Intension Logo
Jetzt kontaktieren Kontakt

Der Ansatz von Keycloak für modernes Identitymanagement

In der komplexen digitalen Landschaft von heute ist die sichere Verwaltung von Benutzeridentitäten über mehrere Anwendungen hinweg nach wie vor eine der größten Herausforderungen für die Unternehmens-IT. Wir bei intension suchen regelmäßig nach Lösungen, die Unternehmen dabei helfen, diese Herausforderungen zu meistern. 

Lesezeit: 6 Minuten

 

Sicherheit, Datenschutz und Compliance in Einklang bringen

Kürzlich hatten wir die Gelegenheit, mit Dr. Waldemar Koru, CTO von Anaro Software und Referent beim Keycloak Dev Day 2025, darüber zu sprechen, wie diese Open-Source-Lösung für Identity- und Accessmanagement den aktuellen Sicherheitsanforderungen gerecht wird. Unser Gespräch lieferte wertvolle Einblicke in die einzigartigen Funktionen von Keycloak, die Implementierungsstrategien und seine Position innerhalb des umfassenderen Identitymanagement-Ökosystems. Dieser Blogbeitrag befasst sich mit diesen Themen und bietet praktische Anleitungen für Unternehmen, die Keycloak für ihre Identitymanagement-Anforderungen in Betracht ziehen.

 

Transient Users: Ein datenschutzorientierter Ansatz für die Authentifizierung

Unternehmen, die unter strengen Datenschutzbestimmungen wie der DSGVO operieren, stehen vor einer großen Herausforderung: Sie müssen einen nahtlosen Zugang zu ihren Diensten gewährleisten und gleichzeitig die Datenspeicherung minimieren. Das Feature „Transient Users” von Keycloak bietet eine elegante Lösung für dieses Dilemma.

„Eine der bahnbrechenden Funktionen, insbesondere für Unternehmen, die sich mit Datenschutz befassen, ist das Feature „Transient Users”, erklärt Dr. Koru. „Es ermöglicht es im Wesentlichen, Benutzern Zugang zu Diensten zu gewähren, ohne ihre Daten dauerhaft im Keycloak-System zu speichern.”

Dieses Feature erstellt temporäre Benutzersitzungen, die nur für die Dauer der aktiven Nutzung bestehen. Nach Beendigung der Sitzung löscht das System alle identifizierenden Daten, sodass keine dauerhaften Spuren zurückbleiben. Der temporäre Charakter dieser Sitzungen hilft Unternehmen dabei

  • die Anforderungen der DSGVO hinsichtlich Datenminimierung und Speicherbegrenzung zu erfüllen
  • interne Richtlinien für den Datenaustausch zwischen Abteilungen oder über Landesgrenzen hinweg einzuhalten
  • das Risiko zu verringern, das mit der Pflege großer Datenbanken mit Benutzeranmeldedaten verbunden ist
  • temporäre Zugriffsszenarien wie B2B-Partnerschaften oder Auftragnehmerbeziehungen zu unterstützen

Aus technischer Sicht gewährleistet die Implementierung Sicherheit, ohne die Funktionalität zu beeinträchtigen. Die Authentifizierung verläuft normal, Tokens werden für autorisierte Ressourcen ausgegeben, aber die zugrunde liegenden Benutzerprofilinformationen werden nicht in der Keycloak-Datenbank gespeichert.

 

Herausforderungen bei der Implementierung: Vermeidung häufiger Fallstricke

Die umfangreichen Features von Keycloak bieten enorme Flexibilität, können aber auch zu Komplexität für Teams führen, die es zum ersten Mal implementieren. Dr. Koru identifiziert mehrere häufige Fehler, die Unternehmen bei der Einführung von Keycloak machen:

Die Grundlagen verstehen: OpenID Connect

Der kritischste Fehler besteht darin, Keycloak als „Black-Box”-Lösung zu betrachten, ohne die zugrunde liegenden Protokolle zu verstehen. „Eine der größten Fallstricke, die ich beobachtet habe, ist, dass Unternehmen sich kopfüber in Keycloak stürzen, ohne die grundlegenden Sicherheitsprinzipien, auf denen es basiert, wirklich zu verstehen, insbesondere das Konzept von OpenID Connect”, bemerkt Dr. Koru.

Im Gegensatz zu vielen Softwarebibliotheken, bei denen man auch ohne Verständnis der internen Mechanismen Ergebnisse erzielen kann, erfordern Sicherheitssysteme tiefergehende Kenntnisse. Unternehmen sollten sicherstellen, dass ihre Teams Folgendes verstehen:

  • Den grundlegenden Ablauf der OpenID Connect-Authentifizierung
  • Wie Token validiert und gesichert werden
  • Den Zweck und die angemessene Verwendung verschiedener Token-Typen
  • Die richtige Konfiguration der Sicherheitseinstellungen auf der Grundlage von Bedrohungsmodellen

Feature Overload: Klein anfangen und wachsen

Ein weiterer häufiger Fehler ist der Versuch, alle Features von Keycloak gleichzeitig zu implementieren. Dieser Ansatz führt häufig zu Konfigurationsfehlern, Sicherheitslücken und überforderten Implementierungsteams.

Stattdessen empfiehlt Dr. Koru einen schrittweisen Ansatz:

  1. Phase 1: Kernauthentifizierung – Implementierung grundlegender Anmelde-Features für eine begrenzte Anzahl von Anwendungen
  2. Phase 2: Erhöhte Sicherheit – Hinzufügen einer Multi-Faktor-Authentifizierung und Verfeinerung der Zugriffsrichtlinien
  3. Phase 3: Benutzerverwaltung – Implementierung von Self-Service-Features und Integration in bestehende Benutzerverzeichnisse
  4. Phase 4: Erweiterte Funktionen – Hinzufügen spezieller Features wie temporäre Benutzer oder Organisationen

Diese schrittweise Methode ermöglicht es Teams, nach und nach Fachwissen zu erwerben, jede Komponente gründlich zu validieren und die Verwirrung zu vermeiden, die entsteht, wenn man versucht, alles auf einmal zu beherrschen.

 

Die Position von Keycloak im Spektrum des Identitymanagements

Das Verständnis, wo Keycloak innerhalb der breiteren Landschaft des Identitymanagements angesiedelt ist, hilft Unternehmen, fundierte Entscheidungen über ihre Authentifizierungsinfrastruktur zu treffen.

Das Spektrum des Identitymanagements

Dr. Koru beschreibt Identity- und Accessmanagement-Lösungen als Teil eines Spektrums:

An einem Ende stehen SaaS-Lösungen (wie Okta oder Auth0), die Komfort bei begrenzten Anpassungsmöglichkeiten bieten. Am anderen Ende stehen Low-Level-Protokollbibliotheken, die maximale Kontrolle bieten, aber einen erheblichen Entwicklungsaufwand erfordern.

Keycloak nimmt eine Mittelstellung ein und bietet einen vollständigen, einsatzbereiten Identityserver mit umfangreichen Anpassungsoptionen.

Der Vorteil des Selfhostings

Eines der Hauptunterscheidungsmerkmale von Keycloak ist die Möglichkeit des Selfhostings. „Ein wichtiges Unterscheidungsmerkmal für viele Unternehmen ist die Möglichkeit des Selfhostings von Keycloak, d. h. man kann es auf seiner eigenen Infrastruktur ausführen“, erklärt Dr. Koru.

Diese Funktion bietet:

  • Vollständige Kontrolle über den Speicherort der Daten – entscheidend für Unternehmen mit strengen Anforderungen an die Datenhoheit.
  • Flexibilität bei der Anpassung – die Möglichkeit, jeden Aspekt der Authentifizierung anzupassen.
  • Integration in interne Systeme – direkte Verbindung zu Unternehmensverzeichnissen, ohne diese nach außen offenzulegen.
  • Vorhersehbare Kosten – keine nutzungsabhängigen Preismodelle, die mit wachsender Nutzerzahl steigen können.

Für stark regulierte Branchen wie das Gesundheitswesen, den Finanzsektor und Behörden überwiegen diese Vorteile oft den zusätzlichen Betriebsaufwand für die Wartung der Infrastruktur.

 

Das Organizations Feature: Multi-Tenancy leicht gemacht

Eine wichtige Neuerung in Keycloak ist das Organizations Feature, das eine häufige Herausforderung für Softwareanbieter mit mehreren Kunden löst.

„Wenn du früher eine SaaS-Anwendung hattest, die mehrere Kunden bediente, die wir manchmal als Tenants bezeichnen, konnte es eine Herausforderung sein, deren Zugriff innerhalb von Keycloak separat zu verwalten“, erklärt Dr. Koru. „Oft griff man auf zahlreiche isolierte Bereiche zurück, die als Realms bezeichnet werden, was manchmal die Leistung beeinträchtigte, oder man verwendete einen einzigen Realm, was es schwierig machte, die Daten der einzelnen Kunden wirklich getrennt zu halten.“

Das Organizations Feature schafft eine hierarchische Struktur innerhalb eines einzigen Realms und ermöglicht damit:

  • Eine klare Trennung zwischen Kundendaten
  • Delegierte Verwaltungsfunktionen
  • Isolierte Benutzerverwaltung
  • Vereinfachte Wartung im Vergleich zu mehreren Realms
  • Verbesserte Leistung und Ressourcennutzung

Diese Funktion ist besonders wertvoll für Softwareanbieter, die strenge Grenzen zwischen verschiedenen Kundenumgebungen einhalten und gleichzeitig den Wartungsaufwand überschaubar halten müssen.

 

Einblicke vom Keycloak Dev Day 2025

Der Keycloak DevDay, der am 6. März 2025 in Darmstadt stattfand, gab einen Einblick in die zukünftige Ausrichtung der Plattform und die Prioritäten ihrer Community.

Dr. Koru, der auf der Veranstaltung einen Vortrag hielt, war beeindruckt von „dem hohen Niveau der Fachkenntnisse und dem Fokus der Präsentationen“. Die Veranstaltung brachte Entwickler, Maintainer und Betreiber zusammen, die täglich mit Keycloak arbeiten, und behandelte unter anderem folgende Themen:

  • Demonstrationen neuer Funktionen und Diskussionen zur Roadmap
  • Best Practices für Sicherheit und Hardening-Techniken
  • Integrationsstrategien für komplexe Umgebungen
  • Ansätze zur Anpassung der Benutzeroberfläche
  • Verbesserte Funktionen zur Gruppenverwaltung

Im Rahmen der Veranstaltung fand auch ein Hackathon vor der Konferenz statt, bei dem die Teilnehmer direkt zur Entwicklung von Keycloak beitrugen und so den gemeinschaftlichen Charakter des Projekts unterstrichen.

 

Erste Schritte mit Keycloak: Ressourcen zum Lernen

Für Unternehmen, die sich näher mit Keycloak befassen möchten, bieten mehrere Ressourcen wertvolle Ansatzpunkte:

  1. Offizielle Dokumentation – Die offizielle Keycloak-Dokumentation ist umfassend, wenn auch manchmal komplex, und deckt alle Aspekte der Plattform ab.
  2. Community-Foren – Aktive Diskussionsforen, in denen Anwender Erfahrungen und Lösungen austauschen.
  3. Schulungskurse – Strukturierte Lernangebote von Unternehmen wie Anaro Software.
  4. Mailinglisten – Updates zu neuen Funktionen und Sicherheitshinweisen.

Ein empfohlener Ansatz ist es, theoretisches Lernen mit praktischen Experimenten zu kombinieren und mit einem kleinen Proof-of-Concept zu beginnen, bevor man zur Produktionsimplementierung übergeht.

 

Fazit: Die richtige Balance finden

Die Position von Keycloak im Bereich Identitymanagement bietet Unternehmen einen überzeugenden Mittelweg zwischen schlüsselfertigen SaaS-Lösungen und maßgeschneiderten Authentifizierungssystemen. Durch die Kombination aus sofort einsatzbereiten Features und umfangreichen Anpassungsmöglichkeiten eignet es sich besonders für Unternehmen mit komplexen Sicherheitsanforderungen oder strengen Compliance-Vorgaben.

Der Schlüssel zu einer erfolgreichen Implementierung liegt darin, die zugrunde liegenden Sicherheitsprinzipien zu verstehen, einen schrittweisen Ansatz für die Bereitstellung zu verfolgen und das umfangreiche Wissen der Community zu nutzen. Durch die Vermeidung häufiger Fallstricke und die Konzentration auf Kernfunktionen vor der Erweiterung um komplexe Features können Unternehmen eine robuste Identitätsgrundlage schaffen, die Sicherheit, Benutzerfreundlichkeit und Compliance in Einklang bringt.

Wenn du die Identitymanagement-Anforderungen deines Unternehmens betrachtest, lautet die entscheidende Frage: Welches Gleichgewicht zwischen Kontrolle, Anpassung und einfacher Bedienbarkeit entspricht deinen Sicherheits- und Compliance-Anforderungen am besten? Für viele Unternehmen, insbesondere solche mit strengen Datenverwaltungsrichtlinien oder speziellen Authentifizierungsabläufen, bietet Keycloak eine ideale Lösung.

 

Wir bei intension unterstützen Unternehmen bei der Implementierung sicherer, konformer IAM-Lösungen. Kontaktiere unser Team, um zu besprechen, wie Keycloak in deine Sicherheitsarchitektur integriert werden kann!

Weitere interessante Beiträge

Keycloak und das Shared Signals Framework

Keycloak und das Shared Signals Framework

11. Juli 2025

In diesem Exklusivinterview spricht Rahul mit Thomas Darimont, Digital Identity Consultant und Keycloak-Community-Experte, über die sich wandelnde Sicherheitslandschaft im Bereich Identity Management und das vielversprechende Shared Signals Framework (SSF), das die Art und Weise, wie wir mit Sicherheitsvorfällen in föderierten Systemen umgehen, revolutionieren könnte.

mehr lesen
Keycloak und die European Open Science Cloud

Keycloak und die European Open Science Cloud

12. Juni 2025

In dieser zweiten Folge unserer Reihe „Pioniere der digitalen Identität” spricht Rahul mit Konstantinos Georgioullakis von GRNet über die Implementierung von Keycloak für die European Open Science Cloud. Erfahre, wie dieser führende griechische Anbieter digitaler Infrastruktur den Zugang zu wertvollen Forschungsressourcen sichert und gleichzeitig die Zugänglichkeit gewährleistet.

mehr lesen
Die Zukunft der digitalen Identitäten

Die Zukunft der digitalen Identitäten

26. Mai 2025

In der heutigen, sich schnell entwickelnden digitalen Landschaft haben sich robuste Identity and Access Management-Systeme von optionalen Funktionen zu einer kritischen Infrastruktur entwickelt. Wir bei intension wissen, dass es für die Sicherheitslage und die Strategien zur digitalen Transformation unserer Kunden entscheidend ist, diesen technologischen Fortschritten immer einen Schritt voraus zu sein.

mehr lesen
Alle Blog-Beiträge

Hast du Fragen?
Melde dich einfach bei mir.

Alina Schürl
Sales Manager
+49 174 8 92 5 600
Call
LinkedIn
E-Mail
Robert-Bauer-Team-Vorstellung

    Schreib uns

    Fülle einfach und unkompliziert das Formular aus, wir melden uns bei dir.

    Hey, wie kann ich dir helfen?

    Technische Umsetzung von Internetagentur aceArt.