Skip to main content

FreshRSS

Objectif : Permettre la connexion des utilisateurs à FreshRSS en utilisant Authentik comme fournisseur d’identité OpenID Connect (OIDC) pour un authentification unique (SSO).

Pré‑requis

Avant de commencer la configuration :

  • Vous êtes administrateur de votre instance Authentik.

  • Vous avez accès à votre installation FreshRSS (idéalement par Docker ou Kubernetes).

  • Vous connaissez les noms de domaine complets (FQDN) :

    • authentik.votredomaine → URL de votre serveur Authentik

    • freshrss.votredomaine → URL de votre instance FreshRSS

  • Assurez‑vous que les utilisateurs FreshRSS ont un compte avec le même identifiant que dans Authentik s’ils doivent se connecter.

Configuration dans Authentik

Créer un provider OAuth2 / OpenID Connect

  1. Connectez‑vous à l’interface d’administration d’Authentik.

  2. Allez dans Applications > Providers et ajoutez un provider OAuth2 / OpenID Connect.

  3. Renseignez les paramètres suivants :

    • Nom : par exemple FreshRSS.

    • Client Type : Confidential.

    • Redirect URIs / Origins :

      • https://freshrss.votredomaine/i/oidc/

      • https://freshrss.votredomaine:443/i/oidc (remplacez 443 si FreshRSS utilise un autre port).

    • Signing Key : choisissez une clé de signature existante.

  4. Enregistrez le provider. Notez le Client ID, le Client Secret et le Slug — vous en aurez besoin plus loin.

Créer l’application Authentik

  1. Allez dans Applications > Applications.

  2. Créez une nouvelle application liée au provider que vous venez de créer :

    • Name / Nom : par exemple FreshRSS.

    • Slug : freshrss (ou un autre identifiant simple).

    • Provider : sélectionnez le provider OAuth2 / OIDC créé précédemment.

  3. Enregistrez l’application.

Configuration de FreshRSS

Cette intégration fonctionne uniquement avec les installations FreshRSS utilisant l’image Docker officielle sur architecture x86_64 (non prise en charge sur Alpine).

Activer OIDC et configurer les variables d’environnement

Dans votre conteneur ou votre fichier .env pour FreshRSS, ajoutez ou mettez à jour les variables suivantes :

OIDC_ENABLED=1
OIDC_PROVIDER_METADATA_URL=https://authentik.votredomaine/application/o/freshrss/.well-known/openid-configuration
OIDC_CLIENT_ID=<Client ID depuis Authentik>
OIDC_CLIENT_SECRET=<Client Secret depuis Authentik>
OIDC_X_FORWARDED_HEADERS=X-Forwarded-Port X-Forwarded-Proto X-Forwarded-Host
OIDC_SCOPES=openid email profile

Explications :

  • OIDC_ENABLED=1 → active l’authentification OIDC.

  • OIDC_PROVIDER_METADATA_URL → URL de découverte OpenID Connect (fournie par Authentik).

  • OIDC_CLIENT_ID et OIDC_CLIENT_SECRET → fournis par Authentik.

  • OIDC_X_FORWARDED_HEADERS → requis si FreshRSS est derrière un reverse proxy.

  • OIDC_SCOPES → les scopes demandés.

Assurez‑vous que au moins un administrateur FreshRSS a un compte utilisateur avec le même identifiant que dans Authentik avant de redémarrer, sinon vous pourriez perdre l’accès administrateur.

Redémarrer et vérifier FreshRSS

  1. Redémarrez votre conteneur FreshRSS pour appliquer les variables d’environnement.

  2. Ouvrez l’interface FreshRSS dans votre navigateur.

  3. Sur la page de connexion, vous devriez voir une option de connexion via OIDC (Authentik).

  4. Testez la connexion avec un compte Authentik valide.

Conseils et points d’attention

  • Cette intégration ne fonctionne que avec les images Docker officielles FreshRSS pour x86_64 (pas Alpine).

  • Si FreshRSS est derrière un reverse proxy, assurez‑vous que les en‑têtes de proxy sont correctement transmis (X-Forwarded-*).

  • Vérifiez que les redirect URIs configurés dans Authentik correspondent exactement à ceux utilisés par FreshRSS (y compris le port).

Back to top