Mit Keycloak 26 hat das Projekt einen wichtigen Schritt in Richtung strukturierter Mandantenmodelle gemacht: Organizations sind seitdem ein unterstütztes, produktives Feature und adressieren gezielt Business-to-Business- und CIAM-Szenarien innerhalb eines Realms. Gleichzeitig bleibt die klassische Mandantentrennung über separate Realms ein etabliertes und bewährtes Architekturprinzip.
Für Unternehmen stellt sich damit zunehmend die Frage: Wann ist eine Mandantentrennung auf Realm-Ebene sinnvoll – und wann eignet sich ein Organisations-basiertes Modell innerhalb eines Realms?
Dieser Artikel vergleicht beide Ansätze in Keycloak 26 und zeigt typische Use Cases, Vorteile, Grenzen und Entscheidungskriterien aus Unternehmenssicht.
Mandantentrennung in Keycloak – ein kurzer Überblick
Keycloak unterstützt keine Mandantenfähigkeit „per Switch“, sondern bietet verschiedene strukturelle Ebenen, um Identitäten logisch oder technisch zu trennen. In der Praxis kommen dabei insbesondere die folgenden beiden Strategien zum Einsatz:
- Mandantentrennung über Realms → starke, technische Isolation
- Mandantentrennung über Organizations innerhalb eines Realms → logische Trennung bei gemeinsamer Grundkonfiguration
Beide Ansätze lösen unterschiedliche Probleme – und sind nicht als Ersatz füreinander gedacht, sondern als komplementäre Ansätze.
Variante 1: Mandantentrennung über separate Realms
Konzept
Ein Realm ist in Keycloak eine vollständig isolierte Identitätsdomäne. Jeder Realm besitzt seine eigene Konfiguration, darunter:
- Benutzer, Credentials und Föderationsquellen
- Clients und Client Scopes
- Rollen, Gruppen und Berechtigungen
- Authentifizierungsflows
- Token-Signing-Keys und Session Policies
- Admin-Berechtigungen
Zwischen Realms gibt es keinen gemeinsamen Daten und Prozesse.
Typische Unternehmens-Use-Cases
Realm-basierte Mandantentrennung eignet sich insbesondere für:
1. Strikt getrennte Identitätsdomänen
- interne Mitarbeitende vs. externe Kunden
- Partner mit eigenständigen Security-Policies
- unterschiedliche Compliance-Rahmen (z. B. KRITIS vs. CIAM)
2. Unterschiedliche Anwendungen oder Plattformen
- getrennte App-Landschaften
- verschiedene Token-Formate oder Claim-Modelle
3. Regulatorische oder organisatorische Isolation
- Trennung nach Geschäftseinheiten
- separate Betriebs- oder Haftungskontexte
Vorteile
- Sehr hohe Isolation
- Maximale Flexibilität pro Mandant
- Saubere Trennung von Admin-Zuständigkeiten
- Gut nachvollziehbar bei Security-Audits
Grenzen
- Hoher Betriebs- und Pflegeaufwand bei vielen Realms
- Konfigurations-Duplikation (Clients, Flows, Rollen)
- Updates, Changes und Rollouts wirken sich nicht zentral aus
- Skaliert organisatorisch schlecht bei vielen Mandanten
Variante 2: Mandantentrennung über Organizations innerhalb eines Realms
Konzept
Organizations stellen eine logische Mandantenstruktur innerhalb eines Realms dar. Sie sind speziell für B2B- und CIAM-Szenarien entwickelt worden und ermöglichen Multi-Tenancy ohne vollständige Isolation.
Organizations erlauben unter anderem:
- Zuordnung von Benutzern zu Organisationen
- Organisation-spezifische Identity Provider
- Einladung und Onboarding von Organisationsmitgliedern
- Identity-First-Login (z. B. per E-Mail-Domain)
- Organisation-spezifische Claims im Token
Nicht erlaubt sind hingegen eigene Clients, Rollen, Themes oder komplett isolierte Admin-Konzepte pro Organization.
Typische Unternehmens-Use-Cases
Organizations sind besonders geeignet für:
1. B2B-SaaS-Plattformen
- mehrere Kundenorganisationen
- alle greifen auf dieselbe Anwendung zu
- unterschiedliche SSO-Anbindungen pro Kunde
2. Partner- und Kundenzugänge
- extern verwaltete Identitäten
- automatisches Routing zur passenden IdP-Anmeldung
3. Zentral gesteuerte Plattformen
- ein Security-Modell
- ein Rollen- und Client-Set
- klare Trennung auf fachlicher Ebene
Vorteile
- Zentrale Administration eines Realms
- Sehr gute Skalierbarkeit für viele Mandanten
- Reduzierter Betriebs- und Wartungsaufwand
- Konsistentes Login- und Token-Modell
- Ideal für CIAM- und B2B-Szenarien
Grenzen
- Keine vollständige Isolation
- Gemeinsame Client- und Rollenstruktur
- Eingeschränkte Delegation von Mandanten-Administration
- Nicht geeignet für stark divergierende Security-Policies
Gegenüberstellung: Realms vs. Organizations
| Kriterium | Separate Realms | Organizations |
| Isolation | Sehr hoch | Logisch, nicht technisch |
| Skalierbarkeit | Begrenzt bei vielen Mandanten | Sehr gut |
| Betriebsaufwand | Mittel | Niedrig |
| Gemeinsame Clients | Nein | Ja |
| Mandanten-spezifische IdPs | Ja | Ja |
| CIAM / B2B geeignet | Eingeschränkt | Sehr gut |
| Regulatorische Trennung | Gut geeignet | Nur bedingt |
Entscheidungshilfe aus Unternehmenssicht
Separate Realms sind die richtige Wahl, wenn:
- Mandanten strikt voneinander getrennt sein müssen
- unterschiedliche Security-, Token- oder Compliance-Anforderungen existieren
- Organisationen eigenständig administrieren sollen
- technische Isolation Priorität hat
Organizations sind die bessere Wahl, wenn:
- viele Mandanten mit ähnlichen Anforderungen existieren
- eine zentrale Plattform betrieben wird
- B2B-SSO und CIAM-Szenarien im Fokus stehen
- Skalierbarkeit und Wartbarkeit entscheidend sind
In der Praxis ist auch eine Kombination beider Ansätze gängig – etwa getrennte Realms für interne und externe Identitäten, mit Organizations innerhalb des externen Realms für Kundenmandanten.
Fazit
Mit Keycloak 26.6 stehen Unternehmen zwei ausgereifte, bewusst unterschiedlich ausgelegte Modelle zur Mandantentrennung zur Verfügung. Die Entscheidung zwischen Realms und Organizations sollte nicht ideologisch, sondern architektur- und use-case-getrieben erfolgen.
Während Realms maximale Isolation bieten, ermöglichen Organizations eine wirtschaftlich und organisatorisch skalierbare Mandantenfähigkeit – insbesondere für moderne SaaS- und CIAM-Plattformen.
Eine frühzeitige, saubere Architekturentscheidung zahlt sich dabei langfristig in Betrieb, Sicherheit und Weiterentwicklung aus.
