Was ist Keycloak? Open-Source Identity & Access Management im Überblick (2026)

Keycloak ersetzt Auth0, Okta & Co. als selbst betriebenes Identity- und Access-Management – ohne nutzerbasierte Lizenzkosten. Was das Open-Source-IAM für Entscheider bedeutet: Substitution, Vorteile, DSGVO, Kosten.
3 Min. LesezeitMatthias RadscheitMatthias Radscheit
Happycodingde-DE

TL;DR

Keycloak ist ein Open-Source Identity- und Access-Management (IAM): Single Sign-on, Nutzer- und Rechteverwaltung, OIDC/OAuth2/SAML und AD/LDAP-Anbindung – selbst betrieben statt gemietet. Es ersetzt nutzerbasiert lizenzierte Identity-Dienste wie Auth0, Okta oder Azure AD B2C. Für Entscheider zählen drei Dinge: Die Kosten skalieren nicht mit der Nutzerzahl, Identitätsdaten bleiben auf eigener EU-Infrastruktur (DSGVO), und als CNCF-Projekt mit Red-Hat-Herkunft ist die Zukunftsfähigkeit breit abgesichert. Managed-IdP bleibt richtig für kleine Teams ohne Betriebskapazität.

  • Keycloak ersetzt Identity-SaaS wie Auth0, Okta, Azure AD B2C, AWS Cognito oder den riskanten Auth-Eigenbau – als selbst betriebenes SSO- und IAM-System.
  • Kostenmodell-Unterschied: keine Lizenz, keine Gebühr pro aktivem Nutzer – bei fünf- bis sechsstelligen Nutzerzahlen der entscheidende Hebel.
  • Identitätsdaten (das sensibelste Datenasset) bleiben self-hosted auf EU-Infrastruktur – DSGVO strukturell gelöst statt vertraglich verhandelt.
  • Volle Protokollbreite: OIDC, OAuth2, SAML, LDAP-/Active-Directory-Federation – auch für Legacy-Anwendungen.
  • Ehrliche Grenze: Ohne Betriebsverantwortung (Updates, HA, Monitoring) ist ein Managed-IdP der sicherere Weg.
Definition: Keycloak
Keycloak ist ein Open-Source Identity- und Access-Management-System (IAM): Single Sign-on, Nutzerverwaltung, Rollen und Rechte, Multi-Faktor-Authentifizierung und Identity-Brokering über OIDC, OAuth2 und SAML – selbst betreibbar auf eigener Infrastruktur, entstanden bei Red Hat und heute ein Projekt der Cloud Native Computing Foundation (CNCF).

Kaum eine Infrastruktur-Entscheidung hat 2026 mehr versteckte Tragweite als die Identitätsfrage: Wer verwaltet Logins, Rollen und Sessions Ihrer Kunden und Mitarbeiter – und zu welchem Preis? SaaS-Identity-Dienste rechnen pro aktivem Nutzer ab, was bei wachsenden Portalen zur teuersten Zeile der Cloud-Rechnung werden kann. Und sie verwalten dabei das sensibelste Datenasset überhaupt: Identitäten. Keycloak ist die Open-Source-Antwort auf beides.

Welche Produkte ersetzt Keycloak?

Keycloak übernimmt die Identitätsschicht: Login und SSO über alle Anwendungen, Nutzer- und Rollenverwaltung, MFA, Self-Service (Passwort-Reset, Profil) und die Föderation bestehender Verzeichnisse. Damit substituiert es je nach Ausgangslage sehr unterschiedliche Systeme:

SystemModellWann Keycloak die Alternative ist
Auth0 (Okta)SaaS-IdP, Tarife skalieren mit aktiven Nutzern (MAU)wenn Nutzerzahlen die Kosten treiben oder Datenhoheit gefordert ist
Okta WorkforceSaaS, Preis pro Nutzer/Monatwenn Mitarbeiter-SSO ohne Dauerabo pro Kopf gewünscht ist
Microsoft Entra ID (B2C/External ID)Cloud-IdP im Microsoft-Ökosystemwenn Kundenportale unabhängig von Microsoft-Bindung und -Preislogik laufen sollen
AWS CognitoCloud-IdP, nutzungsbasiertwenn Sie AWS-Lock-in vermeiden oder komplexe Flows brauchen, an denen Cognito-Anpassbarkeit endet
Firebase AuthGoogle-Cloud-Dienstwenn aus dem App-Prototyp ein B2B-Produkt mit Rollen, SSO und Compliance-Anforderungen wird
Auth-Eigenbauselbst entwickelte Login-/Session-LogikKeycloak ersetzt den riskantesten Eigenbau überhaupt – Security-Logik gehört nicht selbst geschrieben

Zur Abgrenzung: Keycloak ersetzt kein CRM und kein Nutzer-Datenmodell Ihrer Anwendung – es ist die Authentifizierungs- und Autorisierungsschicht davor. In unseren Projekten arbeitet es häufig neben Supabase: Supabase Auth für schlanke Einzel-Apps, Keycloak sobald SSO über mehrere Anwendungen, Verzeichnis-Anbindung oder feingranulare Rollen gefragt sind.

Die Vorteile eines Open-Source-IAM

  • Keine nutzerbasierten Lizenzkosten: Ob 1.000 oder 500.000 Nutzer – die Softwarekosten bleiben null. Bei SaaS-IdPs ist die MAU-Rechnung der größte versteckte Skalierungskostenblock.
  • Datenhoheit beim sensibelsten Asset: Identitäten, Credentials und Sessions liegen auf Ihrer EU-Infrastruktur – keine Drittland-Transfers, kurze Auftragsverarbeitungsketten, volle Audit-Kontrolle.
  • Volle Protokoll- und Legacy-Breite: OIDC, OAuth2 und SAML für Moderne wie Alt-Systeme, LDAP-/Active-Directory-Federation für bestehende Verzeichnisse.
  • Anpassbare Authentifizierungs-Flows: Registrierung, Step-up-MFA, kundenspezifische Login-Journeys und eigene Erweiterungen (SPIs) – ohne auf Feature-Roadmaps eines Anbieters zu warten.
  • Exit-Sicherheit und Governance: Der Dienst läuft weiter, egal was ein Anbieter mit Preisen oder Produkten macht – als CNCF-Projekt mit Red-Hat-Herkunft ist Keycloak zudem ungewöhnlich breit abgesichert.
  • White-Labeling inklusive: Login-Oberflächen laufen unter Ihrer Marke und Domain – kein „Powered by"-Fremdauftritt im sensibelsten Moment der Nutzerbeziehung.

Die Architektur in 90 Sekunden

Keycloak organisiert Identitäten in Realms (getrennte Mandanten, z. B. Kunden vs. Mitarbeiter), Anwendungen docken als Clients über OIDC oder SAML an. Bestehende Nutzerbestände bindet User Federation an (LDAP, Active Directory), externe Identitäten kommen per Identity Brokering dazu (z. B. „Login mit Google" oder ein Partner-IdP). MFA, Passkeys/WebAuthn und Session-Management sind Kernfunktionen, Login-Themes und Server-Erweiterungen (SPIs) machen Flows und Optik anpassbar. Technisch läuft Keycloak als Container auf der Quarkus-Runtime – von der Einzelinstanz bis zum hochverfügbaren Cluster.

Wann Keycloak passt – und wann nicht

Ehrlich bleibt ehrlich: Ein Managed-IdP ist der richtige Weg, wenn kein Team den Betrieb verantworten kann – Identity ist kritische Infrastruktur, Updates und Verfügbarkeit sind Pflicht, nicht Kür. Für eine einzelne schlanke App reicht oft auch Supabase Auth. Keycloak spielt seine Stärken aus, wenn SSO mehrere Anwendungen verbindet, Verzeichnisse föderiert werden müssen, B2B-Portale feingranulare Rollen brauchen, Compliance Datenhoheit verlangt – oder die MAU-Rechnung des SaaS-IdP zur strategischen Belastung wird.

Betrieb und Kosten für Entscheider

Open Source verschiebt Kosten von Lizenzen zu Projekt und Betrieb: Ein Keycloak-Setup inklusive Integration liegt in unserer Projektklassifikation je nach Umfang zwischen einem fokussierten MVP (8.000–20.000 €) und einer vollständigen Portal-Integration (20.000–60.000 €); der Betrieb auf EU-Infrastruktur bewegt sich im niedrigen dreistelligen Bereich pro Monat. Was der Stack real kostet, haben wir transparent vorgerechnet: Supabase und Keycloak – was dieser Stack wirklich kostet.

Wie wir Keycloak mit Supabase und Next.js zu B2B-Webapps kombinieren, zeigt unsere Leistungsseite Supabase-Entwicklung – und für den Gesamtansatz die KI-gestützte Softwareentwicklung.

Häufige Fragen

Ist Keycloak DSGVO-konform betreibbar?
Ja – strukturell einfacher als jeder US-Identity-Dienst: Keycloak läuft self-hosted auf EU-Infrastruktur, Identitätsdaten, Credentials und Sessions bleiben vollständig in Ihrer Verantwortung, ohne Drittland-Transfer. Übrig bleiben die Dienste, die Sie selbst anbinden. Wir betreiben Keycloak typischerweise auf Hetzner in Deutschland – inklusive Audit-Logging für Nachweispflichten.
Was kostet Keycloak wirklich?
Die Software: nichts – keine Lizenz, keine Gebühr pro Nutzer. Real budgetieren Sie Einrichtung und Betrieb: ein fokussiertes Setup ab 8.000–20.000 €, eine vollständige Portal-Integration 20.000–60.000 €, Betrieb im niedrigen dreistelligen Monatsbereich. Der Vergleichsmaßstab: SaaS-IdPs rechnen pro aktivem Nutzer ab – bei wachsenden Portalen wächst die Rechnung mit.
Welche Systeme ersetzt Keycloak konkret?
Identity-SaaS wie Auth0, Okta, Microsoft Entra External ID (Azure AD B2C), AWS Cognito oder Firebase Auth – und den Auth-Eigenbau. Es ersetzt nicht das Nutzer-Datenmodell Ihrer Anwendung oder ein CRM: Keycloak ist die Authentifizierungs- und Autorisierungsschicht davor.
Wie zukunftssicher ist Keycloak – was, wenn das Projekt endet?
Keycloak gehört zu den am breitesten abgesicherten Open-Source-Projekten seiner Klasse: entstanden bei Red Hat, seit 2023 Projekt der Cloud Native Computing Foundation, mit großer Community und kommerziellem Rückgrat (Red Hat Build of Keycloak). Und selbst im Extremfall gilt der Open-Source-Vorteil: Ihr Deployment läuft weiter, Migrationen passieren zu Ihren Bedingungen.
Unterstützt Keycloak MFA, Passkeys und moderne Security-Standards?
Ja: Multi-Faktor-Authentifizierung (TOTP, WebAuthn), Passkeys, Brute-Force-Schutz, Session-Policies und Step-up-Authentifizierung sind Kernfunktionen. Dazu kommen feingranulare Autorisierung und anpassbare Authentifizierungs-Flows – etwa unterschiedliche Anforderungen je Anwendung oder Nutzergruppe.
Wie integriert sich Keycloak in Active Directory und Legacy-Systeme?
Über User Federation bindet Keycloak bestehende LDAP- und Active-Directory-Verzeichnisse an – Nutzer bleiben führend im Verzeichnis, SSO kommt obendrauf. Für Anwendungen zählt die Protokollbreite: Moderne Apps sprechen OIDC, ältere Enterprise-Systeme SAML – Keycloak bedient beide gleichzeitig.
Wie aufwendig ist eine Migration von Auth0, Okta oder Cognito?
Planbar: Nutzerbestände lassen sich exportieren und importieren; Passwort-Hashes übernimmt Keycloak je nach Quellformat direkt oder über eine schrittweise Migration beim ersten Login. Die eigentliche Arbeit liegt in den Clients (Redirect-URIs, Token-Claims, Rollen-Mapping) – pro Anwendung überschaubar, in Summe eine Frage der Anwendungszahl.
Brauchen wir ein eigenes Team für den Betrieb?
Nein, aber klare Verantwortung: Identity ist kritische Infrastruktur – Updates, Verfügbarkeit und Monitoring müssen geregelt sein. Entweder übernimmt Ihr Team nach Übergabe und Schulung, oder der Betrieb läuft über einen technischen Retainer. Ohne beides ist ein Managed-IdP die ehrlichere Wahl.

Quellen

Ähnliche Artikel

Offen für ausgewählte Projekte

Lassen Sie uns über Ihr Projekt sprechen

Buchen Sie einen unverbindlichen Termin, schreiben Sie uns eine E-Mail oder nutzen Sie das Formular – wir freuen uns auf Ihre Nachricht.

150+
Abgeschlossene Projekte
15
Jahre Erfahrung
8
Senior‑Level Teammitglieder