Kaum eine Infrastruktur-Entscheidung hat 2026 mehr versteckte Tragweite als die Identitätsfrage: Wer verwaltet Logins, Rollen und Sessions Ihrer Kunden und Mitarbeiter – und zu welchem Preis? SaaS-Identity-Dienste rechnen pro aktivem Nutzer ab, was bei wachsenden Portalen zur teuersten Zeile der Cloud-Rechnung werden kann. Und sie verwalten dabei das sensibelste Datenasset überhaupt: Identitäten. Keycloak ist die Open-Source-Antwort auf beides.
Welche Produkte ersetzt Keycloak?
Keycloak übernimmt die Identitätsschicht: Login und SSO über alle Anwendungen, Nutzer- und Rollenverwaltung, MFA, Self-Service (Passwort-Reset, Profil) und die Föderation bestehender Verzeichnisse. Damit substituiert es je nach Ausgangslage sehr unterschiedliche Systeme:
| System | Modell | Wann Keycloak die Alternative ist |
|---|---|---|
| Auth0 (Okta) | SaaS-IdP, Tarife skalieren mit aktiven Nutzern (MAU) | wenn Nutzerzahlen die Kosten treiben oder Datenhoheit gefordert ist |
| Okta Workforce | SaaS, Preis pro Nutzer/Monat | wenn Mitarbeiter-SSO ohne Dauerabo pro Kopf gewünscht ist |
| Microsoft Entra ID (B2C/External ID) | Cloud-IdP im Microsoft-Ökosystem | wenn Kundenportale unabhängig von Microsoft-Bindung und -Preislogik laufen sollen |
| AWS Cognito | Cloud-IdP, nutzungsbasiert | wenn Sie AWS-Lock-in vermeiden oder komplexe Flows brauchen, an denen Cognito-Anpassbarkeit endet |
| Firebase Auth | Google-Cloud-Dienst | wenn aus dem App-Prototyp ein B2B-Produkt mit Rollen, SSO und Compliance-Anforderungen wird |
| Auth-Eigenbau | selbst entwickelte Login-/Session-Logik | Keycloak ersetzt den riskantesten Eigenbau überhaupt – Security-Logik gehört nicht selbst geschrieben |
Zur Abgrenzung: Keycloak ersetzt kein CRM und kein Nutzer-Datenmodell Ihrer Anwendung – es ist die Authentifizierungs- und Autorisierungsschicht davor. In unseren Projekten arbeitet es häufig neben Supabase: Supabase Auth für schlanke Einzel-Apps, Keycloak sobald SSO über mehrere Anwendungen, Verzeichnis-Anbindung oder feingranulare Rollen gefragt sind.
Die Vorteile eines Open-Source-IAM
- Keine nutzerbasierten Lizenzkosten: Ob 1.000 oder 500.000 Nutzer – die Softwarekosten bleiben null. Bei SaaS-IdPs ist die MAU-Rechnung der größte versteckte Skalierungskostenblock.
- Datenhoheit beim sensibelsten Asset: Identitäten, Credentials und Sessions liegen auf Ihrer EU-Infrastruktur – keine Drittland-Transfers, kurze Auftragsverarbeitungsketten, volle Audit-Kontrolle.
- Volle Protokoll- und Legacy-Breite: OIDC, OAuth2 und SAML für Moderne wie Alt-Systeme, LDAP-/Active-Directory-Federation für bestehende Verzeichnisse.
- Anpassbare Authentifizierungs-Flows: Registrierung, Step-up-MFA, kundenspezifische Login-Journeys und eigene Erweiterungen (SPIs) – ohne auf Feature-Roadmaps eines Anbieters zu warten.
- Exit-Sicherheit und Governance: Der Dienst läuft weiter, egal was ein Anbieter mit Preisen oder Produkten macht – als CNCF-Projekt mit Red-Hat-Herkunft ist Keycloak zudem ungewöhnlich breit abgesichert.
- White-Labeling inklusive: Login-Oberflächen laufen unter Ihrer Marke und Domain – kein „Powered by"-Fremdauftritt im sensibelsten Moment der Nutzerbeziehung.
Die Architektur in 90 Sekunden
Keycloak organisiert Identitäten in Realms (getrennte Mandanten, z. B. Kunden vs. Mitarbeiter), Anwendungen docken als Clients über OIDC oder SAML an. Bestehende Nutzerbestände bindet User Federation an (LDAP, Active Directory), externe Identitäten kommen per Identity Brokering dazu (z. B. „Login mit Google" oder ein Partner-IdP). MFA, Passkeys/WebAuthn und Session-Management sind Kernfunktionen, Login-Themes und Server-Erweiterungen (SPIs) machen Flows und Optik anpassbar. Technisch läuft Keycloak als Container auf der Quarkus-Runtime – von der Einzelinstanz bis zum hochverfügbaren Cluster.
Wann Keycloak passt – und wann nicht
Ehrlich bleibt ehrlich: Ein Managed-IdP ist der richtige Weg, wenn kein Team den Betrieb verantworten kann – Identity ist kritische Infrastruktur, Updates und Verfügbarkeit sind Pflicht, nicht Kür. Für eine einzelne schlanke App reicht oft auch Supabase Auth. Keycloak spielt seine Stärken aus, wenn SSO mehrere Anwendungen verbindet, Verzeichnisse föderiert werden müssen, B2B-Portale feingranulare Rollen brauchen, Compliance Datenhoheit verlangt – oder die MAU-Rechnung des SaaS-IdP zur strategischen Belastung wird.
Betrieb und Kosten für Entscheider
Open Source verschiebt Kosten von Lizenzen zu Projekt und Betrieb: Ein Keycloak-Setup inklusive Integration liegt in unserer Projektklassifikation je nach Umfang zwischen einem fokussierten MVP (8.000–20.000 €) und einer vollständigen Portal-Integration (20.000–60.000 €); der Betrieb auf EU-Infrastruktur bewegt sich im niedrigen dreistelligen Bereich pro Monat. Was der Stack real kostet, haben wir transparent vorgerechnet: Supabase und Keycloak – was dieser Stack wirklich kostet.
Wie wir Keycloak mit Supabase und Next.js zu B2B-Webapps kombinieren, zeigt unsere Leistungsseite Supabase-Entwicklung – und für den Gesamtansatz die KI-gestützte Softwareentwicklung.
