Pocket ID selbst hosten – der einfache Weg
Yulei ChenPocket ID ist ein simpler, selbst gehosteter OIDC-Provider, mit dem sich User per Passkey statt Passwort authentifizieren. Perfekt, um Single Sign-On für deine selbst gehosteten Services einzurichten, ohne die Komplexität von Keycloak oder anderen Enterprise-Identity-Plattformen.
Sliplane ist eine Managed-Container-Plattform, die Self-Hosting schmerzlos macht. Mit One-Click-Deployment läuft Pocket ID in wenigen Minuten - kein Server-Setup, keine Reverse-Proxy-Config, keine Infrastruktur zum Verwalten. Sliplane liefert HTTPS out of the box, was Pocket ID für die Passkey-Authentifizierung braucht.
Voraussetzungen
Vor dem Deploy brauchst du einen Sliplane-Account (kostenlose Trial verfügbar).
Quick Start
Sliplane bietet One-Click-Deployment mit Presets.
Deploy Pocket ID >- Klick auf den Deploy-Button oben
- Wähl ein Projekt
- Wähl einen Server (Wenn du dich gerade erst angemeldet hast, bekommst du einen 48-Stunden-Trial-Server)
- Klick auf Deploy!
Über das Preset
Der One-Click-Deploy oben nutzt Sliplanes Pocket ID Preset. Das Preset ist für ein sauberes, produktionsreifes Setup konfiguriert:
- Offizielles
pocket-id/pocket-idImage von GitHub Container Registry - Version
v1.13für Stabilität - Persistenter Storage gemountet auf
/app/datafür die SQLite-Datenbank und Uploads APP_URLwird automatisch auf deine Sliplane-Domain gesetztTRUST_PROXYaktiviert für korrekte IP-Erkennung hinter Sliplanes Reverse Proxy- Port
1411(Pocket IDs Standard-Port)
Nächste Schritte
Sobald Pocket ID auf Sliplane läuft, erreichst du es über die Domain, die Sliplane dir gibt (z.B. pocketid-xxxx.sliplane.app).
Erstes Setup
Pocket ID hat keine Standard-Zugangsdaten. Beim ersten Besuch wirst du zur Setup-Seite unter /setup weitergeleitet, wo du deinen Admin-Account mit einem Passkey erstellst. Dein Browser muss WebAuthn unterstützen (alle modernen Browser tun das).
OIDC Clients hinzufügen
Nachdem du deinen Admin-Account erstellt hast, kannst du OIDC Clients für deine Services anlegen. Geh ins Admin-Panel und erstell einen neuen Client mit:
- Einem Display-Namen
- Einer oder mehreren Redirect URIs
- Optional einem Logo
Pocket ID generiert eine Client ID und ein Client Secret, die du nutzen kannst, um SSO in deinen anderen Anwendungen zu konfigurieren.
Environment Variables
Du kannst deine Pocket ID Instanz anpassen, indem du Environment Variables in deinen Sliplane Service-Einstellungen hinzufügst:
| Variable | Beschreibung |
|---|---|
MAXMIND_LICENSE_KEY | Aktiviert Geolokalisierung für Login-Benachrichtigungen |
SMTP_HOST | SMTP-Server für E-Mail-Benachrichtigungen |
SMTP_PORT | SMTP-Port (Standard: 587) |
SMTP_FROM | Absender-E-Mail-Adresse |
SMTP_USER | SMTP-Benutzername |
SMTP_PASSWORD | SMTP-Passwort |
LOG_LEVEL | Log-Verbosität: debug, info, warn, error |
Logging
Standardmäßig loggt Pocket ID nach STDOUT, was gut mit Sliplanes eingebautem Log-Viewer funktioniert. Wenn du mehr Details brauchst, setz LOG_LEVEL auf debug. Allgemeine Docker-Log-Tipps findest du in unserem Post how to use Docker logs.
Troubleshooting
Wenn die Passkey-Registrierung fehlschlägt, prüf ob dein Browser Pocket ID über HTTPS aufruft. Pocket ID nutzt die WebAuthn API, die einen sicheren Kontext braucht. Sliplane kümmert sich automatisch um SSL, also sollte das out of the box funktionieren. Wenn du eine Custom Domain nutzt, achte drauf, dass DNS korrekt konfiguriert ist.
Kostenvergleich
Du kannst Pocket ID auch bei anderen Cloud-Anbietern selbst hosten. Hier ein Preisvergleich der gängigsten:
| Anbieter | vCPU | RAM | Disk | Monatliche Kosten | Hinweis |
|---|---|---|---|---|---|
| Sliplane | 2 | 2 GB | 40 GB | €9 (~$10.65) | Flatrate, 1 TB Bandwidth, SSL inklusive |
| Fly.io | 2 | 2 GB | 40 GB | ~$18 | Disk und Bandwidth extra |
| Render | 1 | 2 GB | 40 GB | ~$35 | 100 GB Bandwidth, Disk extra |
| Railway | 2 | 2 GB | 40 GB | ~$67 + $20 Plan | Pro-Plan-Minimum, nutzungsbasiert, Bandwidth extra |
Klick hier, um die Berechnung zu sehen.
(Angenommen eine always-on Instanz mit 730 Stunden/Monat)
- Sliplane: Flat €9/Monat für den Base Server. Unbegrenzte Services auf demselben Server, 1 TB Egress und SSL inklusive.
- Fly.io:
shared-cpu-2x2 GB = $11.83/Monat + 40 GB Volume × $0.15/GB = $6 -> ~$17.83/Monat. Egress wird separat berechnet ($0.02/GB in der EU). - Render: Nächstliegendes Angebot ist Standard ($25, 1 vCPU / 2 GB) plus 40 GB Disk × $0.25/GB = $10 -> ~$35/Monat. Pro (2 vCPU / 4 GB) kostet $85/Monat + Disk.
- Railway (Pro Plan): CPU 2 × $0.00000772/s × 2,628,000 s = $40.57; RAM 2 × $0.00000386/s × 2,628,000 s = $20.29; Volume 40 × $0.00000006/s × 2,628,000 s = $6.31 -> ~$67/Monat Compute, plus $20/Monat Pro-Plan-Minimum und $0.05/GB Egress.
Bandwidth-Kosten können bei nutzungsbasierten Anbietern schnell steigen. Nutz unser Bandwidth-Kostenvergleichs-Tool, um zu sehen, was dein Egress bei jeder Plattform kosten würde.
FAQ
Wofür wird Pocket ID genutzt?
Pocket ID ist ein OIDC (OpenID Connect) Provider. Du kannst damit Single Sign-On für selbst gehostete Services wie Forgejo, Nextcloud, Portainer und viele andere einrichten. Statt separate Passwörter für jeden Service zu verwalten, authentifizieren sich deine User einmal mit einem Passkey.
Kann ich Pocket ID mit LDAP nutzen?
Ja, Pocket ID unterstützt LDAP-Integration, um User und Gruppen zu synchronisieren. Konfiguriere die LDAP-Verbindung im Admin-Panel unter Settings. Das ist nützlich, wenn du schon einen bestehenden Directory-Service hast und Pocket ID als Authentication-Frontend nutzen willst.
Wie aktualisiere ich Pocket ID?
Änder den Image-Tag in deinen Service-Einstellungen und redeploy. Prüf die Pocket ID GitHub Releases für die neueste stabile Version. Deine Daten in /app/data bleiben über Updates hinweg erhalten.
Gibt es Alternativen zu Pocket ID?
Ja, beliebte Alternativen sind Keycloak (vollständiges Enterprise Identity Management), Authentik (moderner Identity Provider mit Flows), Authelia (leichtgewichtiger Auth-Proxy) und Zitadel (Cloud-natives Identity Management). Pocket ID sticht durch seine Einfachheit und den Passkey-only-Ansatz hervor.
Muss ich E-Mail für Pocket ID einrichten?
Nein, E-Mail ist optional. Ohne SMTP-Konfiguration funktioniert Pocket ID problemlos für die Authentifizierung. E-Mail brauchst du nur, wenn du Login-Benachrichtigungen von unbekannten Geräten, One-Time Access Codes oder API Key Expiration Alerts möchtest.
