Skip to main content

Cloudflare


Objectif : Permettre à Cloudflare d’utiliser Authentik comme Identity Provider (IdP) via OpenID Connect (OIDC) pour sécuriser l’accès aux applications/propriétés à travers le service Cloudflare Access / Zero Trust.
Cloudflare devient ainsi un point d’accès Zero Trust qui délègue l’authentification à Authentik.

Pré‑requis

Avant de commencer :

  • Compte administrateur chez Cloudflare avec accès à Cloudflare Access / Zero Trust.

  • Instance Authentik accessible publiquement via HTTPS (https://authentik.votredomaine).

  • Accès à l’interface d’administration d’Authentik.

  • Nom de domaine email utilisé pour les comptes utilisateurs (ex. monentreprise.com).

Étapes dans Authentik (IdP)

Créer un provider et une application OIDC

  1. Connectez‑vous à Authentik en tant qu’administrateur.

  2. Allez dans Applications → Applications.

  3. Cliquez sur Create with Provider pour créer une application + provider.

  4. Pour Provider type, choisissez OAuth2/OpenID Connect.

  5. Dans la configuration du provider :

    • Redirect URI strict :


      https://<votre-sous-domaine>.cloudflareaccess.com/cdn-cgi/access/callback

      (remplacez <votre-sous-domaine> par votre domaine Cloudflare Access).

    • Signing Key : sélectionnez une clé valide.

  6. Notez les éléments générés :

    • Client ID

    • Client Secret

    • Authorize URL

    • Token URL

    • JWKS URL
      Vous en aurez besoin pour configurer Cloudflare.

  7. Enregistrez l’application.

Conseil : vous pouvez également configurer des bindings (groupes, politiques) pour contrôler qui peut utiliser cette application dans Authentik.

Configuration dans Cloudflare Access / Zero Trust

  1. Connectez‑vous au Cloudflare Dashboard.

  2. Accédez à Access → Authentication → Login methods (ou Settings → Authentication selon l’UI).

  3. Cliquez sur Add → OpenID Connect.

  4. Entrez les informations provenant d’Authentik :

    Champ Cloudflare Valeur Authentik
    App ID Client ID
    Client Secret Client Secret
    Auth URL Authorize URL
    Token URL Token URL
    Certificate URL JWKS URL

    (Copiez‑collez ces valeurs depuis Authentik).

  5. Cliquez sur Save.

  6. Utilisez le bouton Test pour vérifier que Cloudflare peut communiquer avec Authentik et que la configuration est correcte.

Ajouter une application Cloudflare à protéger

  1. Dans Cloudflare Access → Applications, cliquez sur Add an application.

  2. Choisissez le type d’application (ex. Self‑hosted, SaaS, etc.).

  3. Définissez :

    • Nom de l’application

    • Hostname public (ex. monservice.exemple.com)

    • Policies : ajoutez une politique qui permet l’accès aux utilisateurs authentifiés via Authentik (par exemple : Email ending @monentreprise.com).

Vérification et test

  1. Ouvrez l’URL de votre application protégée dans un navigateur.

  2. Cloudflare Access doit vous rediriger vers Authentik pour l’authentification.

  3. Après vous être connecté avec vos identifiants Authentik, vous devriez être redirigé vers la ressource Cloudflare protégée.

Conseils & bonnes pratiques

Configurer DNS TXT si nécessaire : pour certaines intégrations Cloudflare (ex. vérification du domaine), vous pourriez devoir créer des enregistrements DNS TXT pour valider certaines opérations.

Politiques d’accès : définissez des politiques Cloudflare fines (ex. Email allowed ou Group membership), pour contrôler précisément qui peut accéder aux applications.

HTTPS public requis : votre instance Authentik doit être accessible publiquement en HTTPS pour que Cloudflare puisse l’utiliser comme fournisseur OIDC.

Testez toujours après configuration : le bouton Test dans Cloudflare Access vérifie la communication OIDC, mais une navigation complète simule l’expérience réelle de l’utilisateur.

Back to top