Formation Sécurité Avancée Open Source : SSO (Authentik), Secrets et Coffres
Public : Administrateurs systèmes, DevOps, SRE, architectes sécurité ayant déjà des bases Linux, réseaux, Docker ou Kubernetes
Durée : 5 jour(s)
Syllabus de la formation Sécurité Avancée Open Source : SSO (Authentik), Secrets et Coffres
Pré-requis : Bonnes notions de TLS, reverse proxy, DNS, LDAP/AD, conteneurs, notions d’OIDC/SAML
Objectifs : Déployer un SSO d’entreprise avec Authentik et fédération d’identités - Sécuriser et distribuer les secrets applicatifs avec HashiCorp Vault en haute disponibilité- Mettre en place des coffres forts numériques pour comptes privilégiés et secrets d’équipe - Industrialiser l’intégration SSO/Secrets dans CI/CD, VMs, conteneurs et Kubernetes, avec audit et rotation automatique
Sanction : Attestation de fin de formation mentionnant le résultat des acquis
Référence :CYB102004-F
Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins
Contact : commercial@dawan.fr
3 875,00 € HT
Tarif plein :
- Paiement à 60 jours
- Report possible à J-3
- 3 tickets d'assistance
Programme Sécurité Avancée Open Source : SSO (Authentik), Secrets et Coffres
Jour 1 — Déployer et fédérer un SSO avec Authentik
Positionner les standards d’authentification moderne : OIDC, OAuth2, SAML, tokens, scopes, claims
Installer Authentik en Docker Compose et découvrir Providers, Applications, Policies, Users, Groups
Configurer l’annuaire : intégration LDAP/AD, mappers d’attributs, synchronisation
Configurer les flux : OIDC (Authorization Code + PKCE), SAML SSO, proxies intégrés
Personnaliser l’expérience : pages de login, branding, gestion du consentement
Atelier fil rouge : protéger le Back-office de l’app avec Authentik et OIDC, mapping des rôles fonctionnels
Jour 2 — Renforcer Authentik en production
Sécuriser l’instance : TLS, reverse proxy NGINX/Traefik, gestion des secrets, 2FA/MFA
Gouverner les accès : Policies (IP, heures, groupes), RBAC avancé, delegation
Intégrer les IdP externes : Azure AD, Google Workspace, annuaires externes
Automatiser l’administration : API d’Authentik, scripts, backups, mises à jour
Monter en disponibilité : clustering, persistance Postgres, monitoring avec Prometheus
Auditer et tracer : logs, événements, intégration Wazuh/OpenSearch, alertes sur anomalies
Atelier fil rouge : basculer le Front et l’API sur OIDC avec Authentik, activer MFA adaptatif
Jour 3 — Gérer les secrets avec HashiCorp Vault
Comprendre les concepts : init/unseal, storage backend, auth methods, secret engines, policies
Installer Vault en mode dev puis HA intégré (Raft), activer l’audit device et les logs
Sélectionner les méthodes d’authent : AppRole, Kubernetes, LDAP, JWT, Token
Exploiter les moteurs de secrets : KV v2 pour config, Transit pour chiffrement/déchiffrement, Database pour secrets dynamiques, PKI pour certificats courts
Écrire des policies least-privilege et mettre en place l’auto-rotation des secrets dynamiques
Atelier fil rouge : extraire les secrets de l’app vers Vault KV, chiffrer des données avec Transit, générer des comptes DB éphémères
Jour 4 — Intégrer SSO et secrets dans l’infra et le CI/CD
Sécuriser les reverse proxies : NGINX auth_request + oauth2-proxy, Traefik ForwardAuth, intégration Authentik Proxy Provider
Intégrer dans les pipelines : accès temporaires à Vault depuis GitLab/Gitea Actions, masquage de variables, rotation post-déploiement
Gérer les secrets sur Kubernetes : auth k8s de Vault, CSI/Agent Injector, External Secrets Operator, bonnes pratiques de namespaces et RBAC
Protéger les accès SSH et machines : certificats SSH signés par Vault, récupération ponctuelle d’identifiants privilégiés
Comparer Ansible Vault, Mozilla SOPS/age et Vault pour IaC et inventaires
Atelier fil rouge : déployer l’app sur k3s avec Authentik (SSO via oauth2-proxy) et secrets rendus par External Secrets Operator
Jour 5 — Coffres forts numériques, PAM open source et conformité
Choisir un coffre d’équipe : Bitwarden (self-host), Passbolt et bonnes pratiques de partage et délégation
Mettre en place une gestion des comptes privilégiés légère : stratégies d’accès “break-glass”, justification, journalisation et rotation via Vault
Sécuriser les fichiers et sauvegardes : Borg/Restic, SOPS/age, chiffrement côté client, clés de récupération
Tracer et répondre aux incidents : tableaux de bord d’authent, détection de comportements anormaux, playbooks de révocation de tokens et rotation massive de secrets
Aligner conformité et durabilité : politique d’expiration des secrets, revues périodiques d’accès, sauvegardes et tests de restauration, matrice RACI et preuves d’audit
Atelier fil rouge : déployer un coffre d’équipe, migrer les secrets restants, documenter le runbook d’incident et les preuves d’audit
Livrables et évaluations
Livrables : dépôts Git des ateliers, exports de configuration Authentik, scripts d’initialisation Vault, manifests Kubernetes et playbooks CI fournis
Évaluation continue : quiz courts en fin de module, validation par la mise en œuvre complète du fil rouge, revue de sécurité finale avec checklist d’audit
Attendus en sortie : plateforme SSO Authentik opérationnelle, Vault HA avec politiques et moteurs clés, reverse proxy OIDC en place, intégration CI/CD ou Kubernetes, coffre d’équipe en production pilote
Organisation et environnement
Environnement technique : Linux Ubuntu/Debian, Docker et Compose, option Kubernetes (kind ou k3s), NGINX/Traefik, Authentik, HashiCorp Vault OSS, OAuth2-Proxy, External Secrets Operator, OpenLDAP ou passerelle AD, Bitwarden/Passbolt, Gitea ou GitLab CE, Wazuh pour l’audit
Pédagogie : alternance d’apports courts et d’ateliers guidés, forte part de pratique, support et dépôt Git remis en fin de session
Fil rouge : sécuriser une application 3-tiers (API + Front + Back-office) avec SSO Authentik, secrets gérés par Vault, reverse proxy OIDC et coffre d’équipe
Délai d'accès :
Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Pour un financement CPF, la validation doit être faite 11 jours ouvrés avant le début. Hors CPF, délai de 1 à 3 semaines selon les sessions.
Méthodes mobilisées :
- Un formateur expert ayant suivi une formation à la pédagogie et ayant au minimum 3 années d'expériences dans le domaine visé
- Matériel pour les formations présentielles informatiques : un PC par participant
- Un support et les exercices du cours pour chaque stagiaire
- Synchrone en présentiel ou distanciel. Plateforme utilisée : Microsoft Teams. Pour le distanciel : diagnostic technique avec les stagiaires pour tester la connexion et les modalités pratiques.
- Méthodologie basée sur l'Active Learning (75% de pratique minimum) et un programme pédagogique riche et interactif :
- Expositive : Apport de contenu théorique structuré pour consolider vos connaissances.
- Interrogative : Moments de réflexion pour questionner et approfondir vos pratiques.
- Démonstrative : Exercices pratiques pour illustrer les concepts clés.
- Active : Ateliers d'entraînement pour une mise en application immédiate.
- Expérimentale : Études de cas concrets pour ancrer les apprentissages dans la réalité.
- Collaborative : Espaces de partage et d'échange d'expériences pour enrichir la formation.
- Un format conçu pour favoriser l'engagement, la pratique et l'impact durable dans vos activités professionnelles.
Méthodes d'évaluation :
Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs.
Un espace apprenant dédié moncompte.dawan.fr :
- Informations relatives à la ou aux futures formations (plan, syllabus et éventuellement informations relatives à la certification)
- Positionnement à l'entrée et à la sortie de la formation
- Définition des besoins et attentes par l'apprenant en amont de la formation
- Émargement en ligne
- Évaluation à chaud
- Évaluation à froid
- Attestation de formation
- Boissons offertes pendant les pauses en inter-entreprises
- Salles lumineuses et locaux facilement accessibles
- Certification CPF quand formation éligible
Suite de parcours et formations associées
- Programme Sécurité du Cloud : concepts et bonnes pratiques (multi-cloud) - 3 jour(s)
- Programme Sécuriser son infrastructure dans Azure - 3 jour(s)
- Programme Sécuriser son infrastructure dans AWS - 3 jour(s)
- Programme Sécuriser Docker et Kubernetes - 3 jour(s)
- Programme DevSecOps : sécuriser la chaîne CI/CD et l’Infrastructure as Code - 3 jour(s)
- Programme Keycloak (SSO) Administration - 3 jour(s)
- Programme Identity and Access Management - 4 jour(s)
- Programme Sécurité Avancée Open Source : SSO (Authentik), Secrets et Coffres - 5 jour(s)
- Programme Coffres forts numériques: hashicorp Vault - 2 jour(s)
Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.
| Lieu | Date | Remisé | Actions |
|---|---|---|---|
| Distance | Du 18/05/2026 au 22/05/2026 | Oui | S'inscrire |
| Distance | Du 20/07/2026 au 24/07/2026 | Oui | S'inscrire |
| Distance | Du 14/09/2026 au 18/09/2026 | Oui | S'inscrire |
| Distance | Du 16/11/2026 au 20/11/2026 | Oui | S'inscrire |
- Toujours excellente. Je recommande fortement.
- Ali O.