Mit den Versionen 26.4, 26.5 und 26.6 hat sich Keycloak innerhalb kurzer Zeit spürbar weiterentwickelt. Der Fokus lag weniger auf einzelnen „Killer‑Features“, sondern auf einer konsequenten Weiterentwicklung in Richtung höherer Sicherheit, besserer Automatisierbarkeit und stabilerem Betrieb in Cloud‑ und Container‑Umgebungen.
Dieser Artikel ordnet die wichtigsten Neuerungen ein und beleuchtet deren technische und fachliche Relevanz.
Überblick
Mit den Versionen Keycloak 26.4 bis 26.6 hat sich Keycloak deutlich in Richtung Enterprise‑Reife, Sicherheit und Betriebsskalierbarkeit weiterentwickelt. Der Fokus lag weniger auf neuen Oberflächenfunktionen, sondern auf stabilen, strategisch relevanten Erweiterungen für produktive IAM‑Landschaften.
Zentrale Neuerungen sind die produktive Unterstützung von Passkeys, verbesserte OAuth‑ und OpenID‑Connect‑Sicherheitsmechanismen (u. a. FAPI 2, DPoP, JWT Authorization Grant) sowie Zero‑Downtime‑Updates, die insbesondere in Kubernetes‑ und Cloud‑Umgebungen den sicheren Betrieb vereinfachen. Ergänzt wird dies durch neue Automatisierungs‑ und Governance‑Funktionen, etwa über Workflows und erweiterte Client Policies.
Für Unternehmen bedeutet dies:
- höhere Sicherheit ohne zusätzliche proprietäre Komponenten
- geringeres Betriebsrisiko bei Updates und Patches
- bessere Skalierbarkeit für wachsende Plattformen und Multi‑Site‑Setups
Insgesamt positionieren die Releases 26.4–26.6 Keycloak klar als zukunftsfähige IAM‑Plattform für geschäftskritische Anwendungen, insbesondere in regulierten oder hochverfügbaren Umgebungen.
Keycloak 26.4: Sicherheit und Plattform‑Reife
Passkeys und WebAuthn Conditional UI
Mit Keycloak 26.4 wurde die Unterstützung für Passkeys produktiv ausgebaut. Neben klassischem WebAuthn ermöglicht die neue Conditional UI, dass Passkeys direkt über die native Browser‑Autovervollständigung angeboten werden, ohne separate UI‑Flows im Login-Prozess.
Technisch basiert dies weiterhin auf WebAuthn, wird aber deutlich benutzerfreundlicher integriert.
Mehrwert & Business‑Relevanz:
Passkeys reduzieren Passwort‑bedingte Sicherheitsrisiken und senken langfristig Support‑Aufwände (Passwort‑Resets, Phishing‑Incidents). Für Organisationen mit vielen externen Nutzern oder CIAM‑Szenarien ist dies ein konkreter Schritt Richtung sicherer, aber nutzerfreundlicher Authentifizierung.
FAPI 2 und DPoP (Demonstrating Proof‑of‑Possession)
Keycloak 26.4 unterstützt nun die finalen Spezifikationen von FAPI 2.0 sowie eine vollständige Implementierung von DPoP. Tokens können damit stärker an den aufrufenden Client gebunden werden, wodurch das Risiko gestohlener Access Tokens sinkt.
Mehrwert & Business‑Relevanz:
Diese Funktionen sind besonders relevant für regulierte Branchen (z. B. Finanzdienstleister, öffentliche Verwaltungen). Sie erleichtern die Umsetzung externer Sicherheitsauflagen und Audits, ohne proprietäre Erweiterungen zu benötigen.
Vereinfachte Multi‑AZ‑ und Multi‑Site‑Deployments
In 26.4 wurde die Unterstützung verteilter Deployments deutlich verbessert. Dazu zählen Split‑Brain‑Erkennung, Latenzoptimierungen zwischen Rechenzentren und eine bessere Integration in den Keycloak Operator.
Mehrwert & Business‑Relevanz:
Betreiber können Keycloak stabiler über mehrere Availability Zones hinweg betreiben. Das erhöht Ausfallsicherheit und erleichtert den Betrieb globaler Plattformen, ohne komplexe Eigenlösungen im Cluster‑Handling.
Keycloak 26.5: Benutzerfreundlichkeit und neue OAuth‑Flows
OAuth 2.0 Device Authorization Grant
Keycloak 26.5 bringt native Unterstützung für den Device Authorization Grant. Damit lassen sich Authentifizierungsflüsse für Geräte ohne klassische Eingabemöglichkeiten (z. B. Smart TVs, industrielle Terminals) umsetzen.
Mehrwert & Business‑Relevanz:
Für Unternehmen mit IoT‑ oder Geräte‑Ökosystemen wird Keycloak als zentrale IAM‑Komponente deutlich attraktiver, da kein separater Authentifizierungsdienst mehr notwendig ist.
Weiterentwicklung von Client Policies
Die Client‑Policy‑Funktionen wurden erweitert und erlauben feinere Bedingungen und Aktionen für OIDC‑Clients. Sicherheitsregeln lassen sich damit konsistenter und zentral durchsetzen.
Mehrwert & Business‑Relevanz:
In größeren Landschaften mit vielen Teams und Anwendungen steigt die Governance‑Fähigkeit. Sicherheitsstandards können zentral definiert werden, ohne jede Anwendung einzeln prüfen zu müssen.
Admin‑UI‑Verbesserungen
Auch wenn es auf den ersten Blick unscheinbar wirkt: Verbesserungen im Admin‑UI, insbesondere im Umgang mit Client Scopes, reduzieren Fehler und beschleunigen tägliche Verwaltungsaufgaben.
Keycloak 26.6: Betrieb, Automatisierung und Zero Downtime
Zero‑Downtime‑Patch‑Releases
Eine der betrieblich wichtigsten Neuerungen in 26.6 ist die Möglichkeit, Patch‑Releases ohne Downtime innerhalb einer Minor‑Version auszurollen. In Kubernetes‑Umgebungen genügt dazu eine entsprechende Update‑Strategie im Operator.
Mehrwert & Business‑Relevanz:
Sicherheitsupdates können schneller und risikoärmer eingespielt werden. Das ist besonders relevant für produktionskritische Plattformen und Organisationen mit klaren Verfügbarkeitsanforderungen.
Workflows für administrative Prozesse
Mit Workflows lassen sich wiederkehrende administrative Aufgaben – etwa rund um Benutzer‑ oder Client‑Lebenszyklen – automatisieren. Diese Funktion ist in 26.6 aus dem Preview‑Status herausgewachsen.
Mehrwert & Business‑Relevanz:
IAM‑Betrieb wird skalierbarer: Weniger manuelle Eingriffe, geringere Fehleranfälligkeit und bessere Nachvollziehbarkeit administrativer Prozesse.
JWT Authorization Grant & Federated Client Authentication
Der JWT Authorization Grant (RFC 7523) erlaubt den kontrollierten Austausch externer JWTs gegen interne Access Tokens. Ergänzend wurde die Federated Client Authentication produktiv, womit Client‑Secrets in Keycloak häufig entfallen können.
Mehrwert & Business‑Relevanz:
Diese Kombination erleichtert Integrationen in bestehenden Trust‑Landschaften erheblich – etwa bei Plattform‑zu‑Plattform‑Kommunikation oder in Kubernetes‑Umgebungen mit Service Accounts.
Fazit: Wichtige Konsolidierung statt Showcase‑Features
Die Versionen 26.4 bis 26.6 markieren weniger einen funktionalen Umbruch als vielmehr eine Reifungsphase von Keycloak.
Passkeys, Zero‑Downtime‑Updates, stärkere OAuth‑Sicherheitsmechanismen und Automatisierung adressieren genau jene Themen, die im produktiven IAM‑Betrieb langfristig entscheidend sind: Sicherheit, Stabilität und Skalierbarkeit.
Für bestehende Keycloak‑Installationen bieten diese Versionen vor allem Argumente für ein Upgrade. Für neue Projekte zeigt sich Keycloak zunehmend als robuste, cloud‑taugliche IAM‑Plattform, die auch in anspruchsvollen Enterprise‑ und CIAM‑Szenarien bestehen kann.
