Neue Versionen, Breaking Changes, nachgerüstete Plugins — Keycloak-Betrieb in Produktion kostet mehr als er sollte. Es gibt einen anderen Weg.

Keycloak ist ein mächtiger Standard — keine Frage. Die eigentliche Frage ist, was Keycloak-Betrieb kostet: an Zeit, an Risiko, an internen Ressourcen.
Jedes neue Keycloak-Release bedeutet: Changelog lesen, Breaking Changes prüfen, testen, Rollout koordinieren — und das mehrmals pro Jahr. Wer eigene Extensions gebaut hat, prüft zusätzlich Kompatibilität. Wer SCIM nachgerüstet hat, betet, dass das Plugin mitzieht. Das ist kein Vorwurf an Keycloak — das ist die Realität von Open-Source in einer kritischen Infrastrukturkomponente.


Bare.ID ist die IAM-Plattform auf Keycloak-Basis — kein Ersatz, sondern ein Aufbau auf den Open-Source-Kern. Der Open-Source-Kern bleibt erhalten, Bare.ID übernimmt Betrieb, Updates und Hochverfügbarkeit. Gleichzeitig ergänzt Bare.ID um die Enterprise-Features, die Keycloak selbst nicht mitbringt: SCIM nativ, Per-App-Branding as Data, Identity Lifecycle Management, einen Security Score, um die eigene IAM-Konfiguration zu bewerten und vieles mehr. Ein Rückwechsel auf eine reine Keycloak-Instanz ist jederzeit möglich — ohne proprietäre Abhängigkeiten.
Die Rheinbahn betrieb Keycloak selbst — und kam an einen Punkt, wo der Aufwand für Updates, Konfiguration und Betrieb das Team dauerhaft belastete. Die Entscheidung für Bare.ID fiel nach einer technischen Evaluation: gleiche Technologiebasis, kein Datenverlust, kein proprietärer Pfad. Die Migration der bestehenden Keycloak-Installation dauerte drei Tage — inklusive Übergabe des Betriebs an das Bare.ID-Team.

Bare.ID builds upon the established open-source standard Keycloak. Existing installations can be adopted and continued in a short time – without vendor lock-in.
Development, hosting, and support are provided entirely in Germany – ensuring full control, legal certainty, and true digital sovereignty.
Bare.ID understands the requirements of organizations related to critical infastructure, the public sector, and private industry. This greatly facilitates integration into existing IT landscapes.
KuppingerCole recognizes Bare.ID for innovation and growth potential.


Bare.ID combines product development, security architecture, and regulatory expertise in a specialized team. Upon request, we can support you throughout the entire identity lifecycle – from conception to operation.
Entwicklung, Betrieb und Support erfolgen ausschließlich in Deutschland. Unsere Prozesse sind ISO/IEC 27001-zertifiziert. Ausgegründet aus der AOE Gruppe mit über 250 Mitarbeitenden verbinden wir IAM-Tiefe mit der Stabilität eines etablierten Technologieunternehmens.
Für Administratoren und Entwickler bieten wir ein umfassendes technisches Handbuch und API-Dokumentationen.
Transparente Konfiguration, offene Schnittstellen und klare Best Practices ermöglichen eigenständiges Arbeiten – ohne Blackbox.

Sie haben noch weitere Fragen? Vereinbaren Sie gerne ein unverbindlichen Call.
Ja. Bare.ID bewertet bestehende IAM- und Keycloak-Setups, identifiziert technische und organisatorische Risiken und plant realistische Migrationspfade. Dabei adressieren wir typische Keycloak-Herausforderungen wie häufige Updates, Betriebsaufwand, individuelle Erweiterungen und komplexe Konfigurationen, um eine stabile und nachvollziehbare Umstellung sicherzustellen.
Ja. Bare.ID nutzt Keycloak als technischen Kern und hält die Plattform kontinuierlich auf dem aktuellen Stand. Dadurch können auch Keycloak-spezifische Themen wie Federation-Konfigurationen, Policies, Tokenflows, Implementierungsdetails oder Migrationspfade unterstützt werden.
Ja. Bare.ID implementiert SCIM 2.0 für automatisiertes Provisioning und De-Provisioning. Damit lassen sich Benutzerkonten aus HR-Systemen und Verzeichnisdiensten automatisch anlegen, aktualisieren und entfernen.
Ja. Bare.ID kann als SaaS, in hybriden Umgebungen, Self-Hosted oder vollständig On-Premises betrieben werden – je nach (Sicherheits-)anforderungen, IT-Strategie und regulatorischem Rahmen. Dabei sind alle Bare.ID Versionen für alle Betriebsmodelle identisch. Daher stehen auch alle Funktionalitäten in allen Modellen ohne zeitliche Releaseverschiebung zur Verfügung.
Bare.ID kann sich über SCIM, LDAP, SAML oder OpenID Connect mit bestehenden Identitätsquellen synchronisieren. Änderungen in den Quellsystemen werden automatisch übernommen. So lassen sich bestehende Identitätsquellen weiterverwenden, ohne sie ablösen zu müssen.
It's that simple: