Vergleich Keycloak vs. Bare.ID - die Keycloak Alternative

Das IAM Open Source Framework Keycloak von RedHat ist etablierter Standard am Markt für IAM mit Single Sign-On. Es umfasst grundsätzlich die Autorisierung für Web-Anwendungen, mobile Anwendungen und REST-Services. Hierfür bietet Keycloak zentrale Basisfunktionen wie Login, Logout, Selbstregistrierung und auch Mehr-Faktor Authentifizierung an. Das Single Sign-On unterstützt Standardprotokolle wie OAuth2, OpenID-Connect, SAML und Kerberos.

Da es im Bereich IT-Sicherheit immer von Vorteil ist, wenn möglich auf etablierte Standards und Open Source-Bibliotheken zuzugreifen, ist Keycloak als Basis für eigene Systeme eine vielversprechende Wahl für Unternehmen. Allerdings stellt der Betrieb und das Patchmanagement von Sicherheitssoftware vor allem für KMUs eine enorme Herausforderung dar, da es in der Praxis häufig an Know-how, IT-Personal und Infrastruktur fehlt, solche Systeme mit Keycloak aufzusetzen, sicher zu betreiben und weiter zu entwickeln.

Dennoch ist Keycloak eine renommierte Option und bietet erfahrungsgemäß grundsätzlich alle nötigen Standard-Funktionalitäten für eine IAM-Lösung. Für einen langfristigen produktiven Einsatz fehlen allerdings einige Rahmenbedingungen und Funktionalitäten – insbesondere in Bezug auf Compliance und ITSM Anforderungen. Als Alternative zum Eigenbetrieb von Keycloak wurde die SaaS-Lösung Bare.ID entwickelt. Bare.ID nutzt Keycloak im Kern. Das heißt: Kunden profitieren von den Keycloak-Funktionalitäten des Open Source Frameworks und gleichermaßen von weiteren zahlreichen Features. Über eine anwenderfreundliche Admin-Oberfläche von Bare.ID lassen sich alle Einstellungen des Keycloak einfach verwalten. Drittsysteme werden mit wenigen Klicks angebunden und die Sicherheit durch die integrierten, vielfältigen Mehr-Faktor-Authentifizierungs-Lösungen erhöht. Der enthaltene Rundum-Service mit ausführlicher Beratung, schnellem Setup, ausfallsicherem Hosting und ständiger Wartung und Weiterentwicklung des Cloud-Dienstes, macht Bare.ID zu einer sorgenfreien, zuverlässigen und datenschutzkonformen Identity- und Access-Management-Lösung (IAM) aus einer Hand. Wie sich Bare.ID und Keycloak im Detail differenzieren wird in den nachfolgenden Abschnitten genauer erläutert.

Was differenziert Bare.ID von Keycloak?

Hosting & Betrieb

Als SaaS-Produkt bietet Bare.ID ein Managed Keycloak anstelle eines Self-Hosted Keycloak im Eigenbetrieb. Dabei hostet Bare.ID ausschließlich in, mehrfach redundant und selbst KRITIS-Verordnung konform Georedundant. Der SaaS-Betrieb bedeutet ebenso ein kurzfristiges Patch-Management, es wird also immer die aktuelle Keycloak Version genutzt. Bare.ID setzt ein ITSM nach ISO27001 um. Der Individualcode rund um den Keycloak-Kern sowie die Migrationsarbeiten werden dabei vom SaaS-Anbieter übernommen, während im Falle eines Self-Hosted Keycloak jeder Code aufwendig und manuell migriert werden muss, was erfahrungsgemäß häufig für Betriebsprobleme sorgt.

IT-Sicherheit, Datenschutz und Compliance

Unternehmen im europäischen, speziell deutschsprachigen Gebiet unterliegen den strengen DSGVO-Richtlinien und branchenspezifischen Regularien. Eine DSGVO konforme Nutzung ist nur möglich, wenn durch technische Maßnahmen sichergestellt ist, dass persönliche Daten entweder nur verschlüsselt die EU verlassen oder andere organisatorische Maßnahmen die Auswertung dieser verhindern. Im Falle von Logins und Identitätsverwaltung ist dies jedoch nahezu unmöglich, da um ein Login durchzuführen bzw. die Identität zu verwalten diese im Klartext bei dem im Drittland gehosteten Anbieter vorliegen muss. Mit Hosting, Betrieb und Entwicklung ausschließlich in und aus Deutschland bietet Bare.ID standardisiert einen DSGVO-konformen Cloud Service.

In Bezug auf IT-Security bietet Bare.ID außerdem weitere Audit-Funktionalitäten, welche im Keycloak Standardumfang nicht inkludiert sind. Die Supporting Infrastruktur von Bare.ID stellt auf einem Dashboard verschiedene Metriken wie Zugriffe von Nutzern auf Applikationen und gescheiterte Anmeldeversuche dar. Mit Hilfe dieser Daten können Schwachstellen und Anfälligkeiten erkannt, Sicherheitskontrollen durchgeführt und die Einhaltung von Vorschriften überprüft werden.

Security Funktionalitäten

Für das Access Management sind die von Keycloak gebotenen und von Bare.ID erweiterten Sicherheitsfunktionalitäten von hoher Bedeutung. Das Zugriffsmanagement auf verschiedene Anwendungen und somit die autorisierte Nutzung dieser kann mit dem Bare.ID Role-Based Application Access bereits vorab begrenzt werden. Während im Standard Keycloak grundsätzlich alle Nutzer auf alle Anwendungen zugreifen können und die Zugriffsentscheidung erst bei der Anwendungen selbst liegt bietet Bare.ID die Option den Zugriff während des Logins direkt einzuschränken. Anwender können bereits vorab entscheiden, welche Nutzer auf welche Anwendungen zugreifen dürfen. Somit kontrolliert Bare.ID während des Logins den Zugriff auf die Anwendung, und nicht erst die Anwendung selbst muss den Zugriff für die entsprechenden Nutzer verhindern.

Keycloak und Bare.ID bieten als ergänzende Sicherheitsmaßnahme die Möglichkeit Passwortrichtlinien flexibel zu konfigurieren. Vorkonfigurierte Regeln wie Buchstaben- und Zahlenkombinationen und der Abgleich mit "Have I been Pwned", aber auch detaillierte Konfiguration, wie die präzise Detailkonfiguration des PBKDF2 Passwort Hashings, stehen in der Bare.ID Admin-Oberfläche bereits vorkonfiguriert zur Verfügung und können mit einem Klick aktiviert werden. So können Sie Ihre Bare.ID Instanz im Detail an Ihre Ansprüche und Sicherheitsrichtlinie anpassen. Ergänzend können per Klick Brute-Force Regeln aktiviert und definiert werden, um Angriffe durch das Ausprobieren vieler Passwörter abzuwehren.

Erweiterte MFA-Varianten

Hinsichtlich des Nutzer-Logins bietet Keycloak eine gute Grundlage für die Implementierung von erweiterten 2-Faktor-Authentifizierungen. Die Anforderungen an Sicherheit und Funktionalität von Mehr-Faktor-Authentifizierungen sind variabel und bedarfsabhängig, weshalb viele Verfahren möglich sind. Bare.ID unterstützt u.a. One-Time Passwords (OTP), Gesichtserkennungs- und Fingerabdrucksensoren, Hardwaretoken und andere Komponenten nach FIDO2/WebAuthN-Standards. Bare.ID ermöglicht darüber hinaus die Mobiltelefon bzw. Windows basierte Mehrfaktor Authentifizierung "Sicherer Login bei Webdiensten" der secunet Security Networks AG für passwortlose Authentifizierung, welche alle aktuellen gesetzlichen Sicherheitsauflagen erfüllt, BSI-Richtlinien entspricht und in diesem Umfeld führender Anbieter am deutschen Markt ist - ohne Integrationsaufwände und mit einem Klick aktivierbar.

Application Gallery

Eine weitere Differenzierung von Keycloak und Bare.ID ist die Benutzerauthentifizierung an Applikationen und Services. Um die Authentifizierung an Keycloak und nicht an einzelnen Anwendungen einzurichten werden im Standard-Keycloak alle nötigen Anwendungen und Services einzeln implementiert. Dagegen vereinfacht Bare.ID diesen Prozess um einiges über die in der Bare.ID Admin-Oberfläche enthaltene Application-Gallery mit vorkonfigurierten Applikationen. Mit wenigen Klicks, welche standardmäßig die Felder Name, Beschreibung, Basis-URL, Weiterleitungs-URL und optional Zugriffsbeschränkung, enthalten ist die Applikation innerhalb kürzester Zeit verbunden. Sollte Anwendern eine Applikation in der Übersicht fehlen, wird diese auf Wunsch schnell und kostenfrei vom Bare.ID-Entwicklungsteam ergänzt.

White-Label Theme

Das Keycloak Standard Theme, das heißt das User-Interface des Logins sowie E-Mail Templates, bietet für Anwender zunächst keine Anpassungsmöglichkeiten. Um die E-Mails an Nutzer sowie die Login-Maske nicht auf reine Text-Templates sowie den Login auf Textfeld mit Keycloak Logo zu reduzieren entsteht an dieser Stelle zunächst ein hoher Aufwand an Eigenentwicklung. Erfahrungsgemäß sind Custom Keycloak Projekte mit einer der größten Kostenpunkte, um Keycloak SSO in Betrieb zu nehmen. Um diesen Aufwand zu umgehen und dem Bedarf der Anwender von Anfang an gerecht zu werden bietet Bare.ID White-Label-Templates für die Bare.ID Benutzeroberfläche, E-Mails sowie SMS und deren Absender. Die Kunden können Optik und Inhalte unkompliziert nach eigenen Corporate Design Vorgaben konfigurieren und selbst entscheiden, ob ersichtlich ist, wo und wer den Login hostet.

Support

Als Open Source bietet Keycloak wie bereits erwähnt keinen dedizierten Support an, die Möglichkeiten beschränken sich hier lediglich auf einen US Community-Support oder den Support über eine Red Hat SSO Lizenz, welcher allerdings keine Entwickler zur Unterstützung bietet und im Preis-Leistungs-Verhältnis schlechter abschneidet als eine Bare.ID Jahreslizenz. Als SaaS-Anbieter bietet Bare.ID einen regulär erreichbaren Support an sowie Unterstützung bei der Implementierung durch ein erfahrenes Entwicklerteam. Als deutsches Unternehmen wird zudem ein gleichsprachiger Support zu den passenden Geschäftszeiten und in Notfällen 24/7 geboten.

Fazit

Die Software Keycloak bietet abgesehen vom Aufwand des Eigenbetriebs, der Implementierung und des Update-Managements eine zuverlässige und belastbare Basis, um grundsätzlich Benutzerzugriffe zu managen. Vor allem im KMU-Bereich steht vom Kosten-Nutzen-Aufwand die SaaS Bare.ID als einsatzbereite und vollständige IAM-Lösung unter Einhaltung aller nötigen Sicherheits- und Datenschutzvorgaben im Vordergrund.

Das Bare.ID Experten-Team steht Ihnen mit Erfahrung zur Seite und berät Sie gerne, wie unsere Lösung in Ihre IT-Umgebung passen kann. Vereinbaren Sie einfach einen unverbindlichen Beratungstermin über unser Kontaktformular und unser Team setzt sich schnellstmöglich mit Ihnen in Verbindung.