Warum das Hosting von Keycloak nur die halbe Miete ist, und warum Identity und Access Management (IAM) mehr erfordert als nur einen laufenden Container.
Keycloak hat sich in den letzten Jahren zum De-facto-Standard für Open-Source Identity and Access Management (IAM) entwickelt. Die Flexibilität, der große Feature-Umfang – von Single-Sign-On (SSO) über die Integration von Social-Logins bis hin zur feingranularen Rechteverwaltung – und die aktive Community machen es zur ersten Wahl für neue digitale Produkte und Modernisierungsprojekte.
Gleichzeitig zeigt sich im produktiven Einsatz schnell: Keycloak ist eine geschäftskritische Komponente. Als zentrale Authentifizierungsinstanz stellt es einen potenziellen Single Point of Failure dar und erfordert entsprechend hohe Anforderungen an Betrieb, Wartung und Support.
Für CTOs und Lead Architekten stellt sich daher die Frage: „Make or Buy?“ Und wenn „Buy“, welcher Managed Service bietet über die reine Bereitstellung des Containers echten Mehrwert?
In diesem Artikel vergleichen wir generische Hosting-Ansätze, die durch ihren sehr günstigen monatlichen Preis auffallen mit dem spezialisierten „Keycloak as a Service“-Angebot von intension.
Herausforderungen im Betrieb von Keycloak
Einführung stellen wir einige Anforderungen an den Keycloak Betrieb, die typischer weise vom oder mit dem Anbieter im Produktionsbetrieb gelöst werden müssen.
Skalierbarkeit und Performance
Mit wachsender Nutzerzahl und steigender Anzahl angebundener Clients müssen Infrastruktur, Session-Handling und Datenbankanbindung sorgfältig ausgelegt werden. Insbesondere langlaufende Sessions und hohe Authentifizierungsraten können schnell zu Engpässen führen, wenn keine gezielte Optimierung erfolgt.
Wartung, Updates und Sicherheit
Keycloak folgt als Open-Source-Projekt zwar einem definierten Release-Zyklus, es gibt aber keinen klassischen Langzeit-Support für bestimmte Versionen. Zero-Downtime-Upgrades erfordern zudem einen Cluster-Betrieb. Essentiell sind getestete Update-Strategien im Staging Verfahren sowie kontinuierliches Security-Patching der zugrunde liegenden Container-Images.
Konfiguration und Customizing
In produktiven Szenarien wird Keycloak selten „out of the box“ genutzt. Eigene Themes, Service Provider Interfaces (SPIs) oder angepasste Authentication Flows gehören zum Standard. Diese Erweiterungen müssen versioniert, getestet und sicher in den Deploymentprozess integriert werden – insbesondere in gemanagten Umgebungen.
Compliance Anforderungen
Datenschutzanforderungen, Auditierbarkeit sowie regulatorische Vorgaben (z. B. DORA, NIS2, CRA) machen dokumentierte Betriebsprozesse, definierte RPO-/RTO-Ziele und transparente Backup- sowie Wiederherstellungsmechanismen erforderlich.
Anbieter von Managed Keycloak: zwei grundlegende Ansätze
Der Markt für Managed Keycloak lässt sich grob in zwei Welten unterteilen: Die generischen Infrastruktur-Provider und die IAM- und Keycloak-Spezialisten.
Generische Hosting- und PaaS-Anbieter
Diese Anbieter stellen Keycloak primär als standardisierten Workload bereit. Man wählt „Keycloak“ aus einem Katalog, und Minuten später läuft ein Container. Der Fokus liegt auf Infrastrukturverfügbarkeit, automatisierter Bereitstellung und grundlegenden Betriebsfunktionen wie Netzwerk, Zertifikatsmanagement und Volume-Backups.
Monitoring und Support beziehen sich dabei in erster Linie auf die technische Erreichbarkeit der Umgebung. Applikationsspezifische Probleme – etwa fehlerhafte Authentifizierungs-Flows oder Inkompatibilitäten bei Custom Extensions – liegen häufig außerhalb des Supportumfangs.
Spezialisierte IAM- und Keycloak-Dienstleister: Der Ansatz von intension
Spezialisierte Anbieter wie intension verstehen Managed Keycloak als Applikationsservice. Neben dem Betrieb der Infrastruktur übernehmen sie Verantwortung für das funktionale Verhalten der Plattform, einschließlich Monitoring auf Anwendungsebene, Update-Strategien und Integrationsunterstützung bei Customizings.
Der Fokus liegt hier weniger auf der reinen Bereitstellung von Rechenressourcen, sondern auf dem stabilen Betrieb von Keycloak als eine zentrale IAM-Komponente.
Wenn es brennt: Support-Ebenen und Reaktionszeiten
Der vielleicht kritischste Unterschied zeigt sich erst, wenn Probleme auftreten. Hier offenbart sich ein Gefälle zwischen generischem Hosting und spezialisiertem Service am deutlichsten.
Das Monitoring-Delta: Ping vs. Was ist wirklich los?
Ein generischer Hoster überwacht die Infrastruktur. Funktionale Indikatoren der gehosteten Anwendung werden nicht mit überwacht. Ein Keycloak-Server könnte also technisch erreichbar sein, aber aufgrund eines Fehlers im Authentication Flow oder im angebundenen User Storage aus Benutzersicht gar nicht funktionieren.
Intension geht hier einen Schritt weiter und es wird über die Infrastruktur hinaus auch die Funktionalität mit überwacht. Dazu kommt eine Anomalie-Erkennung, um Probleme möglichst frühzeitig entdecken zu können. Ziel ist helfe zu können, noch bevor die Nutzer beim Support anrufen.
24/7 SLA und 30-Minuten-Reaktion
Bei Problemen in geschäftskritischen Anwendungen zählt jede Minute. Entsprechend wichtig ist ein zuverlässiger und schnell verfügbarer Support.
- Generischer Support: In vielen Fällen sind die Supportzeiten auf die üblichen Geschäftszeiten beschränkt oder es wird ein 24/7-Notdienst angeboten, der in der Regel bei schwerwiegenden Störungen der Hardware aktiv wird. Häufig ist es erforderlich, dass der Kunde einen Ausfall zuerst meldet. Die Reaktionszeiten auf Anfragen bewegen sich üblicherweise zwischen 4 und 24 Stunden.
- Intension Support: Als spezialisierter Anbieter stellt intension auf Keycloak zugeschnittene 24/7-Service-Level-Agreements zur Verfügung. Das bedeutet, dass auch außerhalb der üblichen Arbeitszeiten, beispielsweise nachts, qualifizierte Experten in Deutschland bereitstehen, um bei Störungen schnell reagieren zu können. Für besonders kritische Fälle (Priorität 1) wird eine schnelle Reaktionszeit von bis zu 30 Minuten zugesichert. Kunden erhalten damit die Sicherheit, dass im Ernstfall umgehend kompetente Unterstützung gewährleistet ist.
Der Realitätscheck: Update
Neben dem Support lohnt sich ein Blick auf ein weiteres klassisches Szenario im Lebenszyklus eines IAM-Systems.
Herausforderung bei Updates („Das Theme ist kaputt“)
Ein typisches Beispiel: Keycloak wird auf eine neue Hauptversion aktualisiert (etwa von v24 auf v25).
- Beim generischen Hosting-Anbieter: Das System übernimmt automatisch das neue Image. Kommt es z.B. durch Änderungen am Theme zu Problemen, etwa mit der Login-Maske, merkt man dies vielleicht erst beim nächsten Login. Und weiter helfen können wird der Hosting Anbieter vermutlich nicht.
- Beim spezialisierten Anbieter intension: Updates werden sorgfältig geplant und nicht automatisch zum Stichtag ausgerollt. Die Kunden werden aktiv in den Upgrade-Prozess eingebunden, sodass Erfahrungen aus verschiedenen Projekten einfließen und ein reibungsloser Ablauf gewährleistet wird. Je nach Wunsch können Updates und Upgrades selbstverständlich auch eigenständig von den Kunden geplant, getestet und durchgeführt werden.
Vergleichstabelle: Generisch vs. Spezialisiert
| Feature / Kriterium | Generische PaaS- & Hosting-Anbieter | intension (Keycloak-Spezialist) |
| Primärer Fokus | Infrastruktur-Bereitstellung (IaaS/PaaS) | Identity & Access Management (SaaS/Managed) |
| Monitoring | Infrastruktur (Ping, CPU, RAM) | Applikations-Deep-Dive (Logins, Flows, DB-Pools) |
| Support-Verfügbarkeit | Standard (oft Bürozeiten), 24/7 nur für Hardware | 24/7 Keycloak-Experten-Support |
| SLA / Reaktionszeit | Variabel, oft 4h+ | Bis zu 30 Minuten (Kritischer Vorfall) |
| Update-Strategie | Automatisiert (Image-basiert), Risiko bei Customizings | Proaktiv, qualitätsgesichert, kompatibilitätsgeprüft |
| SPI / Theme Support | Self-Service (Kunde baut Image), kein Support durch den Anbieter | Native Unterstützung, Validierung, Integrationshilfe |
| Ansprechpartner | 1st Level Support / Community Forum | IAM-Architekten und Keycloak-Experten |
Fazit: Warum Spezialisierung gewinnt
Die Wahl des richtigen Hosters hängt vom eigenen Reifegrad und den Ressourcen ab.
Wer ein internes DevOps-Team hat, das Keycloak-Code selber schreibt, Docker-Images im Schlaf baut und den DB Connection Pool selbst optimiert, der kann mit einem generischen Hosting-Anbieter für Managed Keycloak sehr kosteneffizient fahren.
Für Unternehmen, die Keycloak jedoch als geschäftskritische Komponente einsetzen nutzen wollen, ohne dabei das eigene Dev-Ops Team auch mit dem Betrieb von Keycloak in die Verantwortung zu nehmen, ist intension die logische Wahl. Der Mehrwert liegt in der vertikalen Integration von Infrastruktur und dem Betrieb der Container mit der langjährigen Erfahrung und Expertise in IAM und Keycloak.
Wenn der Login nicht funktioniert, steht das gesamte digitale Geschäft. In diesem Moment ist der Unterschied zwischen einem Hoster, der einen Dienst „bereitstellt“ und einem Partner wie intension, der wirklich helfen kann unbezahlbar.
Hier gibt es mehr Infos zu unserem Keycloak as a Service Angebot.
