Protección de acceso en Paperless-NGX con Authentik
Proteger Paperless-NGX con Authentik añade una capa de seguridad extra en el acceso a la página de inicio de sesión. La idea es sencilla: Authentik se encarga de validar quién entra, pero se deja libre la API para que sigan funcionando sin problemas las integraciones y automatizaciones que dependen de ella.
Requisitos previos
Antes de configurar nada, conviene tener a mano lo siguiente:
- Authentik instalado.
- Paperless-NGX instalado.
- Configuración básica hecha en Authentik.
- Conocimientos mínimos sobre cómo crear Applications, Providers y Outposts en Authentik (guía aquí).
- Caddy funcionando como proxy inverso.
- La directiva de Authentik para Caddy.
Características
- Autenticación centralizada con Authentik.
- La API se mantiene accesible sin autenticación para no romper integraciones.
- Configuración sencilla mediante Proxy Provider.
- Compatible con scripts y automatizaciones que usen Paperless-NGX.
Pasos de configuración
Crear la aplicación en Authentik
-
Accede al panel de administración de Authentik.
-
Ve a Applications → Create with Provider.
-
En la sección de Application define:
- Nombre:
Paperless - Slug:
paperless - (Opcional) añade icono o descripción.
- Nombre:
-
Continúa y selecciona Proxy Provider.
Configurar el Proxy Provider
- Nombre del proveedor:
paperless-proxy. - Escoge el flujo de autenticación que uses habitualmente (por ejemplo
default-provider-authorization-explicit-consent). - Marca Forward auth (single application).
- En “External host” introduce el dominio de tu instancia de Paperless, por ejemplo:
https://docs.ejemplo.com - En Unauthenticated Paths añade:
^/api/.*
Esto garantiza que la API siga funcionando sin necesidad de iniciar sesión.
Asignar la aplicación al Outpost
- Ve a Outposts en Authentik.
- Edita el que tengas activo (habitualmente authentik Embedded Outpost).
- En Applications, añade la aplicación de Paperless.
- Guarda los cambios.
Integración con Caddy
En el Caddyfile tendrás que incluir la directiva de Authentik para que el flujo de autenticación funcione correctamente. Detalles aquí: Directiva de Authentik para Caddy.
Conclusión
Con esta integración, Authentik se encarga de controlar el acceso a la página de login de Paperless-NGX. Al mismo tiempo, se mantiene libre el acceso a la API, evitando que scripts y automatizaciones dejen de funcionar. Seguridad reforzada sin complicar el uso diario.