Keycloak: Die Referenz-Architektur für Enterprise Identity & Access Management (IAM)

TL;DR

Identität ist der neue Perimeter. Wer Login und Nutzerverwaltung an SaaS-Dienste wie Auth0 oder AWS Cognito auslagert, genießt anfangs Komfort, läuft aber in eine doppelte Falle: Exponentiell steigende Kosten bei wachsenden Nutzerzahlen (Pay-per-MAU) und eingeschränkte Anpassbarkeit. Keycloak ist der Industriestandard, um diese Hoheit zurückzugewinnen. Es bietet eine vollständige, Open-Source-basierte IAM-Lösung, die unbegrenzt skaliert, sich mit jedem bestehenden Verzeichnis (AD/LDAP) verbindet und keine “Steuer” pro aktivem Nutzer erhebt.

1. Das Architektur-Prinzip: Identity Brokering & Federation

SaaS-Lösungen wollen oft die einzige Datenbank für Ihre Nutzer sein. In der Realität liegen Identitäten aber überall: Im Active Directory der Firma, in Social-Media-Accounts (Google/GitHub) oder in Partner-Datenbanken.

Keycloak fungiert als Identity Broker.

• Single Sign-On (SSO): Ihre Applikation vertraut nur Keycloak. Keycloak wiederum vertraut vielen anderen Quellen.
• Federation: Ein Nutzer meldet sich an. Keycloak prüft: “Ist der Nutzer im lokalen LDAP? Nein? Dann schaue ich bei Google.” Für die Applikation ist dieser komplexe Prozess transparent. Sie bekommt am Ende immer ein standardisiertes Token (JWT).

2. Kern-Feature: Unlimited Customization (SPI)

Was passiert, wenn Sie einen Login-Flow brauchen, der nicht Standard ist? Z.B.: “Nach dem Passwort muss der Nutzer eine AGB akzeptieren, aber nur, wenn er aus Deutschland kommt, und dann eine SMS via einem lokalen Provider empfangen.”

Bei AWS Cognito stoßen Sie hier auf harte Grenzen (begrenzte Lambda-Trigger).

Keycloak bietet Service Provider Interfaces (SPI).

Da Keycloak auf Java basiert, können Sie für fast jede Komponente (Authentifizierung, User-Storage, Protokolle) eigene Plugins schreiben. Sie können die Kern-Logik des Servers erweitern, ohne den Source-Code zu forken. Das macht Keycloak zur flexibelsten IAM-Lösung am Markt.

3. Skalierung ohne Kostenfalle (The MAU Trap)

Das Geschäftsmodell von Auth0 und Okta basiert auf Monthly Active Users (MAU).

Für ein B2B-Startup mit 500 Nutzern ist das günstig. Für eine B2C-Plattform oder einen Shop mit 1 Million Gelegenheits-Nutzern wird dieses Modell ruinös. Die Kosten explodieren linear mit dem Erfolg.

Keycloak kennt keine MAUs.

Ob Sie 100 oder 1.000.000 Nutzer verwalten, ändert an der Lizenz nichts (da Open Source). Sie zahlen lediglich für die Infrastruktur (CPU/RAM) im Cluster. Da Login-Prozesse sehr effizient sind, können Sie Millionen von Nutzern auf einer überschaubaren Hardware verwalten. Die Grenzkosten pro Nutzer gehen gegen Null.

4. Betriebsmodelle im Vergleich: Auth0/Cognito vs. ayedo Managed Keycloak

Hier entscheidet sich, ob Ihr IAM ein Kosten-Treiber oder ein strategisches Asset ist.

Szenario A: Auth0 / AWS Cognito (Der goldene Käfig)

Der Einstieg (“Time to Hello World”) ist extrem schnell, aber der Lock-in ist tief.

• Vendor Lock-in: Exportieren Sie mal Ihre Nutzer inklusive Passwörter aus Cognito. Es geht nicht (Hashes sind oft nicht exportierbar). Sie können den Provider nicht wechseln, ohne dass alle User ihr Passwort resetten müssen.
• Blackbox Uptime: Wenn der US-Provider down ist (oder Ihren Account wegen “verdächtiger Aktivität” sperrt), steht Ihr Geschäft still. Sie haben keinen Zugriff auf die Logs oder die Datenbank.
• Datenhaltung: Die Nutzerdaten liegen oft in US-Rechenzentren, was DSGVO-Compliance komplex macht (Schrems II).

Szenario B: Keycloak mit Managed Kubernetes von ayedo

Im ayedo App-Katalog ist Keycloak die IAM-Engine für Profis.

• Data Sovereignty: Die Datenbank (PostgreSQL) liegt in Ihrem Cluster. Sie haben Zugriff auf alles. Ein Export ist jederzeit per SQL-Dump möglich.
• Themeing: Keycloak erlaubt volle Kontrolle über das HTML/CSS der Login-Seite (FreeMarker Templates). Sie sieht exakt so aus wie Ihre Corporate Identity, nicht wie eine generische Maske.
• Hochverfügbarkeit: Keycloak nutzt Infinispan für verteiltes Caching. Im ayedo Stack wird dies so konfiguriert, dass Sessions über mehrere Pods repliziert werden. Fällt ein Node aus, muss sich der Nutzer nicht neu einloggen.

Technischer Vergleich der Betriebsmodelle

FAQ: Keycloak & IAM Strategy

Keycloak vs. Authentik: Was ist der Unterschied?

Beides sind Top-Tools im ayedo Katalog. Keycloak (Java) ist der etablierte “Enterprise-Tanker”. Er hat mehr Features für Legacy-Integrationen (Kerberos, User Federation) und ist der Standard in Konzernen. Authentik (Python/Go) ist moderner, leichtgewichtiger und oft intuitiver zu konfigurieren (“Flows”).

Faustregel: Brauchen Sie tiefe LDAP-Integration, SPI-Erweiterungen oder Zertifizierung? Nehmen Sie Keycloak. Wollen Sie eine moderne, schnelle Lösung für Kubernetes-Apps? Schauen Sie sich Authentik an.

Ist Keycloak schwer zu betreiben?

Historisch gesehen: Ja. Java-Applikationen mit Infinispan-Clustering sind komplex zu tunen. Genau das ist der Wert von Managed Keycloak bei ayedo. Wir liefern eine vorkonfigurierte, auf Kubernetes optimierte Instanz (basierend auf der modernen Quarkus-Distribution), die schnell startet und stabil läuft, ohne dass Sie Java-Experte sein müssen.

Kann ich meine bestehenden Active Directory User nutzen?

Ja, das ist die Paradedisziplin von Keycloak. Über “User Federation” binden Sie Ihr AD oder LDAP an. Keycloak synchronisiert User nicht zwingend, sondern kann Passwörter direkt gegen das AD prüfen. Das ermöglicht einen nahtlosen Übergang von On-Premise zu Cloud.

Unterstützt Keycloak Social Login?

Ja. Google, Facebook, GitHub, Microsoft, LinkedIn – fast jeder relevante Provider ist out-of-the-box unterstützt. Sie benötigen nur die Client-IDs des jeweiligen Dienstes.

Fazit

Identität ist zu wichtig, um sie zu mieten. Wer auf SaaS-IAM setzt, tauscht kurzfristige Bequemlichkeit gegen langfristige Abhängigkeit und hohe Kosten. Keycloak ist die Antwort für Unternehmen, die wachsen wollen, ohne “pro Nutzer” bestraft zu werden. Es ist mächtig, souverän und der weltweite Standard für Open-Source IAM. Mit dem ayedo Managed Stack erhalten Sie diese Enterprise-Power ohne den operativen Schmerz der Java-Verwaltung – skalierbar, sicher und unter Ihrer Kontrolle.