Access Token
Kurzlebiges, signiertes Token (meist JWT), das einer Anwendung den Zugriff auf geschützte Ressourcen erlaubt. Enthält typischerweise Informationen über Gültigkeitsdauer, Aussteller und Berechtigungen/Scopes. Sollte serverseitig validiert und mit kurzen TTLs betrieben werden.
AccountKonsole (Account Console)
Endnutzer-Portal von Keycloak zur Selbstverwaltung von Profildaten, Credentials, Sessions, Einwilligungen und verknüpften Geräten.
Adapter
Bibliotheken oder Middleware-Komponenten, die Anwendungen bei der Integration von OIDC/SAML mit Keycloak unterstützen (z. B. JavaAdapter, Reverse-Proxy-Plugins).
AdminKonsole
Weboberfläche für AdministratorInnen zur Verwaltung von Realms, Clients, Benutzern, Gruppen, Rollen, Flows, Ereignissen und Schlüsseln.
Admin-CLI (kcadm.sh)
Kommandozeilen-Werkzeug auf Basis der AdminAPI zur Skript/CIgesteuerten Verwaltung (z. B. Import/Export, Massenänderungen, Konfigurationsautomatisierung).
Admin-API (Keycloak Admin REST API)
HTTPSchnittstelle zur automatisierten Verwaltung von Realms, Clients, Benutzern, Rollen, Gruppen und Flows. Grundlage für „Configuration as Code“ und CI/CDAutomatisierung.
Authentication Flow
Konfigurierbare Kette von Authentifizierungsschritten (z. B. Benutzername/Passwort, OTP, Bedingungen, WebAuthn). Flows können verzweigen, Regeln anwenden und per Schritt „Executions“ erweitert werden.
Authorization Code Flow (mit PKCE)
Empfohlener OIDCFlow für Web/SPAs/mobile Apps. Der Client holt zunächst einen Code und tauscht ihn serverseitig gegen Tokens; PKCE schützt vor CodeInterception, insbesondere bei Public Clients.
Authorization Services (Keycloak)
In Keycloak integrierte Funktionalität für ressourcen- und policybasierte Autorisierung (UMA 2.0). Ermöglicht Definition von Ressourcen, Scopes und Policies; wird von Anwendungen über Enforcement-Points ausgewertet.
B2B/B2CSzenario
B2B: Externe Partner authentifizieren sich typischerweise via Föderation (SAML/OIDC) über ihren IdP.
B2C/CIAM: Endkunden verwalten eigene Konten, nutzen SocialLogins und Self-Service.
Client (Keycloak)
Registrierte Anwendung oder API im Realm. Enthält Protokolleinstellungen (OIDC/SAML), RedirectURIs, Mappings und optional Geheimnisse (Confidential Clients).
ClientID
Eindeutiger Bezeichner eines Clients innerhalb eines Realms. Wird von Anwendungen in OIDC-/SAMLKonfigurationen verwendet, um sich gegenüber Keycloak zu identifizieren.
Client Scopes (Default/Optional)
Wiederverwendbare Bündel von Mappings und Einstellungen, die Clients zugeordnet werden. Default Client Scopes werden automatisch zugewiesen; Optional Client Scopes können pro Authentisierung angefordert werden (z. B. über scope in OIDC).
Client-Secret
Geheimnis für confidential Clients (typisch ServerApps/Backends). Dient im TokenAustausch als Nachweis der Client-Authentizität. Public Clients (SPAs, Mobile) besitzen kein Secret und verwenden PKCE.
Claims / Attribute
Behauptungen/Eigenschaften über eine Identität, die in Tokens transportiert werden (z. B. email, preferred_username, Rollenlisten). Werden in Keycloak über Protocol Mapper zusammengestellt.
Composite Roles (zusammengesetzte Rollen)
Rollen, die andere Rollen bündeln (Realm und/oder Client-Rollen). Vereinfachen die Vergabe wiederkehrender Berechtigungspakete.
Confidential vs. Public Client
Confidential Clients können Geheimnisse sicher verwahren (ServerApps) und tauschen Codes serverseitig; Public Clients (SPAs/Mobile) besitzen kein sicheres Client-Secret und nutzen PKCE.
Device Authorization Grant
OAuth-Erweiterung für gerätegebundene Anmeldungen ohne komfortable Eingabemöglichkeiten (z. B. TV, IoT). Nutzer autorisiert über ein zweites Gerät mit Browser.
EasyCloak
EasyCloak ist eine von intension entwickelte, auf Keycloak aufsetzende Administrations und SelfService-Oberfläche, die die feingranularen Admin-Berechtigungen von Keycloak nutzt, keine eigene Datenhaltung benötigt und ausschließlich über die (Admin) APIs mit Keycloak kommuniziert.
EasyCloak adressiert typische Praxisanforderungen jenseits der Standard-Admin-Konsole: eine intuitive Benutzer und Gruppenverwaltung (inklusive Einladungen), delegierte Administration „out of the box“, optimierte Login/Registrierungs und Self-Service-Frontends für CIAM/B2B, sowie vorkonfigurierte Sicherheits-Workflows mit MFA und Passkeys; dabei bleibt die Lösung vollständig Keycloakkompatibel.
Export/Import & Configuration as Code
Realm-Konfiguration und Artefakte können exportiert und in andere Umgebungen importiert werden. In Kombination mit AdminAPI/CLI ermöglicht dies deklarative Bereitstellung (GitOps/CI/CD).
Events & Admin Events
Protokollierung von Login/Logout/Fehl-Ereignissen (Events) sowie Konfigurationsänderungen (Admin Events). Können an externe Systeme weitergeleitet und für Audit/Monitoring genutzt werden.
FIDO2 / WebAuthn
Standard für phishingsichere, passwortlose oder MFAAnmeldungen mit Security-Keys oder Plattform-Authentikatoren. In Keycloak als Credential-Typ integrierbar.
Gruppen (Groups)
Hierarchisch organisierbare Container für Benutzer. Gruppen können Rollen enthalten; Untergruppen erben Rollen von ihren Elterngruppen. Nützlich für Organisations oder Mandantenstrukturen.
Identity Brokering
Keycloak fungiert als vermittelnder Provider (Broker) und bindet externe IdPs (OIDC/SAML) an. Benutzer authentifizieren sich extern; Attribute/Rollen werden gemappt und im lokalen Realm nutzbar.
Identity Provider (IdP)
Einbindung externer IdPs (OIDC/SAML) für föderierte Anmeldung. Keycloak agiert als Broker, übernimmt die Session und transformiert Attribute/Rollen via Mapper.
IGA (Identity Governance & Administration)
Disziplin für Identitäts-Lifecycle, Rezertifizierung, SoD-Prüfungen, Rollen-Mining u. Ä. Nicht Kernaufgabe von Keycloak; üblicherweise Integration mit spezialisierten IGA-Systemen.
Implict Flow (implicit/hybrid)
Historische OIDC-Variante für SPAs, bei der Tokens über den Browser-Fragmentteil zugestellt werden. Aus Sicherheitsgründen heute zugunsten Auth-Code + PKCE zu vermeiden.
JSON Web Token (JWT / JWS / JWE)
Strukturierte, signierte (JWS) und optional verschlüsselte (JWE) Tokenformate. In OIDC typischerweise als ID Token (Identitätsnachweis) und Access-Token (Zugriffsberechtigung) verwendet.
Keycloak Operator
Kubernetes-Operator zur deklarativen Bereitstellung und Verwaltung von Keycloak-Instanzen/Realms in Cluster-Umgebungen.
Mapper (Protocol Mapper)
Bausteine, die Benutzer und Kontextattribute in Token-Claims oder SAML-Attribute transformieren (z. B. Gruppen → Rollen-Claims, benutzerdefinierte Attribute).
Master-Realm
Vordefinierter Verwaltungs-Realm einer Keycloak-Installation. Enthält die globale Administration (z. B. AdminBenutzer und Konsole) sowie Berechtigungen für das Anlegen/Verwalten weiterer Realms. Produktive Fach-Anwendungen sollten nicht im Master-Realm betrieben werden.
MFA (Multi-Factor Authentication)
Zwei oder mehrstufige Authentifizierung (Wissen/Besitz/Inhärenz). In Keycloak via OTP, Web-Authn, EMail-Code, Conditional-Flows u. a. umsetzbar.
Offline Session / Offline Token
Token/Sitzungsmodell für langandauernde Zugriffe ohne aktive Benutzerinteraktion (z. B. Hintergrundprozesse). Offline Tokens unterliegen separaten Lifetimes und Widerrufsmechanismen.
OIDC (OpenID Connect)
Identitätsschicht über OAuth 2.x. Liefert standardisierte Endpunkte (Authorization, Token, UserInfo), ID Token und Discovery-Daten (.well-known/openid-configuration).
Protocol Mapper
Bausteine zur Abbildung von Attributen/Claims in Tokens (OIDC) bzw. SAML-Assertions. Beispiele: Gruppen → Rollen-Claim, Benutzerattribute → benutzerdefinierte Claims.
Realm
Mandanten-Container in Keycloak mit eigener Benutzerbasis, Konfiguration, Clients, Rollen und Flows. Erlaubt strikte Trennung zwischen Umgebungen/Kunden/Marken.
Realm-Rollen vs. Client-Rollen
Realm-Rollen gelten global innerhalb eines Realms (z. B. „admin“, „user“). Client-Rollen sind einem spezifischen Client zugeordnet (z. B. reporting:read). Beide Rollenarten können Benutzern, Gruppen und Service Accounts zugewiesen werden.
Refresh Token
Länger gültiges Token zum Erneuern ablaufender Access Tokens ohne erneute Benutzerinteraktion. In Keycloak mit Rotation, Reuse-Detection und kurzen Lifetimes härtbar.
Relying Party (RP) / Service Provider (SP)
Anwendung, die einem externen IdP vertraut und dessen Assertions/Tokens akzeptiert. Terminologie: RP (OIDC), SP (SAML).
Required Actions
Benutzerbezogene, obligatorische Schritte bei oder nach der Anmeldung, z. B. „Passwort setzen“, „EMail verifizieren“, „TOTP einrichten“ oder benutzerdefinierte Aktionen.
Scope
Berechtigungsumfang im OAuth/OIDCKontext. Steuert, welche Claims oder Ressourcen freigegeben werden; in Keycloak auch als „Client Scopes“ zur wiederverwendbaren Claim/MapperBündelung.
SAML 2.0
XMLbasierter Standard für föderierte Authentifizierung. Kernartefakte sind Assertions; Rollen/Attribute werden als SAMLAttribute transportiert. Keycloak kann als IdP oder SP agieren.
Schlüsselverwaltung & Key Rotation (Realm Keys)
Verwaltung kryptografischer Schlüssel pro Realm (Signatur/Verschlüsselung). Rotationsstrategien erlauben das planvolle Erneuern von Schlüsseln und paralleles Validieren älterer Tokens.
Service Account (Client-Benutzer)
Automatisch angelegter technischer Benutzer eines confidential Clients (bei aktivierter „Service Accounts Enabled“Option). Ermöglicht serverseitige, benutzerunabhängige Tokenbeschaffung (Client-Credentials-Flow) und Rollen/Gruppenzuweisungen für Integrationen.
Session / Single Logout (SLO)
Zentrale Sitzung pro Benutzer und Realm. SLO beendet Sitzungen über angebundene Anwendungen; unterstützt Front/BackChannelMechanismen.
SPI (Service Provider Interfaces)
Erweiterungspunkte von Keycloak für benutzerdefinierte Komponenten (Custom Authenticators, User-Storage-Provider, Events, REST-Endpunkte, Admin-UI-Extensions).
Themes
Anpassung von Login/Account-Oberflächen und EMail-Templates an Corporate Design. Umfasst Layout, Texte, Lokalisierung und Assets.
Token Exchange
OAuth-Erweiterung zum sicheren Umtausch eines Tokens gegen ein anderes (z. B. OIDC → SAML oder audiencespezifische Tokens). In Keycloak konfigurierbar und feingranular beschränkbar.
UMA 2.0 (UserManaged Access)
Standard zur delegierten, ressourcenbasierten Autorisierung. Trennung zwischen Autorisierungsserver (Keycloak), Ressourcenserver und Client; Keycloak stellt RPT (Requesting Party Token) aus.
User Federation (LDAP/AD)
Anbindung von Verzeichnissen (z. B. Active Directory, OpenLDAP) zur Synchronisation oder Justin-Time-Provisionierung von Benutzern und Gruppen. Passwörter können – je nach Konfiguration – im externen Verzeichnis verbleiben.
User-Info-Endpoint
OIDC-Endpunkt, über den Anwendungen zusätzliche, vom Access Token autorisierte Profildaten abfragen können.
User Profile (Attributschema)
Konfigurierbares Profil/Attributmodell pro Realm (Felder, Validierungsregeln, Sichtbarkeit). Unterstützt Self-Service-Felder und Richtlinien für Pflichtattribute.
Web/APIGateway & Reverse Proxy
Vorgelagerte Infrastrukturkomponenten (z. B. Ingress, NGINX, Envoy), die TLS beenden, Routen terminieren und OIDC/SAMLFlows an Anwendungen weiterreichen; häufig mit Keycloakbasiertem Auth vorgeschaltet.
Web-Authn
Siehe FIDO2; W3CStandard für starke, phishingsichere Authentifizierung per öffentlicher Schlüssel-Kryptografie im Browser.
