Admin-Zeitaufwand: 2–4 Stunden/Monat für Updates, Troubleshooting, Zertifikate
  • Kein kommerzieller Support bei Problemen

Authentik Self-Hosted: Kostenlos oder $5/User/Monat

Die Open-Source-Version ist kostenlos (MIT-Lizenz). Die Enterprise-Lizenz kostet $5/User/Monat und fügt Features hinzu, die die meisten KMUs nicht brauchen. Betriebskosten sind vergleichbar mit Authelia – aber mit mehr Funktionalität.

authhost: Flatrate ohne Per-User-Gebühren

Plan Monatlich Jährlich (-30%)
Starter (empf. bis 250 User) 49,90 € 34,90 €
Business (empf. bis 1.000 User) 149,90 € 104,90 €
Enterprise (1.000+ User) Auf Anfrage Auf Anfrage

Alle Pläne: Keine Per-User-Gebühren, 8 Regionen weltweit, 24/7 Monitoring, Updates und Patches inklusive, Event-Logging in allen Plänen.

Kostenvergleich: 50 Nutzer, 3 Jahre

Posten Authelia (Self-Hosted) Authentik (Self-Hosted) authhost Starter
Software 0 € 0 € (Open Source) Im Plan enthalten
Server ~720–1.800 € ~720–1.800 € 0 €
Admin-Zeit (3J) ~3.600–7.200 € ~3.600–7.200 € 0 € (Managed)
Enterprise-Support ~9.000 € ($5×50×36) Im Plan enthalten
Gesamt 3 Jahre ~4.300–9.000 € ~4.300–9.000 € (ohne Enterprise) ~1.257 € (34,90 € × 36)

Admin-Zeitkosten konservativ geschätzt: 2–4 Stunden/Monat × 50 €/Stunde.

Entscheidungshilfe: Wann Authelia, wann Authentik?

Authelia ist die richtige Wahl, wenn Sie:

  • Ein Homelab oder kleines Self-Hosting-Setup mit 3–10 Anwendungen betreiben
  • Ausschließlich OIDC-fähige Anwendungen nutzen (kein SAML, kein LDAP nötig)
  • Minimalen Ressourcenverbrauch auf einem Raspberry Pi oder Mini-PC brauchen
  • Nur Login + MFA vor einem Reverse Proxy benötigen – ohne zentrale Benutzerverwaltung
  • Komfortabel mit YAML-Konfiguration sind und keinen Enterprise-Support brauchen

Authentik / authhost ist die bessere Wahl, wenn Sie:

  • SAML 2.0 für Enterprise-SaaS-Dienste (Microsoft 365, Salesforce, AWS SSO) benötigen
  • Einen LDAP-Server für NAS-Systeme, Firewalls oder Netzwerkgeräte brauchen
  • SCIM-Provisioning für automatisches On-/Offboarding wollen
  • RADIUS für VPN- oder WLAN-Authentifizierung benötigen
  • Einen Application Proxy für Legacy-Apps ohne SSO-Unterstützung einsetzen möchten
  • Conditional Access mit GeoIP, Impossible Travel und Device Posture brauchen
  • Eine zentrale Benutzerverwaltung mit Flows, Policies und Event-Logging benötigen
  • Mehr als 20 Nutzer verwalten und den Betriebsaufwand minimieren möchten
  • DSGVO-konformes Managed Hosting in Deutschland bevorzugen

Die Kurzformel

Authelia = Auth-Gateway. Es schützt den Eingang. Authentik = Identity Provider. Es verwaltet die gesamte Identität.

Wenn Sie nur einen Eingang brauchen, reicht Authelia. Wenn Sie Identitätsmanagement brauchen, brauchen Sie Authentik.

Fazit

Authelia ist ein exzellentes Tool für seinen Zweck: eine leichtgewichtige Authentifizierungsschicht vor einem Reverse Proxy. Für Homelabs und kleine Self-Hosting-Setups ist es perfekt.

Aber für Unternehmen – selbst für kleine – greift Authelia zu kurz. Kein SAML bedeutet keine Integration mit Enterprise-SaaS. Kein LDAP-Server bedeutet keine Authentifizierung für Netzwerkgeräte. Kein SCIM bedeutet manuelles On-/Offboarding. Keine Flow Engine bedeutet keine Automatisierung. Und ein 3-Personen-Freizeitprojekt ohne Enterprise-Support ist für unternehmenskritische Infrastruktur ein Risiko.

Authentik bietet all das – als Open-Source-Lösung mit MIT-Lizenz. In Kombination mit dem Managed Hosting von authhost erhalten Unternehmen einen vollständigen Identity Provider, der in Minuten einsatzbereit ist, zum planbaren Festpreis betrieben wird und in zertifizierten Rechenzentren gehostet ist.

Jetzt testen: Starten Sie Ihre eigene Authentik-Instanz über das merkaio Self-Service-Portal7 Tage kostenlos.

Lesetipp: Keycloak Alternative für den Mittelstand

Quellen

Häufige Fragen

Was ist der Hauptunterschied zwischen Authentik und Authelia?
Authelia ist ein leichtgewichtiger Auth-Gateway, der vor einem Reverse Proxy sitzt und Login + MFA bereitstellt. Authentik ist ein vollständiger Identity Provider mit SSO, MFA, SAML, LDAP-Server, SCIM-Provisioning, Application Proxy und visueller Flow Engine. Authelia schützt den Eingang – Authentik verwaltet die gesamte Identität.
Unterstützt Authelia SAML?
Nein. SAML 2.0 steht auf der Authelia-Roadmap, ist aber Stand April 2026 nicht implementiert. Es gibt keinen veröffentlichten Zeitplan. Authentik unterstützt SAML 2.0 vollständig als Provider – inklusive Single Logout und Encryption Certificate Handling.
Unterstützt Authelia LDAP als Provider?
Nein. Authelia kann LDAP als Backend zur Benutzer-Authentifizierung nutzen, aber keinen LDAP-Dienst bereitstellen. Authentik bietet einen vollständigen LDAP-Server (Outpost), über den Legacy-Anwendungen per LDAP-Bind authentifiziert werden können.
Welche Lösung braucht weniger Ressourcen?
Authelia ist deutlich leichtgewichtiger: unter 20 MB Docker-Image, ~30 MB RAM im Idle. Authentik benötigt ~500 MB Image-Größe und 150–200 MB RAM im Idle (seit Release 2025.10 nur noch PostgreSQL, kein Redis mehr). Für Homelabs und Raspberry Pis ist Authelia effizienter. Für Unternehmen mit 20+ Nutzern ist der Unterschied vernachlässigbar.
Kann ich von Authelia zu Authentik migrieren?
Ja. Da Authelia primär als Reverse-Proxy-Companion arbeitet, können Sie Authentik parallel aufsetzen, Anwendungen schrittweise migrieren und Authelia am Ende abschalten. Eine direkte Konfigurations-Migration gibt es nicht, aber die Umstellung ist unkompliziert.
Was ist authhost?
authhost ist Managed Authentik Hosting von merkaio. Dedizierte Instanzen, gehostet in ISO-27001- und BSI-C5-zertifizierten Rechenzentren in Deutschland (Zertifizierung des Rechenzentrumsbetreibers). Alle anderen Standorte sind ISO 27001 und SOC 2 Type II zertifiziert. Flatrate ab 34,90 €/Monat, keine Per-User-Gebühren. 8 Regionen weltweit.
Brauche ich Authentik Enterprise für den Unternehmenseinsatz?
Nein. Die Open-Source-Version von Authentik enthält bereits SSO, MFA, SAML, LDAP, SCIM, RADIUS, Application Proxy und die Flow Engine. Die Enterprise-Lizenz ($5/User/Monat) fügt Features wie Google Workspace Integration, WS-Federation, mTLS und erweiterte Compliance-Reports hinzu. Für die meisten KMUs reicht die Open-Source-Version – und mit authhost erhalten Sie den Betrieb dazu.
Hat Authelia weniger Sicherheitslücken als Authentik?
Authelia hat historisch weniger gemeldete CVEs, was primär an der deutlich kleineren Angriffsfläche liegt: kein Admin-UI, keine Multi-Protokoll-Unterstützung, weniger Code. Authentik hat eine breitere Angriffsfläche durch mehr Features, wird aber von einem Unternehmen (Authentik Security Inc.) mit Security-Team professionell betreut.

Geschrieben von

Timo Wevelsiep

Founder, merkaio

Gründer von merkaio. Managed Authentik Identity Hosting. Fokus auf Identity Management, SSO und Zero-Trust-Architektur.

LinkedIn

Individuelle Anfrage oder Beratung?

Für Enterprise-Anfragen, individuelle Konfigurationen oder eine persönliche Beratung. Schreiben Sie uns eine kurze Nachricht – wir melden uns innerhalb von 24 Stunden bei Ihnen.

Timo Wevelsiep

Ihr Ansprechpartner

Timo Wevelsiep

Gründer, merkaio

[email protected]

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.