Unser Newsletter rund um technische Themen,
das Unternehmen und eine Karriere bei uns.

ORDIX blog
4 Minuten Lesezeit (849 Worte)

Keycloak vs. Microsoft Entra ID: Ein Vergleich von IAM-Systemen

Keycloak und Microsoft Entra ID sind zwei bekannte Identity and Access Management (IAM) Systeme, welche sich vor allem in der Hosting-Art unterscheiden. Ein Vergleich dieser beiden soll die Gemeinsamkeiten und die Unterschiede herausstellen, um als Entscheidungshilfe zu dienen sowie die unterschiedlichen Konfigurationsmöglichkeiten innerhalb des IAM-Systems näherzubringen. 

Was ist ein IAM-System?

IAM steht für Identity and Access Management und ist ein System, welches sowohl die Zugangsdaten, wie zum Beispiel Passwort und Benutzername, verwaltet als auch einen sicheren Zugriff auf andere Systeme gewährleistet. Das bedeutet, dass nur autorisierte Benutzer:innen und Geräte auf eine bestimmte Ressource zugreifen können. Es gibt zahlreiche unterschiedliche Funktionen, welche ein IAM-System abdeckt, darunter zum Beispiel die Multi-Faktor-Authentifizierung und eine rollenbasierte Zugriffskontrolle, indem vorab Benutzer:innen und Gruppen erstellt sowie Berechtigungen zugewiesen werden. 

Was ist Keycloak?

Keycloak ist ein selbstgehostetes IAM-System. Dies bedeutet, dass das Serverbetriebssystem und alle darauf befindlichen Komponenten selbst administriert werden. Dieses System ist in der kommerziellen Variante seit 2016 eines der Hauptprodukte von RedHat und eignet sich vor allem für die Benutzung von Single Sign On (SSO). Authentifizierung und Autorisierung sind weitere wichtige Elemente von Keycloak. Außerdem ist dieses System kostenlos als Open-Source-Projekt verfügbar und profitiert von einer starken Community. 

Was ist Microsoft Entra ID?

Microsoft Entra ID ist hingegen ein Cloud-IAM-System, welches seit 2023 zur Microsoft-Produktfamilie gehört. IT-Administratoren, App-Entwickler:innen und Microsoft 365-Abonnent:innen wird dieses Produkt in Hinblick auf einen gesicherten Zugriff auf externe Anwendungen empfohlen. Dabei unterstützt das System Vorteile der Cloud, wie etwa Skalierbarkeit und Hochverfügbarkeit. 

Warum ist ein Vergleich der beiden Systeme interessant?

In der heutigen Zeit werden die Cloud-Produkte durch die Digitalisierung und dezentrales Arbeiten immer attraktiver. Um die Sicherheit in diesen Systemen zu gewährleisten, wurden Cloud-IAM-Systeme entwickelt. So stellt sich die Frage, ob diese eine relevante Alternative zu einem selbstgehosteten IAM-System darstellen und welche Gemeinsamkeiten sowie Unterschiede bestehen. Bei der Auswahl der beiden Systeme wurden aktuelle Statistiken einbezogen, die diese als bekannt und relevant darstellen. 

Wie sieht der Vergleich aus?

Der Vergleich der beiden Systeme wird anhand eines fundierten Bewertungskatalogs durchgeführt und teilt sich in die Bereiche „Identität", „Zugriff" und „Allgemein". Die Kriterien, die in dem Teil Identität betrachtet werden, sind unter anderem die Anzahl an unterschiedlichen Authentifizierungs- und Autorisierungsprotokollen, die Möglichkeit von Provisionierung sowie Auditierung und das Angebot eines Lifecycle-Management. Der zweite Bereich umfasst die Authentifizierung mit Multi-Faktor-Authentifizierung, SSO und Social Login und die Autorisierung mit RBAC und PAM. Abschließend werden im Bereich Allgemein die Kosten, die Anzahl an unterstützten Betriebssystemen und die Hosting-Arten einbezogen. 

Beispielvergleiche an drei Bewertungskriterien

Provisionierung

Innerhalb der Provisionierung bietet Keycloak viele Möglichkeiten an, um Benutzerkonten zu erstellen, zu verwalten und zuzuweisen. Dazu gehören die Identity Services, die Selbst-Registrierung, die Synchronisation eines Benutzerverzeichnisses via User Federation und die einfachste Methode: Dem Erstellen eine:r Benutzer:in durch den Admin. Wie bereits erwähnt, können einige Identity Services, darunter auch Social Provider wie zum Beispiel Google oder GitHub, in Keycloak angebunden werden, um die Anmeldung für die Benutzer:innen zu erleichtern. Bei der Selbst-Registrierung kann entschieden werden, ob eine eigene Benutzerregistrierung erlaubt wird.

Microsoft Entra ID unterstützt ebenfalls die Identity Services, die Selbst-Registrierung, die Benutzererstellung durch den Admin und die Integration bestehender Benutzerverzeichnisse durch Microsoft Entra Connect. 

Directory Services

Directory Services werden in Keycloak vor allem in Verbindung mit der User Federation genutzt. Ein möglicher Directory Service, welcher angebunden werden kann, um die Benutzerdaten auszulagern, ist FreeIPA.

Zwar kann ein lokales Benutzerverzeichnis in Microsoft Entra ID verwendet werden, jedoch besteht nicht die Möglichkeit andere externe Directory Services außerhalb der Microsoft Welt zu nutzen. Deswegen schneidet Microsoft Entra ID im Gegensatz zu Keycloak schlechter ab. 

Lifecycle-Workflow

Ein Lifecycle-Workflow ist ein automatisierter Prozess für die Verwaltung von Benutzer:innen und Rechten während ihres gesamten Lebenszyklus. Bei Keycloak ist es nicht möglich, Lifecycle-Workflows einzurichten und zu nutzen. Zwar können die Benutzer:innen erstellt, verwendet und gelöscht werden, jedoch wird kein zentraler Punkt angeboten, wo diese Tätigkeiten verwaltet werden und eine Übersicht über den Lifecycle der Anwender:innen angezeigt wird.

Im Gegensatz dazu unterstützt Microsoft Entra ID ein umfassendes Lifecycle-Management. Dieses beinhaltet einige Workflows, welche als Vorlage, zum Beispiel für die Einarbeitung eine:r neuen Mitarbeiter:in oder für das Ausführen einer Mitarbeiterkündigung, dienen. Die Vorlagen können auf die Bedürfnisse des Unternehmens angepasst werden, indem jeweils ein Auslöser und eine Regel ausgewählt sowie Aufgaben zugewiesen werden. Diese Aufgabe ist zum Beispiel das Hinzufügen oder das Entfernen einer Gruppe. Nach der Erstellung eines Workflows sind keine weiteren Tätigkeiten notwendig, da Microsoft Entra ID die Auslöser automatisch überwacht und daraufhin die entsprechenden Aufgaben ausführt.

Wie ist das Ergebnis des Vergleichs?

Beide Systeme schneiden in allen Bereichen gut ab und erfüllen sehr viele der Kriterien. Es gibt einige Gemeinsamkeiten, wie zum Beispiel die Unterstützung von SSO, Social Login und Provisionierung. Aber auch Unterschiede zwischen den Systemen werden ebenfalls deutlich, denn Keycloak kann kostenlos verwendet werden, aber Microsoft Entra ID unterstützt ein Lifecycle-Management und PAM.

Was ist das Fazit?

Microsoft Entra ID stellt als Cloud-IAM-System eine relevante Alternative zu Keycloak dar. Die Entscheidung, welches IAM-System eingesetzt wird, sollte anhand des spezifischen Anwendungsfalls und der gewünschten Kriterien getroffen werden. Dieser Vergleich zeigt, dass sowohl Cloud-IAM-Systeme als auch selbstgehostete IAM-Systeme eine sichere Lösung für Zugangsdaten und Zugriffe darstellen. 

Seminarempfehlung

Markiert in:
System Integration IT-Security
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Sonntag, 09. März 2025

Sicherheitscode (Captcha)

×
Informiert bleiben!

Bei Updates im Blog, informieren wir per E-Mail.

Weitere Artikel in der Kategorie

VMware und alternative Virtualisierungsplattformen
VMware und alternative Virtualisierungsplattformen
Weiterlesen...
Automatisierte Ausführung von Aufgaben zu einer festen Zeit – Timer in Systemd
Automatisierte Ausführung von Aufgaben zu einer festen Zeit – Timer in Systemd
Weiterlesen...
TMUX – der CLI-Manager
TMUX – der CLI-Manager
Weiterlesen...