senn-techSingle Sign-On & IAM: Keycloak sichert interne Dienste
Jeder interne Dienst hat sein eigenes Login — das nervt nicht nur, es ist ein Sicherheitsproblem. Passwörter werden wiederverwendet, Accounts vergessen, Rechte bleiben nach Ausscheiden bestehen. Keycloak räumt das auf.
Was Keycloak ist
Ein Identity- und Access-Management-Server unter Apache-2.0-Lizenz. Er spricht OIDC, SAML und kann externe Identitätsquellen einbinden (LDAP, Active Directory, Social Logins).
Die logische Einheit ist der Realm — eine abgeschlossene Identitätsdomäne. Kunden bekommen einen Realm, interne Dienste einen anderen. Das trennt sauber, ohne mehrere Installationen.
Zentrale Absicherung interner Dienste
Wir betreiben Keycloak hinter demselben Reverse Proxy wie die Dienste, die es schützt. Der Ablauf:
- Dienst X leitet unauthentifizierte Requests an Keycloak weiter
- Login mit Benutzername/Passwort oder zusätzlichem MFA-Faktor
- Keycloak stellt Access- und Refresh-Token aus
- Dienst X validiert den Token, Nutzer ist drin
Kein Dienst muss sich selbst um Credentials kümmern. Das vereinfacht die Sicherheitsarchitektur erheblich.
Identity Brokering
Keycloak kann selbst zu einem externen IDP delegieren — etwa ein Kunden-Azure-AD oder Google Workspace. Der Nutzer loggt sich bei seinem gewohnten Anbieter ein, Keycloak übersetzt die Identität in den eigenen Realm. Föderiertes Identity-Management ohne wildes SAML-Gestricke.
Was Keycloak nicht ist
Kein Verzeichnisdienst. Keycloak ersetzt kein AD oder LDAP — es nutzt sie als Quellen. Und: die Oberfläche ist funktional, aber nichts für Endbenutzer ohne Schulung.
Fazit
Für jeden, der mehr als drei interne Webanwendungen betreibt, ist ein zentraler SSO-Dienst keine Option mehr, sondern Notwendigkeit. Keycloak liefert ihn mit allem, was dazugehört.