JIT
EN
← Notebook
Idea notes IdentityArchitectureSecurity

Kan open-source IAM Active Directory en Entra ID vervangen?

Waar midPoint plus Authentik de Microsoft-identity-stack kunnen vervangen in een hybride Windows/Linux-omgeving — en waar niet. Een gedachte-experiment, geen build.

Een vraag die blijft opduiken wanneer iemand onder de Microsoft-licenties uit wil: kan een open-source stack in een gemengde Windows/Linux-omgeving het werk van Active Directory én Entra ID doen? Mijn korte antwoord is “het grootste deel, met één hardnekkige uitzondering” — en aangezien nog niemand me gevraagd heeft om het echt te bouwen, schrijf ik het op als een ontwerp waar ik naar zou grijpen mocht de nood zich ooit aandienen.

Geklasseerd onder ideeën-op-de-plank — een concept dat het waard is om verder uit te werken als een klantnood opduikt, niet iets dat ik vandaag in productie draai.

Twee tools, twee verschillende jobs

De combinatie waar mensen naar grijpen is midPoint en Authentik, en de truc is dat ze elkaar niet overlappen. midPoint is een IGA-engine — joiner/mover/leaver, rolmodellering, access reviews, provisioning naar andere systemen toe. Het logt nooit iemand in. Authentik is de IdP — OIDC, SAML, MFA, en een LDAP-outpost waartegen Linux-machines authenticeren. Dus midPoint beslist wie wat zou moeten hebben en duwt het overal door; Authentik is de voordeur. Ik draai Authentik al met een LDAP-outpost voor mijn eigen Linux-vloot, dus die helft is niet theoretisch.

Waar het breekt: Windows

Dit is de adder onder het gras. De LDAP-outpost van Authentik doet bind-auth — perfect voor SSSD op Linux, nutteloos om een Windows-machine aan een domein toe te voegen. Windows wil Kerberos, het AD-schema en Group Policy, en Authentik spreekt geen van die. Dus: de SSO en governance van Entra ID vervangen gaat vlot. AD vervangen voor Linux is beter dan AD. AD vervangen voor on-prem Windows? Dan heb je nog steeds een domein nodig — hou een slanke AD over, zet een Samba AD DC op, of verhuis die endpoints naar Entra join + Intune.

De shortlist mocht het ooit echt worden

  • FreeIPA voor serieuze Linux/Kerberos-omgevingen, aan AD gekoppeld via een forest trust.
  • Keycloak in plaats van Authentik waar enterprise-schaal en beproefdheid meer wegen dan de LDAP/RADIUS-outposts.
  • Apache Syncope als het lichtere IGA-alternatief voor midPoint.

Het eerlijke oordeel: het is een echt goede stack voor een soevereiniteitsbewuste, Linux-gerichte klant — en meer bewegende delen dan een Windows-only kmo nodig heeft. Dus het blijft geparkeerd, volledig uitgespecificeerd, tot iemand het nodig heeft.