BEKOM OPEN PROKeycloak Identity ProviderSSO, MFA und Identity-Federation

Keycloak wurde 2014 von Red Hat als Open-Source-IAM-Plattform gestartet und 2023 als Incubating-Projekt an die Cloud Native Computing Foundation (CNCF) übergeben. Die Plattform wird unter Apache License 2.0 entwickelt und hat eine breite Beitragsbasis aus Community, Red Hat und großen Anwendern. Das kommerzielle Pendant Red Hat build of Keycloak liefert kuratierte Releases mit Hersteller-Support für Enterprise-Setups.

Keycloak steht im IAM-Markt als europäisch nutzbare Open-Source-Alternative zu Microsoft Entra ID und Auth0. Die Plattform fokussiert auf offene Standards (OpenID Connect, OAuth 2.0, SAML 2.0), selbstbestimmte Datenverarbeitung und freie Wahl von Hardware und Hosting-Standort statt SaaS-Pflichtweg über US-Anbieter.

Keycloak ist als Community-Edition unter Apache License 2.0 verfügbar und kostenfrei nutzbar. Red Hat liefert mit Red Hat build of Keycloak eine kuratierte Distribution mit verifizierten Releases, längeren Support-Fenstern und kommerziellem Hersteller-Support – geeignet für Enterprise-Compliance-Programme.

BEKOM prüft, ob Keycloak zum technischen und organisatorischen Bedarf passt – ergebnisoffen, ohne Lizenz-Vertriebsinteresse. Geprüft werden Nutzergruppen, bestehende Identity-Quellen (AD, LDAP, externe IdPs), Anwendungs-Anbindung über OIDC und SAML, MFA-Anforderungen und Mandanten-Modell. Das Ergebnis ist eine dokumentierte Empfehlung mit Vergleich zu Alternativen und einem Architekturvorschlag für das konkrete Einsatzszenario.

Für Neu-Einführungen plant BEKOM Realm-Konzept, Cluster-Topologie, Datenbank-Auswahl, Backup-Strategie und Integration in die Anwendungs-Landschaft. Bei Migrationen aus AD FS, Auth0 oder Microsoft Entra ID übernimmt BEKOM den Identity-Transfer, das Mapping bestehender Berechtigungen und den schrittweisen Rollout mit Parallelbetrieb.

Im Managed-Service-Modus übernimmt BEKOM den produktiven Betrieb: dokumentierter Change-Prozess für Realm- und Client-Konfigurationen, Patch-Zyklen entlang der Keycloak-Release-Linie, Monitoring von Authentifizierungs- und Token-Endpunkten, Incident-Reaktion und regelmäßige Capacity-Reviews. Realm-Modell, Authorization-Policies und Anwendungs-Anbindung pflegt das Kundenteam; BEKOM führt nur dokumentierte und freigegebene Änderungen aus.

Keycloak stellt Anwendungen über OpenID Connect, OAuth 2.0 und SAML 2.0 als zentralen Identity-Provider zur Verfügung. Damit lassen sich Web-Anwendungen, mobile Apps, APIs und klassische Enterprise-Anwendungen über ein einziges Login-System absichern – ohne Mehrfach-Logins für Anwender.

Keycloak bietet einen modularen MFA-Mechanismus mit zeitbasierten Einmal-Passwörtern (TOTP), WebAuthn/FIDO2 für Hardware-Token und Passkeys, sowie Conditional-Authentication-Flows, die Faktoren je nach Risiko, Rolle oder Anwendung dynamisch fordern. Damit lassen sich abgestufte Anmelde-Anforderungen umsetzen.

Keycloak liefert eine eingebaute Account Console und Admin Console. Anwender verwalten Profil, Passwörter, MFA-Faktoren und verbundene Konten selbst; Administratoren konfigurieren Realms, Clients, Rollen und Authentifizierungs-Flows. Beide Konsolen sind themable und mehrsprachig.

Keycloak bindet bestehende Benutzer-Verzeichnisse über User Federation an. LDAP-Server und Active Directory bleiben als führende Quelle bestehen; Keycloak synchronisiert Nutzer und Gruppen oder spricht sie im Pass-through-Modus direkt an. Damit lassen sich neue Anwendungen über Keycloak schützen, ohne das bestehende Verzeichnis zu migrieren.

Keycloak fungiert als Identity-Broker zwischen Anwendungen und externen Identity-Providern. Anwender können sich über Google, GitHub, Microsoft Entra ID oder andere SAML-/OIDC-Anbieter anmelden; Keycloak vereinheitlicht die Tokens und Berechtigungen für die nachgelagerten Anwendungen. Das ist besonders relevant für Partner-, Lieferanten- und Hochschul-Föderationen.

Keycloak liefert eine eingebaute Authorization-Engine mit Rollen, Gruppen, Policies und Resource-basierter Berechtigungs-Auswertung. Damit lassen sich feingranulare Zugriffsrechte zentral pflegen statt verstreut in Einzelanwendungen. Token-Claims transportieren die ausgewerteten Berechtigungen an die Anwendungen.

Tagesbetrieb, Change-Management und Incident-Reaktion verbleiben vollständig beim internen IAM-Team. BEKOM unterstützt definierte Phasen oder Themen mit Architektur-Beratung, Reviews und gezielter Wissensvermittlung – etwa vor produktivem Rollout, bei Migrationen aus AD FS oder Auth0 oder bei sicherheitsrelevanten Major-Updates.

Internes Team und BEKOM teilen sich den Betrieb entlang einer vertraglich festgelegten Aufgabenmatrix. Realm-Modell, Authorization-Policies und Anwendungs-Anbindung pflegt das Kundenteam; BEKOM übernimmt definierte operative Bereiche und Spezialthemen. Die Aufteilung kann in beide Richtungen verschoben werden, wenn Kompetenz oder Kapazitäten sich verschieben.

BEKOM betreibt die Keycloak-Plattform als vollständigen Managed Service mit dokumentiertem Change-Prozess, definierten Reaktionspfaden und revisionssicherer Audit-Spur. Realm-Modell und Authorization-Vorgaben werden vertraglich beim Kunden verankert; BEKOM legt jede Änderung vor Umsetzung dokumentiert zur Freigabe vor.

Microsoft Entra ID ist im Microsoft-365-Umfeld der Marktstandard mit tiefer Integration in das Microsoft-Ökosystem. Keycloak fokussiert auf offene Standards und selbstbestimmte Datenverarbeitung in Europa.

Auth0 (Teil von Okta) bietet IAM als SaaS-Service mit schneller Inbetriebnahme und nutzungsabhängigem Tarifmodell. Keycloak bleibt eine selbst betriebene Plattform mit voller Kontrolle über Standort, Datenflüsse und Konfiguration.

Authentik ist ein neueres Open-Source-IAM-Projekt mit Python-Stack. Keycloak differenziert sich durch breitere Träger-Basis als CNCF-Projekt, längere Marktpräsenz und kommerziell unterstützte Red-Hat-Distribution.

Keycloak basiert seit Major-Version 17 auf der Quarkus-Runtime mit geringerem Speicherbedarf und kürzeren Startzeiten gegenüber dem WildFly-Vorgänger. Persistenz in SQL-Datenbank, Cluster-State über Infinispan, Admin-Verwaltung über Web-Konsole oder REST-Admin-API.

Keycloak läuft auf gängigen Linux-Distributionen sowie in Container-Umgebungen (Docker, Kubernetes, OpenShift). Die Dimensionierung folgt der Anzahl gleichzeitiger Sessions, der Token-Issuance-Rate und der angebundenen Anwendungen. Hochverfügbarkeit über Cluster mit mindestens zwei Knoten und replizierter Datenbank.

Keycloak bietet eine umfangreiche REST-Admin-API für Provisionierung, Realm-Konfiguration und Audit-Auswertung sowie offene Standards (OIDC, OAuth 2.0, SAML 2.0) für Anwendungs-Anbindung. Erweiterungen erfolgen über das Service-Provider-Interface (SPI) mit Custom Authenticators, Protocol Mappers und Event Listeners.

Jede Keycloak-Installation wird einem festen Ansprechpartner mit Identity-Management-Erfahrung zugeordnet, der Realm-Konfiguration, Federation-Anbindungen und Token-Themen direkt bearbeitet. Reaktionspfade und Eskalationsstufen sind je Installation im Service-Vertrag dokumentiert — statt anonymer Ticket-Queues oder rotierender Bereitschaft.

BEKOM nutzt für Keycloak-Installationen zertifizierte Rechenzentren in Deutschland. Konfigurations- und Wartungs-Tätigkeiten erfolgen durch deutschsprachige IAM-Techniker; die Konfiguration bleibt nahe am Keycloak-Standard, sodass ein Wechsel zu anderen Keycloak-Partnern jederzeit möglich bleibt.

Im Eigenbetrieb fallen Kostentreiber an, die in der internen Kalkulation oft unterschätzt werden — von der JVM-Pflege bis zur Federation-Wartung. BEKOM überführt diese Aufwände in eine monatliche Pauschale; ein vorgelagertes Assessment klärt den konkreten Betriebsumfang und die zugehörige Kostenstruktur.