Azure Entra ID vs. Keycloak

Identität als Service oder als Infrastruktur

Azure Entra ID und Keycloak lösen dasselbe Kernproblem: Identitäten verwalten, Zugriffe steuern und Authentifizierung absichern. In vielen Architekturen tauchen beide als „Identity Provider" auf und werden damit funktional gleichgesetzt. Diese Sicht greift zu kurz.

Der Unterschied liegt nicht in einzelnen Features, sondern in Kontrolle, Abhängigkeit und strategischer Tragweite. Identity ist keine Nebenfunktion. Sie entscheidet darüber, wer Zugriff erhält, wie Systeme miteinander interagieren und wo letztlich die Hoheit über digitale Identitäten liegt. Identity ist Macht über Systeme.

Azure Entra ID: Identity als gemanagter Dienst

Azure Entra ID ist Microsofts Identity-Plattform und tief in das gesamte Microsoft-Ökosystem integriert. Microsoft 365, Azure, Intune, Defender, Conditional Access – alles greift nahtlos ineinander. Für Organisationen, die konsequent im Microsoft-Stack arbeiten, ist Entra ID faktisch der Standard.

Betrieb, Hochverfügbarkeit, Updates und ein Großteil der Security-Verantwortung liegen bei Microsoft. Das reduziert den operativen Aufwand erheblich. Identitäten werden nicht mehr betrieben, sondern konsumiert. Neue Anwendungen lassen sich schnell anbinden, Policies zentral definieren, Zugriffe granular steuern.

Diese Bequemlichkeit ist real – und gleichzeitig eine bewusste Machtverschiebung.

Geschlossenheit als strukturelle Grenze

Technisch ist Entra ID leistungsfähig, aber geschlossen. Erweiterungen folgen Microsofts Roadmap, nicht zwingend den Anforderungen der Organisation. Zwar sind die eingesetzten Protokolle wie OpenID Connect, OAuth2 oder SAML standardkonform, die konkrete Implementierung und das Betriebsmodell sind es nicht immer.

Identitätsdaten, Policies und Audit-Logs liegen in einem Microsoft-kontrollierten Kontext. Betriebsentscheidungen – etwa zu Retention, Mandantenstruktur oder bestimmten Sicherheitsmechanismen – sind nur im Rahmen dessen möglich, was Microsoft vorsieht. Wer Entra ID nutzt, entscheidet sich implizit für Microsoft als zentrale Identitätsautorität.

Ein späterer Wechsel ist grundsätzlich möglich, in der Praxis jedoch teuer und organisatorisch komplex. Identitäten sind tief mit Anwendungen, Prozessen und Sicherheitskonzepten verwoben. Je länger Entra ID genutzt wird, desto größer wird die Trägheit.

Keycloak: Identity als eigene Infrastruktur

Keycloak steht bewusst auf der anderen Seite. Open Source, selbst betreibbar, vollständig kontrollierbar. Ob On-Premises, in Kubernetes oder in einer souveränen Cloud – Keycloak läuft dort, wo die Organisation es erlaubt.

Alle relevanten Protokolle sind offen implementiert: OpenID Connect, OAuth2, SAML. Policies sind vollständig konfigurierbar, Erweiterungen selbst bestimmbar. Integrationen folgen Standards, nicht Anbieterlogik. Identity wird nicht konsumiert, sondern gestaltet.

Das macht Keycloak zu einem Infrastrukturbaustein – nicht zu einem Service.

Verantwortung statt Komfort

Der Preis für diese Kontrolle ist Verantwortung. Keycloak muss betrieben, abgesichert, überwacht und aktualisiert werden. Hochverfügbarkeit, Backup-Strategien und Skalierung sind Teil der eigenen Architektur. Es gibt keine Illusion von Bequemlichkeit.

Dafür gibt es etwas, das Managed Identity nicht liefern kann: Souveränität. Identitäten verlassen die eigene Kontrolle nicht. Entscheidungen über Datenhaltung, Policies und Integrationen sind revidierbar. Identity wird nicht durch einen Anbieter definiert, sondern durch die eigenen Anforderungen.

Gerade in Plattform-Architekturen ist dieser Unterschied entscheidend.

Regulierung, Compliance und strategische Unabhängigkeit

Der Unterschied zwischen Entra ID und Keycloak wird besonders deutlich, sobald regulatorische Anforderungen ins Spiel kommen. NIS-2, Datenschutzvorgaben, branchenspezifische Regularien oder behördliche Anforderungen verlangen oft klare Aussagen zu Datenhoheit, Zugriffskontrolle und Betriebsmodellen.

Mit Keycloak lassen sich solche Anforderungen gezielt umsetzen. Standort, Mandantentrennung, Audit-Trails und Integrationen können exakt an regulatorische Rahmenbedingungen angepasst werden. Entra ID kann vieles abdecken – solange es in Microsofts Modell passt. Was darüber hinausgeht, wird schwierig oder unmöglich.

Identity ist hier nicht nur ein technisches Thema, sondern Teil der Governance.

Verdichteter Vergleich

Wann welcher Ansatz sinnvoll ist

Azure Entra ID ist sinnvoll für:

• Organisationen mit klarem Microsoft-Fokus
• Microsoft-365- und Azure-zentrische IT
• geringe Anforderungen an Identitäts-Souveränität
• Fokus auf schnellen Betrieb ohne Eigenverantwortung

Keycloak ist sinnvoll für:

• Plattformen mit langfristiger Identity-Strategie
• regulatorisch sensible Umgebungen
• Multi-Cloud- oder Hybrid-Architekturen
• Organisationen, die Identity als sicherheitskritische Infrastruktur begreifen

Fazit

Identity entscheidet, wer Zugriff hat. Sie entscheidet damit auch, wer Kontrolle ausübt.

Azure Entra ID optimiert auf Integration und Bequemlichkeit. Keycloak optimiert auf Kontrolle und Souveränität.

Der Unterschied ist nicht primär technisch. Er ist strategisch – und er wirkt langfristig.

Wer Identität aus der Hand gibt, gibt mehr ab als Authentifizierung. Und genau deshalb sollte man sehr bewusst wählen, wer darüber bestimmt.