Uptime Kuma

Objectif : Permettre à vos utilisateurs d’accéder à Uptime Kuma en s’authentifiant via Authentik (Proxy Provider + Outpost), tout en laissant certaines parties publiques (ex. pages de statut), car Uptime Kuma ne supporte actuellement pas de SSO natif.

---

Pré‑requis

Avant de commencer :

• Vous avez un accès administrateur sur Authentik.

• Votre instance Uptime Kuma est déployée et accessible via un nom de domaine (ex. uptime‑kuma.votredomaine).

• Vous connaissez les hôtes internes (container ou IP) et externes de votre instance Uptime Kuma.

---

Configuration dans Authentik

Créer une application + un provider Proxy

1. Connectez‑vous à Authentik en tant qu’administrateur.

2. Allez dans Applications → Applications et cliquez sur Create with Provider.
   (Vous pouvez aussi pré‑créer un provider puis l’assigner à une application.)

3. Dans le formulaire :

   • Name / Nom : par exemple Uptime Kuma.

   • Provider type : Proxy Provider.

Configurer le Proxy Provider

4. Dans les paramètres du provider :

   • External host : https://uptime-kuma.votredomaine
     (URL publique à laquelle vos utilisateurs accèdent à Uptime Kuma)

   • Internal host : l’URL interne de votre service, par exemple :
     http://uptime-kuma:3001 (si déployé en Docker) ou http://<IP‑serveur>:3001.

   • Advanced protocol settings → Unauthenticated paths :
     Ajoutez les chemins à laisser accessibles publiquement (optionnel mais recommandé), par exemple :

     
     

     
     

     ^/status/.*
     ^/assets/.*
     ^/api/push/.*
     ^/api/badge/.*
     ^/api/status-page/heartbeat/.*
     ^/icon.svg
     ^/upload/.*

     Cela permet à vos pages de statut et api publiques de rester accessibles sans login.

      

5. Associez ensuite ce provider à l’application que vous avez créée.

6. Enregistrez le tout en cliquant sur Submit.

---

Déployer un Authentik Outpost

Pour que la protection de proxy fonctionne, vous devez déployer un Outpost Authentik accessible par votre reverse proxy (ou par l’adresse publique de Uptime Kuma). Cet outpost agit comme intermédiaire entre les requêtes entrantes et Uptime Kuma.

👉 Déployez‑le sur une machine ou un container qui peut atteindre l’hôte interne de Uptime Kuma.
👉 Configurez votre Reverse Proxy (Traefik, Nginx, Caddy, etc.) pour router vers cet Outpost les requêtes destinées à uptime-kuma.votredomaine.
(Les détails de déploiement d’un Outpost varient selon votre environnement.)

---

Désactiver l’authentification interne d’Uptime Kuma

Uptime Kuma ne propose qu’un seul utilisateur local et pas de mécanisme SSO. Pour laisser Authentik gérer l’identification :

1. Ouvrez l’interface Uptime Kuma → Settings → Advanced.

2. Activez Disable Auth → cela désactive l’authentification locale Uptime Kuma.

---

Tester l’accès

1. Ouvrez un navigateur et accédez à https://uptime-kuma.votredomaine.

2. Si vous n’êtes pas connecté, Authentik vous redirigera vers sa page de connexion.

3. Après authentification, vous devriez voir le dashboard Uptime Kuma.

4. Les pages correspondantes à vos règles Unauthenticated Paths resteront accessibles sans login.

---

Conseils & options supplémentaires

Gestion des autorisations

Pour limiter l’accès administrateur Uptime Kuma à certains utilisateurs :

• Dans Authentik, créez un groupe admin et ajoutez‑le à l’application via Policy / Group / User bindings. Cela limite l’accès à l’application au groupe défini.

Reverse Proxy

Assurez‑vous que votre reverse proxy envoie bien les en‑têtes appropriés (X‑Forwarded‑Host/Proto) vers l’Outpost, pour que les redirections fonctionnent correctement.