Public : Administrateurs systèmes, DevOps, SRE, architectes sécurité ayant déjà des bases Linux, réseaux, Docker ou Kubernetes
Durée : 5 jour(s)
Pré-requis : Bonnes notions de TLS, reverse proxy, DNS, LDAP/AD, conteneurs, notions d’OIDC/SAML
Objectifs : Déployer un SSO d’entreprise avec Authentik et fédération d’identités - Sécuriser et distribuer les secrets applicatifs avec HashiCorp Vault en haute disponibilité- Mettre en place des coffres forts numériques pour comptes privilégiés et secrets d’équipe - Industrialiser l’intégration SSO/Secrets dans CI/CD, VMs, conteneurs et Kubernetes, avec audit et rotation automatique
Sanction : Attestation de fin de formation mentionnant le résultat des acquis
Référence : RéS102004-F
Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins
Contact : commercial@dawan.fr
3 875,00 € HT
Positionner les standards d’authentification moderne : OIDC, OAuth2, SAML, tokens, scopes, claims
Installer Authentik en Docker Compose et découvrir Providers, Applications, Policies, Users, Groups
Configurer l’annuaire : intégration LDAP/AD, mappers d’attributs, synchronisation
Configurer les flux : OIDC (Authorization Code + PKCE), SAML SSO, proxies intégrés
Personnaliser l’expérience : pages de login, branding, gestion du consentement
Atelier fil rouge : protéger le Back-office de l’app avec Authentik et OIDC, mapping des rôles fonctionnels
Sécuriser l’instance : TLS, reverse proxy NGINX/Traefik, gestion des secrets, 2FA/MFA
Gouverner les accès : Policies (IP, heures, groupes), RBAC avancé, delegation
Intégrer les IdP externes : Azure AD, Google Workspace, annuaires externes
Automatiser l’administration : API d’Authentik, scripts, backups, mises à jour
Monter en disponibilité : clustering, persistance Postgres, monitoring avec Prometheus
Auditer et tracer : logs, événements, intégration Wazuh/OpenSearch, alertes sur anomalies
Atelier fil rouge : basculer le Front et l’API sur OIDC avec Authentik, activer MFA adaptatif
Comprendre les concepts : init/unseal, storage backend, auth methods, secret engines, policies
Installer Vault en mode dev puis HA intégré (Raft), activer l’audit device et les logs
Sélectionner les méthodes d’authent : AppRole, Kubernetes, LDAP, JWT, Token
Exploiter les moteurs de secrets : KV v2 pour config, Transit pour chiffrement/déchiffrement, Database pour secrets dynamiques, PKI pour certificats courts
Écrire des policies least-privilege et mettre en place l’auto-rotation des secrets dynamiques
Atelier fil rouge : extraire les secrets de l’app vers Vault KV, chiffrer des données avec Transit, générer des comptes DB éphémères
Sécuriser les reverse proxies : NGINX auth_request + oauth2-proxy, Traefik ForwardAuth, intégration Authentik Proxy Provider
Intégrer dans les pipelines : accès temporaires à Vault depuis GitLab/Gitea Actions, masquage de variables, rotation post-déploiement
Gérer les secrets sur Kubernetes : auth k8s de Vault, CSI/Agent Injector, External Secrets Operator, bonnes pratiques de namespaces et RBAC
Protéger les accès SSH et machines : certificats SSH signés par Vault, récupération ponctuelle d’identifiants privilégiés
Comparer Ansible Vault, Mozilla SOPS/age et Vault pour IaC et inventaires
Atelier fil rouge : déployer l’app sur k3s avec Authentik (SSO via oauth2-proxy) et secrets rendus par External Secrets Operator
Choisir un coffre d’équipe : Bitwarden (self-host), Passbolt et bonnes pratiques de partage et délégation
Mettre en place une gestion des comptes privilégiés légère : stratégies d’accès “break-glass”, justification, journalisation et rotation via Vault
Sécuriser les fichiers et sauvegardes : Borg/Restic, SOPS/age, chiffrement côté client, clés de récupération
Tracer et répondre aux incidents : tableaux de bord d’authent, détection de comportements anormaux, playbooks de révocation de tokens et rotation massive de secrets
Aligner conformité et durabilité : politique d’expiration des secrets, revues périodiques d’accès, sauvegardes et tests de restauration, matrice RACI et preuves d’audit
Atelier fil rouge : déployer un coffre d’équipe, migrer les secrets restants, documenter le runbook d’incident et les preuves d’audit
Livrables : dépôts Git des ateliers, exports de configuration Authentik, scripts d’initialisation Vault, manifests Kubernetes et playbooks CI fournis
Évaluation continue : quiz courts en fin de module, validation par la mise en œuvre complète du fil rouge, revue de sécurité finale avec checklist d’audit
Attendus en sortie : plateforme SSO Authentik opérationnelle, Vault HA avec politiques et moteurs clés, reverse proxy OIDC en place, intégration CI/CD ou Kubernetes, coffre d’équipe en production pilote
Délai d'accès :Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Dans le cas d’un financement via votre CPF, la validation de votre dossier devra être réalisée 11 jours ouvrés avant le début de formation
Modalités d’évaluation : Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs
Environnement technique : Linux Ubuntu/Debian, Docker et Compose, option Kubernetes (kind ou k3s), NGINX/Traefik, Authentik, HashiCorp Vault OSS, OAuth2-Proxy, External Secrets Operator, OpenLDAP ou passerelle AD, Bitwarden/Passbolt, Gitea ou GitLab CE, Wazuh pour l’audit
Pédagogie : alternance d’apports courts et d’ateliers guidés, forte part de pratique, support et dépôt Git remis en fin de session
Fil rouge : sécuriser une application 3-tiers (API + Front + Back-office) avec SSO Authentik, secrets gérés par Vault, reverse proxy OIDC et coffre d’équipe
Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.
Aucune date de programmée actuellement. Pour plus d'information sur les prochaines sessions, nous vous invitons à joindre le service commercial par téléphone au 09 72 37 73 73 (prix d'un appel local) ou depuis notre formulaire de contact.
Bât Ravezies - 2e étage 250 avenue Emile Counord
33300 Bordeaux
Liaison directe de la gare Bordeaux Saint-Jean via le tram C
Rue de la Loi, 23
1040 Bruxelles
32 Boulevard Vincent Gâche
44000 Nantes
c/o CCI France Suisse Route de Jussy 35 Case postale 6298
CH-1211 Thônex - Genève
46 rue des Canonniers - 2è étage
59800 Lille
Proche des deux gares
5 Rue Goethe
L-1637 Luxembourg
62 rue de Bonnel - 1er étage Ascenseur à droite de l'entrée
69003 Lyon
38/40 rue de la République Escalier A, 1er étage
13001 Marseille
A proximité du vieux port
26 Allée de Mycènes Le Thèbes, Bât. A, 3è étage
34000 Montpellier
Quartier Antigone
32 Boulevard Vincent Gâche 5 ème étage
44200 Nantes
455 promenade des Anglais Bât Arenice, 7è étage
06200 Nice
11 rue Antoine Bourdelle
75015 Paris
dans le 15e arrondissement
3 place du Général Giraud
35000 Rennes
4 rue de Sarrelouis - 4è étage
67000 Strasbourg
1 place Occitane Bât. Le Sully - 4è étage
31000 Toulouse
Proche de Jean-Jaurès et du Capitole