Keycloak
Keycloak
Keycloak ist eine Open-Source-Plattform für Identity & Access Management (IAM). Es ersetzt Azure Active Directory / Microsoft Entra ID und bietet Single Sign-On (SSO) für alle Unternehmensanwendungen — hosted auf Ihren eigenen Servern, ohne Abhängigkeit von Microsoft.
Was ersetzt Keycloak?
| Microsoft-Produkt | Keycloak-Äquivalent |
|---|---|
| Azure Active Directory (Entra ID) | Keycloak Realm |
| Azure SSO | Keycloak SSO (OIDC / SAML) |
| Azure MFA | Keycloak OTP / WebAuthn |
| Azure AD Groups | Keycloak Gruppen & Rollen |
Kernfunktionen
Single Sign-On (SSO)
Ein zentrales Login für alle Anwendungen: Nextcloud, ONLYOFFICE, Element, Gitea, Odoo, Rocket.Chat und jede weitere OIDC- oder SAML-kompatible Anwendung. Mitarbeiter melden sich einmal an — alle Dienste sind danach zugänglich ohne erneute Passworteingabe.
Multi-Faktor-Authentifizierung
Keycloak unterstützt TOTP (Google Authenticator, Aegis), WebAuthn (YubiKey, FIDO2-Hardware-Keys) und SMS-OTP. MFA lässt sich für einzelne Anwendungen, Nutzergruppen oder alle Nutzer erzwingen.
Benutzerverwaltung
Zentrale Verwaltung aller Nutzer, Gruppen und Berechtigungen in einer Oberfläche. Neue Mitarbeiter werden einmal angelegt und haben sofort Zugang zu allen Anwendungen. Beim Ausscheiden genügt eine Deaktivierung — alle Zugänge werden gleichzeitig gesperrt.
LDAP / Active Directory Integration
Bestehende Active-Directory-Verzeichnisse können in Keycloak synchronisiert werden — ein nahtloser Migrationspfad ohne Datenverlust.
Integration
Keycloak lässt sich mit nahezu jeder modernen Anwendung verbinden:
- Nextcloud — Keycloak als OIDC-Provider
- Matrix/Element — SSO via OIDC
- ONLYOFFICE — SSO via SAML 2.0
- Gitea, Forgejo — OIDC-Login
- Grafana, Portainer — OIDC-Login
- Proxmox — LDAP / OIDC
Betrieb und Hosting
Keycloak läuft als Docker-Container auf einem kleinen Hetzner-Server:
# Keycloak mit Docker Compose
services:
keycloak:
image: quay.io/keycloak/keycloak:latest
environment:
KC_DB: postgres
command: start
Systemanforderungen
| Nutzer | RAM | CPU |
|---|---|---|
| ≤100 | 2 GB | 1 vCPU |
| ≤500 | 4 GB | 2 vCPU |
| >500 | 8 GB | 4 vCPU |
Keycloak lässt sich auf demselben Server wie Nextcloud betreiben — für kleine Teams (≤25 Nutzer) ist ein CX21 bei Hetzner (5,83 €/Monat) ausreichend.
Migration von Azure AD
- Keycloak-Instanz aufsetzen und Realm konfigurieren
- Nutzer aus Active Directory / Azure AD exportieren und importieren
- Anwendungen nacheinander auf Keycloak-SSO umstellen (Nextcloud → Element → weitere)
- MFA-Pflicht aktivieren
- Azure AD-Lizenzen kündigen
Tipp: Bei der Migration von Azure AD empfehlen wir, zunächst Keycloak parallel zu Azure AD zu betreiben. Anwendungen werden schrittweise umgezogen — so hat ein Fehler bei einer App keine Auswirkungen auf andere Dienste.
Weiter: Matrix/Element →