Früher oder später taucht die Story im Backlog eines jeden Softwareprojektes auf:
„Als Benutzer möchte ich mich einloggen können, um …“
Klingt harmlos. Dein Entwicklerteam oder Dienstleister wird dich vermutlich beruhigen: „Kein Problem, Login ist Standard – das bringt das Framework oder CMS schon mit.“
Und klar – wie sollte ein Webshop auch ohne Kundenerkennung funktionieren?
Auf den ersten Blick wirkt das Thema ja auch trivial:
Eine Datenbank speichert Benutzername und gehashtes Passwort, eine Login-Maske fragt die Zugangsdaten ab, ein Session-Handler verwaltet die Sitzung - ein Standardfeature jeder Software oder auch mal schnell selbst gebaut.
Klingt simpel. Ist es aber nicht!
Denn kaum ist das Grundgerüst gebaut, kommen die echten Anforderungen – und die sind meist weit weg vom „Standard“:
Was anfangs nach einer kleinen Login-Maske aussieht, wird schnell zu einer komplexen, sicherheitskritischen Baustelle.
Und selbst wenn Zeit und Budget keine Rolle spielen - was selten der Fall ist - gilt ein bewährter Grundsatz: "Don't roll your own crypto" - Oder frei übersetzt: "Implementiere sicherheitsrelevante Features niemals selbst – schon gar nicht Authentifizierung“.
Die Geschichte ist voll von Fällen, in denen selbst erfahrene Entwickler durch eigene Auth-Lösungen massive Sicherheitslücken geschaffen haben – einfach, weil sie unterschätzt haben, wie tief und breit das Thema ist.
Wenn es um Registrierung, Authentifizierung, Autorisierung, Single Sign-on oder Identity Federation geht, ist eines klar: Die Welt der Identity & Access Management (IAM)-Systeme ist mindestens so komplex wie die von Shop-, CMS- oder PIM-Systemen.
Daher ist es nur logisch, auch für diesen Part der Applikation eine eigene, dafür spezialiserte Software zu verwenden. Als glühender Verfechter der Open-Source-Software setzen wir hier auf den Platzhirsch in diesem Bereich: Keycloak.
Keycloak ist das Schweizer Taschenmesser für Identity- und Access-Management – Open Source, mächtig und flexibel. Das Projekt wurde 2014 von Red Hat ins Leben gerufen, um eine moderne, flexible Lösung für sichere Benutzerverwaltung in Web- und mobilen Anwendungen zu bieten. Ob OAuth 2.0, OpenID Connect oder SAML 2.0 – Keycloak beherrscht sie alle und lässt sich elegant in bestehende Architekturen integrieren.
Seit der Übernahme von Red Hat durch IBM wurde die Weiterentwicklung von Keycloak an die Cloud Native Computing Foundation (CNCF) übergeben – dort, wo auch Projekte wie Kubernetes gedeihen. Statt in proprietäre Bahnen abzudriften, hat sich IBM bewusst für einen offenen Weg entschieden: Keycloak bleibt vollständig Open Source – ohne versteckte “Paid Features” oder Enterprise-Lock-ins.
Das Ergebnis: Die Entwicklung hat spürbar an Tempo zugelegt. Neue Features, moderne Architekturen und kontinuierliche Verbesserungen kommen heute schneller denn je – getragen von einer wachsenden, aktiven Community.
Die Feature-Liste von Keycloak ist umfangreich – zu lang, um sie hier komplett aufzuführen. Aber statt trockener Aufzählungen schauen wir uns einfach an, was Keycloak konkret leistet – entlang der typischen User Journeys.
Was erlebt ein Nutzer beim Login? Was braucht ein Admin im Alltag? Genau hier zeigt Keycloak seine Stärken – und warum es klassischen Build-In- oder DIY-Lösungen meist weit überlegen ist.
Als Nutzer:in starten wir ganz normal in der Anwendung – ein Klick auf den Login-Button, und wir landen auf der Anmeldeseite. Was wir dabei kaum bemerken: Wir befinden uns bereits im Authentifizierungsservice von Keycloak. Weil sich dessen Oberfläche nahtlos an das Design der App anpassen lässt, fühlt sich der Übergang absolut natürlich an.
Je nach Konfiguration stehen uns verschiedene Login-Optionen zur Verfügung. Neben dem klassischen Login mit Benutzername und Passwort sind auch moderne Verfahren wie passwortlose Anmeldung per Passkey oder Social Logins über Dienste wie Facebook, GitHub oder – im Unternehmenskontext – Entra ID möglich.
Im nächsten Schritt folgt in der Regel eine Zwei-Faktor-Authentifizierung, was heute fast schon Standard ist. Keycloak unterstützt hier verschiedenste Methoden, darunter Einmal-Codes aus Authenticator-Apps oder per SMSS, Bestätigung per E-Mail, PassKeys, oder den Einsatz von FIDO2-kompatiblen Geräten.
Doch Keycloak kann mehr als nur „Login“. Direkt nach der Anmeldung können zusätzliche Aktionen erforderlich sein – sogenannte „Required Actions“. Das können zum Beispiel die Annahme von AGBs, die erstmalige Einrichtung einer MFA-Methode oder das Ergänzen von Profilinformationen sein.
Auch zu einem späteren Zeitpunkt lassen sich solche Schritte gezielt auslösen, etwa bei einer Passwortänderung oder zur Ergänzung von weiteren Profilangaben, beispielsweise bei Erweiterung des genutzten Angebots.
Nach erfolgreicher Authentifizierung gibt Keycloak die Kontrolle zurück an die Anwendung – inklusive eines Tokens, der alle relevanten Informationen über unsere Identität und Zugriffsrechte enthält.
Darüber hinaus steht uns eine komfortable Self-Service-Oberfläche zur Verfügung. Hier können wir unsere Profildaten pflegen, Authentifizierungsmethoden verwalten oder sehen, auf welchen Geräten und in welchen Browsern wir gerade angemeldet sind – und diese Sitzungen bei Bedarf direkt beenden.
Auch aus Admin-Perspektive zeigt Keycloak schnell, dass es weit mehr ist als nur ein Login-Service. Die Plattform bietet ein beeindruckend flexibles Set an Funktionen, mit dem sich nahezu jeder Aspekt der Benutzerverwaltung und Authentifizierung individuell anpassen lässt. Um den Rahmen nicht zu sprengen, werfen wir exemplarisch einen Blick auf einige zentrale Möglichkeiten.
Schon beim Anlegen von Benutzerprofilen wird klar, wie anpassbar Keycloak ist. Neben den klassischen Attributen wie Vorname, Nachname, Benutzername und E-Mail lassen sich beliebig viele zusätzliche Felder definieren – etwa für persönliche Merkmale, interne IDs oder branchenspezifische Informationen. Jedes dieser Attribute kann mit eigenen Regeln, Validierungen und Berechtigungen versehen - übersichtlich eingruppiert und natürlich auch auch mehrsprachig benannt.
Auch Passwort-Richtlinien lassen sich granular definieren: Zeichenlängen, Komplexitätsanforderungen, Ablaufintervalle – alles ist über die Oberfläche steuerbar. Neue Benutzer:innen geben ihre Daten entweder selbst bei der Registrierung an oder sie werden zu einem späteren Zeitpunkt gezielt abgefragt – etwa nach dem ersten Login.
Der eigentliche Login-Prozess ist in Keycloak modular aufgebaut und vollständig konfigurierbar. Welche Schritte muss ein:e Benutzer:in beim Login durchlaufen? Welche davon sind optional, welche verpflichtend? Müssen beim ersten Login AGBs akzeptiert, ein zweiter Faktor eingerichtet oder weitere Daten ergänzt werden? All das lässt sich bequem über die Admin-Oberfläche konfigurieren – ohne Programmierung.
Als zentraler SSO-Provider verwaltet Keycloak nicht nur eine angeschlossene Applikation, sondern beliebig viele Clients. Diese lassen sich individuell konfigurieren – inklusive der zu verwendenden Protokolle wie OAuth2, OpenID Connect, SAML oder SCIM mit allen Parametern. Dabei lässt sich genau steuern, welche Benutzerdaten an welchen Client übergeben werden dürfen.
Für den professionellen Betrieb besonders wichtig: Auditing und Nachvollziehbarkeit. Keycloak dokumentiert alle relevanten Aktionen – vom Login über Profiländerungen bis zur Policy-Verletzung. Diese Events lassen sich durchsuchen und bieten wertvolle Einblicke für Support, Debugging oder Compliance-Zwecke.
Was zu Beginn so harmlos klang – „Ein Login-Formular für unsere Nutzer:innen“ – entpuppt sich schnell als komplexe, sicherheitsrelevante Schlüsselkomponente deiner Anwendung.
Je weiter ein Projekt wächst, desto stärker steigen die Anforderungen: Passwörter, 2FA, Social Logins, Self-Service, Rechteverwaltung, Datenschutzkonformität, SSO – und das Ganze bitte sicher, wartbar und benutzerfreundlich.
Selbst wenn du oder dein Team technisch dazu in der Lage seid, diese Anforderungen eigenständig umzusetzen – warum solltest ihr?
Keycloak bietet all das out-of-the-box, vollständig Open Source, flexibel anpassbar und mit der Unterstützung einer starker Community.
Statt Zeit, Geld und Nerven in Eigenentwicklungen zu investieren, kannst du dich auf das konzentrieren, was dein Projekt wirklich ausmacht – und dabei sicher sein, dass Authentifizierung und Autorisierung mit allen zukünftigen Herausforderungen und Entwicklungen mitwächst.
Ich habe euch überzeugt und Keycloak passt zu eurer Architektur – aber euch fehlt die Zeit oder das Know-how für die Einführung? Wir haben langjährige Erfahrungen mit der Implementierung von Keycloak in unterschiedlichsten Nutzungszenarien. Sprecht uns an - unsere Spezialist:innen begleiten euch von Anfang an.
