{"id":2471,"date":"2026-03-08T10:00:00","date_gmt":"2026-03-08T09:00:00","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/pocket-id-lauth-par-passkey-pour-votre-homelab\/"},"modified":"2026-03-08T10:00:00","modified_gmt":"2026-03-08T09:00:00","slug":"pocket-id-lauth-par-passkey-pour-votre-homelab","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/pocket-id-lauth-par-passkey-pour-votre-homelab\/","title":{"rendered":"Pocket ID – L’auth par passkey pour votre homelab"},"content":{"rendered":"

Si vous auto-h\u00e9bergez d\u00e9j\u00e0 des services chez vous, y’a un truc qui revient tout le temps c’est l’authentification<\/strong>. Chaque app a son propre login, ses propres mots de passe, et du coup vous finissez avec une ribambelle de comptes diff\u00e9rents pour des trucs qui tournent sur le m\u00eame serveur. Nextcloud par-ci, Jellyfin par-l\u00e0, Gitea en prime… C’est con hein, mais c’est comme \u00e7a !<\/p>\n

\nPocket ID<\/a>
\n, c’est un provider OpenID Connect (OIDC) qui fait UNE chose et qui la fait bien : vous authentifier avec vos passkeys<\/strong>. Pas de mot de passe, pas de TOTP, pas de SMS… juste votre empreinte digitale via Touch ID, Face ID, Windows Hello, ou votre cl\u00e9 physique type YubiKey. Le projet tourne en Go c\u00f4t\u00e9 serveur (un seul binaire de ~15 Mo) et SvelteKit pour l’interface, le tout sous licence BSD-2-Clause.<\/p>\n

Bon, vous allez me dire “y’a d\u00e9j\u00e0 Keycloak pour \u00e7a<\/em>“. Sauf que Keycloak, c’est un monstre. Genre, vous voulez juste centraliser l’auth de votre Nextcloud et de votre Jellyfin, et vous vous retrouvez \u00e0 configurer 47 fichiers XML. Pocket ID, c’est donc l’inverse… un simple docker compose up -d<\/code> et hop, c’est lanc\u00e9 sur localhost:1411 ! En fait l’interface web est tellement propre que vous cr\u00e9ez vos clients OIDC en 3 clics, plut\u00f4t que de passer 2 heures dans la doc.<\/p>\n

<\/p>\n

D’ailleurs, le truc cool c’est la liste des int\u00e9grations. Il y a plus de 80 services compatibles, document\u00e9s avec des proc\u00e9dures pas \u00e0 pas : Nextcloud, Immich, Grafana, Portainer, Proxmox, Vaultwarden, GitLab, Jellyfin… en gros tous les classiques du self-hosting. Si vous avez d\u00e9j\u00e0 mis en place \nAuthelia pour prot\u00e9ger vos services derri\u00e8re un reverse proxy<\/a> \n, Pocket ID c’est le compl\u00e9ment id\u00e9al c\u00f4t\u00e9 SSO.<\/p>\n

Attention par contre, y’a un pr\u00e9requis : HTTPS obligatoire<\/strong>. C’est pas un caprice hein, c’est une contrainte technique de WebAuthn (le standard derri\u00e8re les \npasskeys<\/a> \n). Du coup si votre homelab tourne en HTTP sur le r\u00e9seau local genre \nhttp:\/\/192.168.1.x<\/a> \n… faudra d’abord passer par un reverse proxy avec certificat TLS. Caddy fait \u00e7a carr\u00e9ment bien avec ses certificats Let’s Encrypt auto-g\u00e9r\u00e9s sur le port 443, c’est m\u00eame plut\u00f4t facile \u00e0 d\u00e9ployer. Il y a aussi \nNginx Proxy Manager<\/a> \nqui est g\u00e9nial pour tout ce qui est reverse proxy facile \u00e0 impl\u00e9menter !<\/p>\n

Ensuite, c\u00f4t\u00e9 installation, Pocket-ID vous donne le choix : Docker (le plus simple), standalone, Proxmox, Unraid, Kubernetes ou m\u00eame NixOS.<\/p>\n

Y’a aussi un syst\u00e8me de groupes d’utilisateurs et des options de suivi pour savoir qui s’est connect\u00e9 quand, depuis quelle IP. Pas mal hein, pour un outil qui tient dans un conteneur Docker de 50 Mo !<\/p>\n

Bon, c’est pas non plus parfait hein. Le fait de n’accepter QUE les passkeys, \u00e7a veut dire que si un de vos utilisateurs n’a pas de device compatible (vieux navigateur, OS ancien), il sera coinc\u00e9. Et si vous perdez votre YubiKey sans avoir enregistr\u00e9 de passkey de secours sur un iPhone ou un Android… bah bon courage. C’est un choix d\u00e9lib\u00e9r\u00e9 des devs, mais faut quand m\u00eame le savoir avant de migrer toute votre infra dessus.<\/p>\n

Bref, simple, efficace, et \u00e7a fait pas semblant d’\u00eatre autre chose. Ah et \ny’a une d\u00e9mo ici<\/a> \npour tester avant de tout casser sur votre serveur ^^.<\/p>\n","protected":false},"excerpt":{"rendered":"