Was ist Keycloak? Der umfassende Leitfaden zu IAM und Single Sign-On

Keycloak ist eine Open-Source-Lösung für Identity and Access Management, die Single Sign-On über Anwendungen und Dienste hinweg ermöglicht. Entwickelt von Red Hat, übernimmt sie Authentifizierung, Autorisierung und Benutzerverwaltung über eine zentrale Plattform, die Branchenstandards wie OpenID Connect und SAML unterstützt.

Dieser Leitfaden erklärt, wie Keycloak funktioniert, welche Kernfunktionen es bietet, wie es im Vergleich zu Alternativen wie Okta und Auth0 abschneidet und was bei der Entscheidung zu beachten ist, ob selbstgehostetes Open-Source-IAM zu den Anforderungen Ihrer Organisation passt.

Was ist Keycloak

Keycloak ist eine Open-Source-Plattform für Identity and Access Management (IAM), die Single Sign-On (SSO) und Authentifizierung für Anwendungen und Dienste bereitstellt. Red Hat entwickelt und pflegt das Projekt. Es ermöglicht Nutzern, sich einmalig anzumelden und dann auf mehrere Anwendungen zuzugreifen, ohne die Zugangsdaten erneut eingeben zu müssen. Die Plattform verwaltet User Federation, starke Authentifizierung, Benutzerverwaltung und granulare Autorisierung über ein zentralisiertes System.

Keycloak ist zu einer der meistgenutzten Open-Source-IAM-Lösungen geworden – mit mehr als 30.000 GitHub-Stars – für Webanwendungen, mobile Apps und Microservices.

Ist Keycloak kostenlos und Open Source

Ja, Keycloak ist unter der Apache License 2.0 vollständig kostenlos. Es gibt keine Lizenzgebühren, und der vollständige Quellcode ist auf GitHub für jeden zugänglich, der ihn einsehen, anpassen oder dazu beitragen möchte.

Es gibt jedoch einen wichtigen Vorbehalt beim Begriff „kostenlos": Das Selbsthosting von Keycloak bedeutet, dass Ihr Team die Infrastrukturarbeit übernimmt – Server-Bereitstellung, Updates, Sicherheits-Patches und Hochverfügbarkeitskonfiguration. Einige Anbieter offerieren verwaltete Keycloak-as-a-Service-Optionen, die diese Betriebslast entfernen, aber diese sind in der Regel mit Abonnementkosten verbunden.

Das Open-Source-Modell gibt Ihnen volle Kontrolle über Anpassung und Deployment. Es bedeutet aber auch, dass Sie dafür verantwortlich sind, alles am Laufen zu halten.

Was ist Identity and Access Management

Identity and Access Management (IAM) ist ein Framework aus Richtlinien, Prozessen und Technologien zur Verwaltung digitaler Identitäten und zur Steuerung, was Benutzer in Systemen tun dürfen. Im Kern kombiniert IAM zwei Schlüsselfunktionen – Authentifizierung und Autorisierung –, um zu prüfen, wer jemand ist, und festzulegen, worauf diese Person zugreifen darf.

IAM lässt sich in vier Kernfähigkeiten aufteilen:

Authentifizierung

Authentifizierung beantwortet die Frage: „Wer bist du?" Dieser Prozess überprüft, dass Benutzer tatsächlich die Personen sind, für die sie sich ausgeben.

Gängige Authentifizierungsmethoden umfassen:

• Kombinationen aus Benutzername und Passwort
• Social Login über Anbieter wie Google oder Facebook
• Multi-Faktor-Authentifizierung (MFA), die zusätzliche Verifizierungsschritte erfordert

Autorisierung

Autorisierung beantwortet eine andere Frage: „Was darfst du tun?" Nachdem die Identität eines Benutzers bestätigt ist, legt das System fest, auf welche Ressourcen, Funktionen oder Daten diese Person zugreifen darf.

Rollenbasierte Zugriffskontrolle (RBAC) ist hier ein gängiger Ansatz. Bei RBAC werden Berechtigungen auf Basis von Aufgabenbereichen oder Benutzerrollen vergeben, statt direkt an jeden einzelnen Benutzer.

Benutzerverwaltung

Die Benutzerverwaltung umfasst den gesamten Lebenszyklus von Benutzerkonten. Dazu gehören das Erstellen neuer Konten, das Aktualisieren von Profilinformationen, die Verwaltung von Gruppenmitgliedschaften und das letztendliche Deaktivieren oder Löschen von Konten. Benutzerattribute und logische Gruppierungen fallen ebenfalls unter diese Funktion.

Sitzungsverwaltung

Die Sitzungsverwaltung verfolgt authentifizierte Benutzer während ihrer Interaktion mit Anwendungen. Dazu gehören das Ausstellen und Validieren von Sitzungstoken, das Definieren angemessener Timeout-Zeiträume und das Ermöglichen eines zentralen Abmeldevorgangs, damit Benutzer alle Sitzungen auf einmal beenden können.

Hauptfunktionen von Keycloak

Keycloak bietet ein breites Spektrum an Funktionen für Enterprise-IAM-Implementierungen:

Single Sign-On

SSO ist eine der Hauptstärken von Keycloak. Benutzer authentifizieren sich einmalig über Keycloak, und diese Sitzung wird dann von allen verbundenen Anwendungen als vertrauenswürdig anerkannt. Keine separaten Passwörter für jeden Dienst und keine wiederholten Anmeldungen im Laufe des Tages.

Identity Brokering und Social Login

Identity Brokering verbindet Keycloak mit externen Identity Providern. Benutzer können sich mit bestehenden Konten von Google, Facebook, GitHub oder Enterprise-SAML-Providern anmelden. Das reduziert die Reibung für Endbenutzer und gibt Organisationen Flexibilität bei der Akzeptanz von Zugangsdaten.

User Federation

User Federation ermöglicht es Keycloak, Benutzer aus bestehenden Verzeichnissen wie LDAP oder Active Directory zu synchronisieren. Ihre Organisation kann ihren aktuellen Benutzerspeicher behalten und dabei moderne Authentifizierungsprotokolle darüber legen. Kein aufwendiges Migrationsprojekt erforderlich.

Admin-Konsole

Keycloak enthält eine webbasierte Verwaltungsoberfläche für die Verwaltung von Realms, Client-Anwendungen, Benutzern und Sicherheitsrichtlinien. Realms fungieren als isolierte Konfigurationsbereiche, was die Segmentierung von Umgebungen oder Anwendungsfällen vereinfacht.

Account-Konsole

Endbenutzer erhalten ein eigenes Self-Service-Portal. Dort können sie Profilinformationen aktualisieren, Passwörter ändern, Zwei-Faktor-Authentifizierung aktivieren und aktive Sitzungen einsehen. Das reduziert den Helpdesk-Aufwand und gibt Benutzern mehr Kontrolle über ihre Konten.

Autorisierungsdienste

Über die Authentifizierung hinaus bietet Keycloak granulare Autorisierung für die Kontrolle des Zugriffs auf spezifische Ressourcen. Administratoren können Richtlinien, Berechtigungen und Scopes definieren, um erweiterte Zugriffskontrollszenarien zu unterstützen.

Passwortrichtlinien und Multi-Faktor-Authentifizierung

Keycloak unterstützt konfigurierbare Passwortregeln – Mindestlänge, Komplexitätsanforderungen, Ablaufzeiträume – sowie mehrere MFA-Optionen. Dazu gehören Einmalpasswörter (OTP) und WebAuthn für Hardware-Sicherheitsschlüssel, was den breiteren Wandel hin zur passwortlosen Authentifizierung unterstützt. Laut einer von Dashlane zitierten Studie führen 87 % der Organisationen aktuell Passkeys ein.

Wie Single Sign-On in Keycloak funktioniert

Das Verständnis des SSO-Ablaufs verdeutlicht, wie Keycloak in Ihre Anwendungsarchitektur passt.

SSO-Authentifizierungsablauf

Der Prozess folgt einer vorhersehbaren Abfolge:

1. Ein Benutzer versucht, auf eine geschützte Anwendung zuzugreifen
2. Die Anwendung leitet den Benutzer auf Keycloaks Login-Seite um
3. Der Benutzer authentifiziert sich mit seinen Zugangsdaten bei Keycloak
4. Keycloak stellt Sicherheitstoken aus und leitet zurück zur Anwendung
5. Der Benutzer kann dann auf weitere verbundene Anwendungen zugreifen, ohne sich erneut anzumelden

Dieser umleitungsbasierte Ablauf bedeutet, dass Anwendungen nie direkt Roh-Zugangsdaten verarbeiten. Keycloak verwaltet diese sensible Interaktion stattdessen zentral.

Vorteile von SSO für Benutzererfahrung und Conversions

Weniger Login-Aufforderungen bedeuten weniger Reibung. Benutzer müssen sich keine mehrfachen Passwörter merken oder ihre Identität wiederholt bestätigen. Laut Mordor Intelligence verlieren Mitarbeiter mehr als 12 Minuten pro Tag mit der Verwaltung von Zugangsdaten. Für Organisationen führt SSO häufig zu stärkerem Engagement und besseren Conversion-Raten, insbesondere wenn Login-, Opt-in- und Checkout-Erlebnisse in einem einzigen Ablauf zusammengeführt werden.

Eine zentralisierte Identitätsebene kann zu einem strategischen Vorteil werden – nicht nur zu einer Sicherheitsanforderung.

Welche Protokolle Keycloak für sichere Authentifizierung unterstützt

Keycloak implementiert branchenübliche Protokolle, wodurch es sich mit nahezu jeder modernen Anwendung integrieren lässt.

OpenID Connect

OpenID Connect (OIDC) ist eine Identitätsschicht, die auf OAuth 2.0 aufgebaut ist. Es verwendet JSON Web Tokens (JWTs) zum Transport von Identitätsinformationen und ist das empfohlene Protokoll für neue Anwendungen. OIDC ist schlank, entwicklerfreundlich und gut für Web- und Mobile-Umgebungen geeignet.

SAML

Security Assertion Markup Language (SAML) ist ein XML-basiertes Protokoll, das in Enterprise-Umgebungen weit verbreitet ist. Wenn Sie Legacy-Anwendungen oder Enterprise-Software integrieren, die vor OIDC entwickelt wurde, ist SAML oft die richtige Wahl. Keycloak unterstützt beide Protokolle, und das Verständnis der Unterschiede zwischen SAML und OIDC hilft dabei, für jede Anwendung das passende Protokoll zu wählen.

OAuth 2.0

OAuth 2.0 ist spezifisch ein Autorisierungs-Framework. Es verwaltet delegierten Zugriff, überprüft aber für sich genommen keine Identität. OIDC fügt diese Authentifizierungsebene oben drauf. Keycloak implementiert beides und bietet Ihnen Flexibilität, je nachdem, ob Sie Identitätsprüfung, Autorisierung oder beides benötigen.

Wie Keycloak im Vergleich zu anderen IAM-Lösungen abschneidet

Die Wahl einer IAM-Lösung bedeutet, Kontrolle, Komfort und Kosten abzuwägen.

Keycloak vs. Okta

Keycloak bietet volle Kontrolle ohne Lizenzkosten, erfordert jedoch, dass Sie die Infrastruktur selbst verwalten. Okta stellt einen vollständig verwalteten Dienst mit Enterprise-Support bereit, jedoch zu erheblichen Abonnementkosten. Organisationen mit starken DevOps-Fähigkeiten bevorzugen oft Keycloak, während Teams, die operative Einfachheit priorisieren, eher zu Okta tendieren.

Keycloak vs. Auth0

Auth0, jetzt Teil von Okta, legt den Schwerpunkt auf die Entwicklererfahrung mit umfangreicher Dokumentation und Schnellstartanleitungen. Beide Plattformen unterstützen OIDC und SAML. Die Entscheidung hängt oft davon ab, ob Sie selbst hosten möchten (Keycloak) oder für einen verwalteten Dienst bezahlen (Auth0).

Keycloak vs. Active Directory

Active Directory ist ein Verzeichnisdienst, keine vollständige IAM-Plattform. Keycloak kann Benutzer aus Active Directory über LDAP föderieren und dabei moderne Authentifizierungsprotokolle wie OIDC darüber legen. In diesem Sinne ergänzen sich die beiden Technologien eher, als dass sie direkte Konkurrenten wären.

Erste Schritte mit Keycloak

Keycloak lokal zum Laufen zu bringen erfordert nur wenige Schritte:

1. Keycloak von keycloak.org herunterladen oder das offizielle Docker-Image pullen
2. Den Server mit Docker oder der Standalone-Distribution starten
3. Ein Realm erstellen, um Ihre Konfiguration zu isolieren
4. Eine Client-Anwendung mit den korrekten Redirect-URIs registrieren
5. Benutzer manuell hinzufügen oder Federation mit einem bestehenden Verzeichnis konfigurieren
6. Ihre Anwendungen über OIDC- oder SAML-Bibliotheken integrieren

Die Keycloak-Dokumentation bietet detaillierte Anleitungen für jeden Schritt, und eine aktive Community unterstützt über Foren und GitHub-Diskussionen.

Einschränkungen von selbst gehostetem Keycloak im Enterprise-Einsatz

Obwohl Keycloak leistungsstark ist, bringt das Selbsthosting Herausforderungen mit sich, die Organisationen häufig unterschätzen:

• Infrastrukturverwaltung: Ihr Team ist verantwortlich für Server-Bereitstellung, Updates und Monitoring
• Hochverfügbarkeit: Die Konfiguration von Clustering und Failover erfordert Expertise und laufende Wartung
• Sicherheits-Patching: Das schnelle Einspielen von Sicherheitsupdates liegt vollständig in Ihrer Verantwortung
• Kein integriertes Einwilligungsmanagement: DSGVO-konforme Consent-Flows erfordern in der Regel zusätzliche Tools
• Begrenzte Monetarisierungsfunktionen: Es gibt keine native Unterstützung für Premium-Mitgliedschaften oder ID-basierte Kampagnen

Organisationen, die eine sofort einsatzbereite Lösung mit integriertem Einwilligungsmanagement, gebrandeten Benutzerkonten und Monetarisierungsfunktionen suchen, finden in verwalteten Identity-Plattformen möglicherweise einen schnelleren Weg zum Mehrwert. Plattformen wie Unidy wahren die Kompatibilität mit OpenID Connect und SAML und fügen gleichzeitig geschäftsorientierte Funktionen hinzu.

Wie zentralisierte Identitätsinfrastruktur digitales Wachstum unterstützt

Identity Management kann sich von einer einfachen Sicherheitsanforderung zu einem echten Wachstumstreiber entwickeln. Wenn Benutzerprofile, Einwilligung und Authentifizierung in einer zentralen Ebene zusammengeführt werden, eröffnen sich neue Möglichkeiten:

• Datensilos aufbrechen: Eine einheitliche Identität verbindet separate Systeme und schafft konsistente Benutzerprofile
• Zero- und First-Party-Daten ausbauen: Direkte Beziehungen zu Benutzern reduzieren die Abhängigkeit von Drittanbieter-Plattformen, insbesondere da Drittanbieter-Cookies verschwinden
• Konforme Personalisierung ermöglichen: Transparentes Einwilligungsmanagement unterstützt DSGVO-Anforderungen und ermöglicht gleichzeitig gezielte Erlebnisse
• Umsatzfunktionen freischalten: Premium-Mitgliedschaften und ID-basierte Kampagnen werden mit einer starken Identitätsgrundlage möglich

Unidy erweitert Standard-SSO-Funktionen um gebrandete Benutzerkonten, integrierte Consent-Dashboards und Monetarisierungsfunktionen. Dieser Ansatz kombiniert die Protokollkompatibilität von Lösungen wie Keycloak mit geschäftsfokussierten Funktionen, die digitales Wachstum unterstützen.

Mehr lesen

Häufig gestellte Fragen zu Keycloak

Wofür wird Keycloak verwendet?

Keycloak fügt Authentifizierung und Single Sign-On zu Anwendungen hinzu, damit Benutzer sich einmalig anmelden und auf mehrere Dienste zugreifen können. Organisationen nutzen es, um die Benutzerverwaltung zu zentralisieren, starke Authentifizierung durchzusetzen und APIs über ihr gesamtes Anwendungsportfolio hinweg zu sichern.

Was ist der Unterschied zwischen Keycloak und OAuth?

OAuth 2.0 ist ein Autorisierungsprotokoll, das definiert, wie Anwendungen im Namen von Benutzern auf Ressourcen zugreifen können. Keycloak ist eine vollständige IAM-Plattform, die OAuth 2.0 zusammen mit OpenID Connect und SAML implementiert und Authentifizierung, Autorisierung sowie Benutzerverwaltung in einem Paket bereitstellt.

Gibt es eine Keycloak-as-a-Service-Option?

Ja. Mehrere Anbieter offerieren verwaltetes Keycloak-Hosting, das Infrastruktur und Wartung übernimmt. Alternative verwaltete Identity-Plattformen bieten ähnliche Protokollunterstützung zusammen mit zusätzlichen Funktionen wie Einwilligungsmanagement und gebrandeten Benutzerportalen.

Übernimmt Keycloak das Einwilligungsmanagement für die DSGVO-Compliance?

Keycloak bietet grundlegende Einwilligungsunterstützung während Authentifizierungsabläufen. Umfassendes DSGVO-Einwilligungsmanagement – mit granularen Opt-ins, Preference Centern und Audit-Trails – erfordert in der Regel zusätzliche Tools oder eine dedizierte Consent-Management-Plattform, die parallel zu Keycloak integriert wird.

Kann Keycloak vollständig gebrandete Benutzerkonten-Portale bereitstellen?

Keycloak unterstützt Theme-Anpassungen für Login-Seiten und die Account-Konsole. Organisationen, die White-Label-Identity-Management mit integriertem Datenmanagement, Consent-Kontrollen und personalisierten Erlebnissen wünschen, werden feststellen, dass fortschrittlichere Lösungen oder verwaltete Plattformen mehr von Haus aus bieten.