Bedarf an einer alternativen Authentifizierungs-Lösung für Keycloak?

Was ist Keycloak?

Keycloak ist eine bekannte Open-Source-Lösung für Identitäts- und Zugriffsmanagement (im englischen "Identity and Access Management" kurz IAM), die Authentifizierungs- und Autorisierungsdienste für Anwendungen und Dienste bietet. Aufgrund seines Open-Source-Charakters ist es offensichtlich, dass der Software-Stack von der Community entwickelt, gewartet und fehlerbereinigt wird und im Gegenzug kostenlos genutzt werden kann. Trotzdem dient Keycloak als Grundlage für das bekannte kommerzielle Angebot "Red Hat Single Sign-On". Gleichzeitig sind die Benutzer selbst für den Betrieb und die Aktualisierung von Keycloak und der zugrunde liegenden Infrastruktur verantwortlich. Zusätzlich muss sich der Anwender um die Umsetzung von Anpassungen kümmern. Während Keycloak oft in kleineren Installationen eingesetzt wird, sind Anwender oft über die begrenzte Skalierbarkeit, wenn die IT-Umgebung mit der Zeit wächst, unzufrieden.

Keycloak bietet derzeit einen Basispaket von IAM-Funktionen rund um Single Sign-On an:

• Grundfunktionen mit Anpassungsmöglichkeiten, z.B. für Registrierung, Login, Passwortrücksetzung.
• Möglichkeiten zum Hinzufügen oder Ändern von Faktoren.
• Single-Sign-On-Funktionalität,
• Passwortlose Authentifizierung,
• Einmaliges Passwort (TOTP, HOTP),
• Multi-Faktor-Authentifizierung,
• Unterstützt die Authentifizierungsprotokolle OpenID Connect, SAML 2.0, OAuth 2.0,
• WebAuthn (FIDO2, U2F),
• LDAP,
• Eingeschränkte Multi-Tenant-Funktionalität.

Gibt es irgendwelche Nachteile bei der Verwendung von Keycloak?

Keycloak ist zwar eine beliebte Open-Source-Bibliothek für das Identitäts- und Zugriffsmanagement, hat aber einige Nachteile, derer sich die Benutzer bewusst sein sollten. Eine der wichtigsten Einschränkungen ist, dass Keycloak keinen Cloud-Service oder verwaltete Dienste anbietet. Das bedeutet, dass die Benutzer für die Einrichtung und Wartung ihrer eigenen Infrastruktur verantwortlich sind. Die für die Einrichtung verantwortlichen Manager berichten oft von einem sehr manuellen und komplizierten Einrichtungsprozess.

Ein weiterer Nachteil ist das Fehlen eines offiziellen Supports für die Keycloak-Software. Da es sich um ein Open-Source-Projekt handelt, ist es auf die Unterstützung der Gemeinschaft angewiesen, die nicht immer sofort verfügbar ist oder zeitnah erfolgt. Die Benutzer müssen sich möglicherweise auf Foren oder Online-Communities verlassen, um Hilfe und Unterstützung zu erhalten. Professionelle Unterstützung von spezialisierten Beratungsfirmen ist kostspielig und möglicherweise schwer zu bekommen, wenn sie in einem Notfall benötigt wird.

Keycloak ist in erster Linie als Authentifizierungs- und Autorisierungslösung konzipiert. Das bedeutet, dass sein Funktionsumfang im Vergleich zu umfassenderen Identitätsmanagement-Plattformen eingeschränkt sein kann. Benutzer, die nach fortgeschrittenen Funktionen wie Anpassung, echter Mandantenfähigkeit oder zuverlässiger Zero-Downtime-Bereitstellung suchen, stellen schnell fest, dass Keycloak selbst in diesen Bereichen nicht ausreichend ist (z.B. Magic Links). Einige dieser zusätzlichen Funktionen können durch die Verwendung von Add-Ons von Drittanbietern verfügbar gemacht werden. Deren Integration erfordert jedoch Geduld, da der Benutzer sie in seinem eigenen Setup ausprobieren muss, bis sie richtig funktionieren. Insbesondere das Branding der eigenen Keycloak-Lösung mit Logos, Texten, Farben, Sprache und anderen Anpassungen oder das Einrichten von Regelsätzen und Zugriffsrechten für Gruppen, spezielle B2B-Szenarien, sind nicht ganz einfach.

Darüber hinaus stellt oft die Skalierbarkeit von Keycloak ein Problem dar. Während es kleine bis mittelgroße Implementierungen effektiv handhaben kann, können größere Implementierungen (z.B. ein paar hundert Realms) oder Verzeichnisse zusätzliche Konfiguration und Optimierung erfordern, zu einer ressourcenhungrigen Umgebung mit langsamer Geschwindigkeit führen oder überhaupt nicht funktionieren. Darüber hinaus gibt es in einer B2B-Umgebung keine Mandantenfähigkeit und sie kann nur irgendwie durch die Verwendung von Workarounds mit unabhängigen Realms (Verzeichnissen/Abzweigungen) erreicht werden.

Bei der Beurteilung eines Keycloak Einsatzes ist es wichtig, die eigenen Bedürfnisse zu kennen und diese mit dem Funktionsumfang von Keycloak zu vergleichen. Auch wenn Keycloak als Open-Source-Bibliothek Flexibilität und Anpassungsmöglichkeiten bietet, sollten Benutzer ihre Anforderungen sorgfältig prüfen und alternative Lösungen in Betracht ziehen, wenn sie Cloud-Dienste, verwaltete Dienste, umfassenden Support, zukunftssichere Skalierbarkeit oder eine breitere Palette von Funktionen benötigen.

Next Level Keycloak oder Hosted Keycloak Services

Im Laufe der Zeit, als immer mehr Kunden ein integriertes Managed-Operations-Modell nachfragten, beschlossen einige Anbieter, Keycloak-Anwender mit einem End-to-End-Keycloak-as-a-Service-Modell einschließlich Betrieb und Support zu unterstützen. Infolgedessen mutierte die ehemals quelloffene und kostenlose Lösung zu einem kostenpflichtigen Angebot, das jedoch nur einen Teil der Nachteile behebt. Auch wenn die Nachteile des fehlenden Betriebs und Supports beseitigt wurden, bleiben viele andere Nachteile bestehen, wie z.B. die eingeschränkte Skalierbarkeit, ein kleiner Funktionsumfang oder nur grundlegende Anpassungsmöglichkeiten. Wenn Sie sich für einen gehosteten Keycloak-Dienst entscheiden, achten Sie bitte auch auf die DSGVO-Konformität des Dienstes.

Keycloak: Die richtige Wahl für Sie?

Keycloak ist die perfekte Wahl für Organisationen, die ihr eigenes Identitäts- und Zugriffsmanagementsystem (IAM) auf der Grundlage eines Open-Source-Software-Stacks aufbauen, einführen und pflegen wollen. Die Hauptvoraussetzung ist, dass Ihre Organisation über genügend fähige und verfügbare Technik- und Sicherheitsexperten verfügt, um das IAM-Setup des Unternehmens zu implementieren, zu verwalten und zu unterstützen. In diesem Zusammenhang sollten Sie bereit sein, Ihre IAM-Lösung selbst zu hosten oder einen Anbieter dafür zu suchen. Weitere wichtige Faktoren, die Sie berücksichtigen sollten, sind

• ob Keycloak alle Funktionen bietet, die Ihr Unternehmen benötigt, und zwar in der spezifischen Art und Weise, wie Ihr Unternehmen sie benötigt,
• wie stark Sie in Zukunft wachsen wollen, da Keycloak nicht einfach zu skalieren ist,
• und wie sehr Sie Ihre Lösung anpassen wollen.

Zusammenfassend lässt sich sagen, dass Keycloak eine großartige Lösung für eine begrenzte Anzahl von Anwendungsfällen ist. Wenn Sie jedoch kein erfahrenes Technik- und Sicherheitsteam mit freien Kapazitäten zur Verfügung haben und Ihre zukünftigen Bedürfnisse nicht genau kennen, kann es vorteilhaft sein, mit einem professionellen IAM-Anbieter wie z.B. Engity zusammenzuarbeiten.

Die bequeme Keycloak-Alternative: Erwägen Sie eine voll integrierte Cloud-basierte IAM-Lösung

Die beste Alternative zur Open-Source-Lösung Keycloak ist eine vollständig integrierte und cloudbasierte Identitäts- und Zugriffsmanagementlösung, die einen End-to-End-Service bietet. Eine solche Authentifizierungslösung sollte mindestens die folgenden Funktionen umfassen:

• Voller Funktionsumfang aller gängigen Authentifizierungsmethoden, z.B. Passwort, passwortlos über Magic Link, SMS oder Biometrie, Single Sign-on sowie Social Login-Funktionalität, Multi-Faktor-Authentifizierung, etc.,
• Standardmäßig eingebaute Sicherheitsfunktionen, z. B. Prüfung sicherer Passwörter, Erkennung gehackter Passwörter,
• Managed Services mit regelmäßigen Updates, Bugfixes und Einspielen von Sicherheitspatches,
• Zielgruppenspezifisches Betriebsmodell, z.B. für Corporates oder für den Mittelstand, Start-Ups und Große Unternehmen,
• Zukunftssicher durch unbegrenzte Skalierbarkeit,
• Verschiedene Support-Levels,
• Vielfältige Branding- und Anpassungsmöglichkeiten über Login-Screen, Domains, Zugriffsregeln sowie Gruppierungsfunktionalitäten,
• Verfügbarkeit von maßgeschneiderten Lösungen für spezielle Kundenanwendungsfälle, z. B. Benutzerregistrierung ohne Vorhandensein von E-Mails für alle Benutzer,
• DSGVO-Konformität und garantiertes Hosting auf europäischen Servern.

Engity ist ein solcher voll integrierter, cloudbasierter IAM-Anbieter mit besonderem Fokus auf den europäischen Mittelstand, Start-Ups wie auch Großunternehmen. Darüber hinaus hat Engity die sogenannte Environment-Technologie entwickelt, um den flexiblen Roll-Out verschiedener Anwendungsfälle innerhalb einer Datenbank oder eines Verzeichnisses zu unterstützen. Für weitere Informationen über das Produktangebot von Engity besuchen Sie bitte unsere Homepage.

Was sind die Unterschiede zwischen Keycloak und voll integrierten cloudbasierten IAM-Lösungen?

Keycloak und voll integrierte IAM-Anbieter, wie z.B. Engity, haben völlig unterschiedliche Ansätze und Philosophien, wie sie die Online-Authentifizierung, ihren Betrieb, die Softwareunterstützung, die Skalierbarkeit sowie die Weiterentwicklung neuer Funktionen (z.B. Environment-Technologien, Login ohne persönliche E-Mail) und die einfache Nutzbarkeit angehen.

Keycloak ist ein Open-Source-Projekt, das auf eine Community angewiesen ist, um den Code zu aktualisieren, Fehler zu beheben und weiterzuentwickeln. Es bietet dem Nutzer einen begrenzten, nicht verwalteten Funktionsumfang mit nur bescheidener Skalierbarkeit und ohne Garantien, Betrieb, Wartung und Support sowie Dienstleistungen zur Einhaltung gesetzlicher Vorschriften. Um Keycloak erfolgreich zu betreiben, braucht ein Benutzer tiefes Wissen über Authentifizierungs- und Sicherheitsdienste oder muss ein erfahrenes und teures Beratungsunternehmen beauftragen, die IAM-Umgebung für ihn einzurichten und zu betreiben.

Im Gegensatz dazu unterstützen professionelle IAM-Anbieter ihre Kunden nicht nur mit einem funktionsreichen und innovativen Funktionsumfang, sondern bieten auch ein müheloses End-to-End-Cloud-basiertes Betriebsmodell, einschließlich Hosting, Wartung, Fehlerbehebung und Support. Darüber hinaus sollten Nutzer die langfristige (DSGVO-)Konformität der von ihnen gewählten Lösung berücksichtigen.

Aus unserer Sicht sind dies klare Unterscheidungsargumente, die Engity als voll integrierten IAM-Anbieter zur besseren Alternative machen, als Keycloak selbst zu nutzen.

Schlussfolgerung

Der obige Blog-Artikel hat gezeigt, dass voll integrierte IAM-Lösungen oft die bessere Alternative zur Verwendung von selbst gehosteter Open-Source Keyclock-Software ohne Support, begrenzte Skalierbarkeit und Branding sind. Wenn Sie mehr darüber erfahren möchten, wie Sie Engity als Keycloak-Alternative nutzen können oder wie ein Migrationspfad aussehen kann, können Sie uns gerne kontaktieren.