[{"data":1,"prerenderedAt":158},["ShallowReactive",2],{"seo-verification":3,"blog-keycloak-sso-vps-fr":6},{"google":4,"bing":5},"EycwPY2XMyTkVzas3n1ygeNJFGAH513qrMjfDljzsMQ","",{"id":7,"slug":8,"title":9,"excerpt":10,"readTime":11,"views":12,"isPinned":13,"publishedAt":14,"category":15,"categories":20,"featuredImage":22,"bgImage":23,"posterImage":24,"relatedSolution":25,"intro":28,"sections":29,"ctaTitle":112,"ctaBody":113,"ctaButton":114,"ctaUrl":115,"relatedPosts":116},112,"keycloak-sso-vps","Déployer Keycloak pour le SSO sur votre VPS","Déployez Keycloak sur votre VPS pour un SSO de niveau entreprise : OIDC, SAML, realms et fédération. Guide Docker complet et comparatif.",8,744,false,"2026-02-28T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},"Sécurité & Monitoring","securite-monitoring","bg-rose-500\u002F10 text-rose-400","security",[21],{"id":11,"name":16,"slug":17,"color":18,"icon":19},null,"\u002Fblog\u002Fcovers\u002Fbg.svg","\u002Fblog\u002Fcovers\u002Fkeycloak-sso-vps-poster.svg",{"categorySlug":26,"appSlug":27},"securite","keycloak","Keycloak est la référence open source du SSO d'entreprise, soutenue par Red Hat et utilisée jusque dans des contextes hautement réglementés. Avec ses realms, sa fédération LDAP et son support complet d'OIDC et SAML, il couvre des besoins que peu d'IdP atteignent. Auto-hébergé sur VPS, il vous donne ce niveau d'industrialisation sans licence ni dépendance cloud.",[30,34,44,47,69,109],{"type":31,"title":32,"body":33},"h2","Pourquoi déployer Keycloak sur votre VPS","Là où certains IdP visent la simplicité, Keycloak vise l'exhaustivité : isolation multi-tenant via les realms, fédération d'annuaires LDAP\u002FActive Directory, brokering vers des fournisseurs externes (Google, GitHub, un autre OIDC), théming complet des pages de login et fine-grained authorization. Pour une agence qui gère plusieurs clients ou un SI avec des exigences de conformité, ce niveau de contrôle est décisif. Le self-hébergement sur VPS vous évite les coûts par utilisateur des offres IdP managées et garde l'intégralité de la base d'identités sous votre juridiction, un point critique pour des données sensibles que vous ne souhaitez pas confier à un tiers.",{"type":35,"title":36,"items":37},"ul","Les atouts d'un Keycloak auto-hébergé",[38,39,40,41,42,43],"Réalms multiples pour isoler totalement plusieurs clients ou environnements sur une même instance.","Support natif et complet d'OpenID Connect, OAuth2 et SAML 2.0.","Fédération LDAP \u002F Active Directory pour réutiliser un annuaire existant sans migration.","Identity brokering : connexion via Google, GitHub ou tout IdP externe en quelques clics.","Pages de login entièrement personnalisables (thèmes, langues, branding par realm).","Politiques d'authentification fines : MFA conditionnel, durée de session, contraintes par rôle.",{"type":31,"title":45,"body":46},"Prérequis pour ce déploiement","Keycloak tourne sur la JVM (Quarkus depuis la v17+) et reste plus gourmand qu'un IdP léger. Prévoyez un VPS avec 2 vCPU et 4 Go de RAM au minimum, idéalement 6 Go si vous attendez de la charge ou plusieurs realms actifs. Une base PostgreSQL externe est fortement recommandée en production (n'utilisez jamais la base H2 embarquée au-delà des tests). Docker et Docker Compose, un domaine dédié (`sso.mondomaine.ma`) et un reverse proxy gérant le SSL complètent les prérequis, car Keycloak attend d'être informé qu'il est servi derrière un proxy HTTPS.",{"type":48,"title":49,"steps":50},"steps","Déployer Keycloak avec PostgreSQL",[51,54,57,60,63,66],{"title":52,"body":53},"Définir Keycloak et PostgreSQL dans Compose","Dans votre `docker-compose.yml`, déclarez le service `postgres` (image `postgres:16`) et le service `keycloak` (image `quay.io\u002Fkeycloak\u002Fkeycloak`). Reliez Keycloak à la base via `KC_DB=postgres`, `KC_DB_URL`, `KC_DB_USERNAME` et `KC_DB_PASSWORD`.",{"title":55,"body":56},"Configurer le mode production et le proxy","Lancez avec la commande `start` (et non `start-dev`). Renseignez `KC_HOSTNAME=sso.mondomaine.ma` et `KC_PROXY_HEADERS=xforwarded` pour que Keycloak génère des URL correctes derrière le reverse proxy. Définissez l'admin initial via `KC_BOOTSTRAP_ADMIN_USERNAME` \u002F `KC_BOOTSTRAP_ADMIN_PASSWORD`.",{"title":58,"body":59},"Démarrer et terminer le build","Exécutez `docker compose up -d`. Au premier démarrage, Keycloak réalise un build Quarkus optimisé puis migre le schéma PostgreSQL. Suivez `docker compose logs -f keycloak` jusqu'au message indiquant que le serveur écoute.",{"title":61,"body":62},"Mettre en place le reverse proxy SSL","Routez `sso.mondomaine.ma` vers le port `8080` du conteneur Keycloak via Caddy, Traefik ou Nginx, avec un certificat Let's Encrypt. Veillez à transmettre les en-têtes `X-Forwarded-*` faute de quoi les redirections de login casseront.",{"title":64,"body":65},"Créer un realm et un client","Connectez-vous à la console d'admin, créez un realm dédié (jamais le realm `master` pour vos apps), puis un client OIDC. Réglez le `Valid redirect URIs` de votre application et récupérez le `Client ID` et le secret dans l'onglet Credentials.",{"title":67,"body":68},"Brancher une application et tester le flow","Configurez votre app avec l'URL de découverte `https:\u002F\u002Fsso.mondomaine.ma\u002Frealms\u002Fmon-realm\u002F.well-known\u002Fopenid-configuration`. Créez un utilisateur de test dans le realm, lancez un login et vérifiez l'émission du token dans les Sessions de la console.",{"type":70,"title":71,"headers":72,"rows":76},"comparison","Keycloak ou Authentik : que choisir ?",[73,74,75],"Critère","Keycloak","Authentik",[77,81,85,89,93,97,101,105],[78,79,80],"Cas d'usage cible","SSO d'entreprise, multi-tenant, conformité","Self-hosting, homelab, agences",[82,83,84],"Protocoles","OIDC, OAuth2, SAML, LDAP","OIDC, OAuth2, SAML, LDAP, forward auth",[86,87,88],"Forward auth (proxy)","Non natif (via extensions)","Natif et central à l'outil",[90,91,92],"Empreinte ressources","Élevée (JVM, 4 Go+ RAM)","Modérée (2-4 Go RAM)",[94,95,96],"Multi-realm \u002F tenants","Excellent (realms isolés)","Tenants supportés, moins poussés",[98,99,100],"Personnalisation des flows","Thèmes et SPI Java","Flows visuels par étapes",[102,103,104],"Courbe d'apprentissage","Raide, très complet","Plus accessible",[106,107,108],"Fédération d'annuaires","Mature (LDAP\u002FAD)","Bonne (LDAP)",{"type":110,"body":111},"tip","En production, ne servez jamais Keycloak avec la base H2 embarquée et n'exposez pas le realm `master` au public : créez un realm dédié par application ou par client, et réservez `master` à l'administration. Pour durcir l'instance, désactivez l'enregistrement libre, activez le `brute force detection` dans Realm Settings > Security Defenses, et provisionnez tout via des fichiers d'import realm (`--import-realm`) afin de versionner votre configuration plutôt que de cliquer dans l'UI.","Hébergez un SSO de niveau entreprise","Le VPS Cloud ServOrbit avec template Docker préconfiguré fournit la RAM et le PostgreSQL nécessaires pour faire tourner Keycloak en production, realms et fédération inclus.","Déployer mon VPS Keycloak","\u002Fvps-cloud",[117,131,145],{"id":118,"slug":119,"title":120,"excerpt":121,"readTime":122,"views":123,"isPinned":13,"publishedAt":124,"category":125,"categories":126,"featuredImage":22,"bgImage":23,"posterImage":128,"relatedSolution":129},105,"superviser-vps-uptime-kuma","Superviser votre VPS avec Uptime Kuma","Deployez Uptime Kuma sur votre VPS pour surveiller vos sites et services en self-hosted, avec alertes et page de statut publique.",6,1520,"2026-03-07T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},[127],{"id":11,"name":16,"slug":17,"color":18,"icon":19},"\u002Fblog\u002Fcovers\u002Fsuperviser-vps-uptime-kuma-poster.svg",{"categorySlug":26,"appSlug":130},"uptime-kuma",{"id":132,"slug":133,"title":134,"excerpt":135,"readTime":136,"views":137,"isPinned":13,"publishedAt":138,"category":139,"categories":140,"featuredImage":22,"bgImage":23,"posterImage":142,"relatedSolution":143},106,"monitoring-vps-grafana-prometheus","Monitoring de VPS avec Grafana et Prometheus","Montez une stack Grafana + Prometheus sur votre VPS pour collecter, stocker et visualiser vos metriques systeme et applicatives.",9,522,"2026-03-06T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},[141],{"id":11,"name":16,"slug":17,"color":18,"icon":19},"\u002Fblog\u002Fcovers\u002Fmonitoring-vps-grafana-prometheus-poster.svg",{"categorySlug":26,"appSlug":144},"grafana",{"id":146,"slug":147,"title":148,"excerpt":149,"readTime":122,"views":150,"isPinned":13,"publishedAt":151,"category":152,"categories":153,"featuredImage":22,"bgImage":23,"posterImage":155,"relatedSolution":156},107,"monitorer-vps-netdata","Monitorer votre VPS en temps réel avec Netdata","Installez Netdata sur votre VPS pour un monitoring temps reel par seconde : milliers de metriques, zero configuration, alertes incluses.",559,"2026-03-05T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},[154],{"id":11,"name":16,"slug":17,"color":18,"icon":19},"\u002Fblog\u002Fcovers\u002Fmonitorer-vps-netdata-poster.svg",{"categorySlug":26,"appSlug":157},"netdata",1784126245377]