n8n 🔒 Résoudre les galères d'authentification et de connexion Google [SWAG, Authelia, Docker]

En bref

Prérequis	n8n déployé en Docker, SWAG comme reverse proxy, Authelia pour l’authentification
Résultat	Connexion à n8n en un clic via SSO Authelia + credentials Google fonctionnels
Ressources	docs.n8n.io · faircode.io · github.com/n8n-io

---

Cette vidéo fait suite à la vidéo de déploiement de n8n. Deux limitations que j’avais laissées de côté à l’époque, résolues ici.

Problème 1 — Double authentification

Le problème : quand on accède à n8n depuis SWAG + Authelia, il faut s’identifier une première fois sur le portail Authelia, puis une deuxième fois sur la page de login n8n. C’est inutile et frustrant.

La solution : utiliser le mécanisme de trusted headers de n8n. Authelia peut injecter dans les headers HTTP l’adresse email de l’utilisateur authentifié (Remote-Email). n8n peut lire ce header via un fichier de hook JavaScript et bypasser sa propre page de login.

Ce qu’il faut faire :

1. Créer le fichier de hook

Dans votre répertoire de données n8n (ex : appdata/n8n-data/), créer un fichier hook.js. Le code est disponible sur le blog référencé en commentaire Reddit (chercher “n8n Authelia SSO hook”). Utiliser la version pour n8n > 0.87.

Le principe : quand n8n est prêt, le hook vérifie si le header Remote-Email est présent. Si oui, il cherche l’utilisateur correspondant dans la base n8n, génère le cookie de session et bypass la page de login.

2. Modifier le docker-compose de n8n

Ajouter plusieurs variables d’environnement dans la section environment du docker-compose n8n : le chemin vers les extensions custom et le fichier hook.js, la durée des tokens JWT, et la variable qui indique quel header HTTP contient l’email de l’utilisateur (ici le header Remote-Email transmis par Authelia). Configurer aussi les proxies de confiance.

3. S’assurer que les emails correspondent

L’email de l’utilisateur dans Authelia (champ email dans users_database.yml) doit être exactement le même que l’email du compte créé dans n8n. Sans ça, le hook ne peut pas faire le lien.

4. Redéployer n8n

Redéployer le conteneur n8n avec l’option --force-recreate pour que les nouvelles variables d’environnement soient bien prises en compte.

Résultat : après connexion sur Authelia, on arrive directement dans n8n. Le SSO fonctionne aussi avec les passkeys Authelia 4.39. Et si on est déjà connecté sur un autre service (Nextcloud, Jellyfin…), n8n est directement accessible sans nouvelle authentification.

Limitation : le bouton “logout” intégré à n8n ne fonctionne plus. Il faut se déconnecter via Authelia.

---

Problème 2 — Erreur 500 sur le renouvellement des credentials Google

Le problème : dans n8n → Credentials → Gmail, quand on clique “Sign in with Google” pour renouveler les tokens OAuth, une erreur 500 apparaît. Le callback OAuth de Google ne passe pas correctement à cause d’un problème de cookie via SWAG + Authelia.

La solution de contournement précédente consistait à désactiver temporairement Authelia sur n8n — ce qui est une mauvaise pratique.

La solution propre : ajouter une location spécifique dans le fichier de configuration SWAG pour le sous-domaine n8n, qui exclut Authelia uniquement sur le chemin de callback OAuth (/rest/oauth2-credential/callback). Cette location fait passer les requêtes directement vers n8n sans interception par Authelia.

Grâce à l’auto-reload de SWAG, la configuration est prise en compte sans redémarrage.

Résultat : “Sign in with Google” fonctionne directement, les credentials se renouvellent sans manipulation.

---

En bonus — Comment j’utilise le workflow n8n en pratique

J’ai simplifié le workflow de traitement automatique des emails de collaboration. Plutôt que de laisser le LLM catégoriser les mails lui-même (trop d’erreurs, obligation de tout revérifier), je pose manuellement un label sur chaque mail reçu. Ça prend quelques secondes.

n8n récupère tous les mails labelisés, passe dans un switch selon le label (reply-deny, no-reply…), appelle Gemini 2 Flash pour rédiger une réponse adaptée en français ou anglais selon la langue du mail reçu, crée un brouillon dans Gmail, marque le message comme lu et ajoute le label “n8n-done” pour ne pas retraiter.

Je valide ou ajuste le brouillon avant d’envoyer. Le LLM sait qu’il ne faut pas mentionner de rémunération, pas de contrat, et qu’il faut rediriger vers YouTube ou Discord pour tout échange public.

C’est moins automatique qu’avant, mais ça ne me fait plus perdre de temps à corriger des erreurs de catégorisation.