Zurück zum Blog|Identity

Keycloak Alternative für den Mittelstand: Warum Authentik die bessere Wahl ist

31. März 2026
Timo Wevelsiep
authhost

Keycloak Alternative für den Mittelstand: Warum Authentik die bessere Wahl ist

Keycloak ist überdimensioniert für den Mittelstand. Authentik bietet SSO, MFA, LDAP & SAML in einem modernen, leichtgewichtigen Paket. Vergleich, Fakten & Managed Hosting.

authhost.de Blog

Inhaltsverzeichnis

Das Problem mit Keycloak

Keycloak ist mächtig. Keine Frage. Das von Red Hat entwickelte Open-Source-IAM-System existiert seit über 13 Jahren, hat mehr als 32.000 GitHub Stars [19] und wird weltweit in Enterprise-Umgebungen eingesetzt. Es unterstützt OAuth 2.0, OpenID Connect, SAML 2.0, LDAP Federation, Identity Brokering und feingranulare Autorisierung.

Aber Keycloak hat ein grundsätzliches Problem: Es wurde für Großunternehmen gebaut – und verhält sich auch so.

Ressourcenhunger, der wehtut

Keycloak basiert auf Java und dem Quarkus-Framework. Allein die Basis-RAM-Nutzung liegt bei rund 1.250 MB pro Pod – ohne Last, nur für Realm-Caches und Sessions [1]. Die offizielle Empfehlung für produktive Container-Deployments: mindestens 2 GB RAM-Limit [2]. In der Praxis brauchen Sie eher 3–4 GB, sobald Sie ein paar Realms, Clients und aktive Sessions haben.

Dazu kommt ein bekanntes Problem: Keycloak neigt zu steigendem Speicherverbrauch über die Zeit [4]. JVM-Tuning mit Parametern wie MaxRAMPercentage, MaxHeapFreeRatio und der Wahl des richtigen Garbage Collectors gehört zum Betriebsalltag. Wer sich nicht mit Java-Interna auskennt, hat ein Problem.

Komplexität, die Teams ausbremst

Der Weg von docker run zur produktionsreifen Keycloak-Instanz ist weit. Hostname-Konfiguration, TLS-Setup, Reverse-Proxy-Anbindung, Datenbank-Optimierung, Infinispan-Cache-Tuning – all das erfordert tiefes Fachwissen. Die Admin-Konsole wird regelmäßig als wenig intuitiv beschrieben [6]. Das Customizing von Login-Seiten erfordert die Arbeit mit komplexen Theme-Templates, nicht mit einem modernen UI-Editor.

Eine TCO-Analyse von Sirius Open Source beziffert die operativen Kosten für den Eigenbetrieb von Keycloak über drei Jahre auf rund 142.000 € – bei einem wöchentlichen Wartungsaufwand von über drei Stunden [5]. Das „kostenlose" Open-Source-Tool ist in der Praxis alles andere als günstig.

Upgrade-Schmerzen als Dauerzustand

Major-Version-Upgrades bei Keycloak sind regelmäßig mit Breaking Changes verbunden. Die Migration von WildFly zu Quarkus (ab Version 17) war ein erheblicher Einschnitt [7]. Custom Themes, SPI-Extensions und Cache-Konfigurationen müssen bei Versionssprüngen oft angepasst werden. Downtimes bei Upgrades sind keine Seltenheit – weil sich die internen Cache-Libraries zwischen Versionen nicht vertragen [8].

Für ein mittelständisches IT-Team mit drei bis fünf Leuten, das nebenbei noch den Rest der Infrastruktur betreut, ist das kein nachhaltiges Betriebsmodell.

Authentik: Die moderne Alternative

Authentik ist ein Open-Source Identity Provider, der 2020 gestartet wurde und sich explizit als einfachere, modernere Alternative zu Keycloak positioniert. Das Projekt hat inzwischen über 20.000 GitHub Stars [19] und wird aktiv weiterentwickelt – mit einem klaren Fokus auf Developer Experience und Self-Hosting.

Dieselben Protokolle, weniger Komplexität

Authentik unterstützt alle relevanten Standards: OAuth 2.0, OpenID Connect, SAML 2.0, LDAP, RADIUS und SCIM. Für die allermeisten Anwendungsfälle im Mittelstand – SSO für interne Anwendungen, MFA für Mitarbeiter, zentrale Benutzerverwaltung – bietet Authentik denselben Funktionsumfang wie Keycloak.

Der entscheidende Unterschied: Sie brauchen kein Java-Expertenwissen, um es zu betreiben. Authentik ist in Python (Django) und Go geschrieben und von Grund auf für Container-Deployments konzipiert.

Flow-basierte Authentifizierung: Flexibel ohne Code

Das Herzstück von Authentik ist das Flow-System [11]. Statt starrer Konfigurationsmasken definieren Sie Authentifizierungs-Workflows aus einzelnen „Stages" – Identifikation, Passwort, MFA, Consent – und steuern diese per Policy dynamisch [12].

Ein Standard-Login-Flow besteht beispielsweise aus drei Stages: Der Nutzer identifiziert sich (Username/E-Mail), gibt sein Passwort ein, und wird eingeloggt. Darauf aufbauend können Sie kontextabhängige Regeln definieren:

  • Zugriff aus dem Firmennetzwerk? → 2FA überspringen.
  • Login von einer unbekannten IP? → Hardware-Key verlangen.
  • Neuer Mitarbeiter? → Automatisch in die richtige Gruppe einordnen.
  • Auffällige Login-Reputation? → CAPTCHA einblenden.

Das alles konfigurieren Sie über die Admin-UI – ohne Code, ohne YAML-Dateien, ohne Java-SPIs.

Leichtgewichtig im Betrieb

Authentik Server und Worker laufen im Idle bei jeweils ca. 375 MB RAM [9]. Der komplette Stack – Server, Worker, PostgreSQL – kommt mit 2–3 GB RAM aus. Seit Version 2025.10 ist sogar Redis als Abhängigkeit komplett weggefallen: Caching, Tasks und WebSocket-Verbindungen laufen jetzt direkt über PostgreSQL [13].

Zum Vergleich: Wo Keycloak allein für sich 2–4 GB RAM beansprucht, betreiben Sie bei Authentik den gesamten Stack in derselben Größenordnung.

Integriert sich in Ihren bestehenden Stack

Authentik bietet fertige Integrations-Guides für die Tools, die im Mittelstand tatsächlich im Einsatz sind:

  • Proxmox VE: SSO-Login per OpenID Connect – konfigurierbar per CLI oder Web-UI [16]
  • OPNsense: Anbindung als LDAP-Server über den Authentik LDAP-Outpost [17]
  • Docker / Coolify: Native Docker-Compose-Installation, passt in jeden Container-Stack [10]
  • Traefik / Nginx: Forward-Auth über den Proxy-Outpost – auch für Anwendungen, die selbst kein SSO können
  • Grafana, Nextcloud, Gitea, n8n: OIDC-Integration in wenigen Minuten

Open Source mit klarem Commitment

Authentik steht unter AGPL-3.0-Lizenz. Das Unternehmen hinter dem Projekt (Authentik Security) hat verbindlich zugesagt, keine Features aus der Open-Source-Version in die Enterprise-Version zu verschieben [15]. Der Trend geht in die andere Richtung: Remote Access Control (RDP, SSH, VNC über den Browser) wurde 2025 von Enterprise zu Open Source verschoben [14].

Authentik vs. Keycloak im direkten Vergleich

Kriterium Keycloak Authentik
Protokolle OAuth2, OIDC, SAML, LDAP, Kerberos OAuth2, OIDC, SAML, LDAP, RADIUS, SCIM
Technologie Java / Quarkus Python (Django) + Go
RAM-Bedarf (Minimum) ~2 GB (nur Keycloak) ~750 MB (Server + Worker)
RAM-Bedarf (Stack) 3–5 GB+ 2–3 GB
Redis erforderlich Nein (Infinispan) Nein (seit 2025.10)
Admin-UI Funktional, aber komplex Modern, intuitiv
Login-Flow-Customizing Theme-Templates (FreeMarker/Java) Visueller Flow-Editor
Upgrade-Aufwand Hoch (Breaking Changes, Downtimes) Moderat (Docker-Image-Update)
Active Directory Tiefe Integration (Federation, Kerberos) LDAP-Sync, ausreichend für die meisten Fälle
Multi-Tenancy Realms (mächtig, aber komplex) Application-basiert (einfacher)
Enterprise-Support Red Hat (kostenpflichtig) Authentik Security (ab 5 €/User/Monat)
Lizenz Apache-2.0 AGPL-3.0
Proxmox-Integration Möglich, aber manuell Offizieller Guide
OPNsense-Integration Möglich via RADIUS/LDAP Offizieller Guide (LDAP-Outpost)

Wann Keycloak trotzdem Sinn macht

Fairness gehört dazu: Keycloak ist nicht schlecht – es ist nur für einen anderen Anwendungsfall gebaut. Keycloak bleibt die richtige Wahl, wenn:

  • Sie Multi-Domain Active Directory Federation mit Kerberos brauchen
  • Sie Hunderte von Realms für Multi-Tenant-Szenarien im Enterprise-Umfeld betreiben
  • Ihr Team Java-Expertise mitbringt und die JVM-Welt kennt
  • Sie Red Hat Enterprise-Support mit SLA benötigen
  • Regulatorische Anforderungen (Finanzbranche, Healthcare) ein jahrelang auditiertes System verlangen

Für die meisten mittelständischen Unternehmen – mit 20 bis 500 Mitarbeitern, einer Handvoll interner Anwendungen und dem Wunsch nach SSO und MFA – ist Keycloak schlicht überdimensioniert.

Die beste Variante: Managed Authentik mit authhost.de

Authentik selbst zu betreiben ist deutlich einfacher als Keycloak – aber es bleibt eine IAM-Lösung, die laufend gewartet werden muss. Sicherheitsupdates, Datenbankpflege, Backup, Monitoring, TLS-Zertifikate – all das kostet Zeit.

authhost.de nimmt Ihnen diesen Aufwand ab. Wir betreiben Ihre Authentik-Instanz als Managed Service auf dedizierter Infrastruktur in Deutschland:

  • Hosting in Deutschland: Ihre Identitätsdaten bleiben in deutschen Rechenzentren. DSGVO-konform, ohne Wenn und Aber.
  • Automatische Updates: Wir halten Ihre Instanz aktuell – inklusive Sicherheitspatches und Major-Version-Upgrades, getestet bevor sie auf Ihr System kommen.
  • Tägliche Backups: Automatisierte Backups mit definierten Recovery-Zeiten.
  • Monitoring & Alerting: Wir überwachen Verfügbarkeit und Performance rund um die Uhr.
  • AVV & TOMs inklusive: Auftragsverarbeitungsvertrag und technisch-organisatorische Maßnahmen für Ihre Compliance-Anforderungen.
  • Persönlicher Support: Deutschsprachiger Support von einem Team, das Authentik im eigenen Stack produktiv einsetzt.

Ab 34,90 €/Monat erhalten Sie eine vollständig verwaltete Authentik-Instanz mit allen Community-Edition-Features – unbegrenzte Nutzer, SSO, MFA, Flows und mehr. Im Business-Plan kommen managed Outposts (RAC, LDAP) und Priority-Support dazu.

Sie konzentrieren sich auf Ihr Kerngeschäft. Wir kümmern uns darum, dass sich Ihre Mitarbeiter sicher und bequem anmelden können.

→ Pläne & Preise ansehen | → Kostenlos testen

Fazit

Keycloak war lange die einzige ernstzunehmende Open-Source-Option für Identity & Access Management. Das hat sich geändert. Authentik bietet eine modernere, leichtgewichtigere und besser wartbare Alternative – mit denselben Kernprotokollen, einer intuitiveren Admin-Oberfläche und einem Bruchteil der operativen Komplexität.

Für mittelständische Unternehmen, die SSO, MFA und zentrale Benutzerverwaltung brauchen, ohne ein dediziertes IAM-Team aufzubauen, ist Authentik die pragmatischere Wahl. Und mit authhost.de wird der Betrieb zum Managed Service – DSGVO-konform, aus Deutschland, mit persönlichem Support.

Jetzt Managed Authentik testen →

Quellen

  1. Keycloak Dokumentation – Memory & CPU Sizing: keycloak.org
  2. Keycloak Dokumentation – Running in a Container: keycloak.org
  3. Keycloak Performance Benchmarks (v26.4): keycloak.org
  4. Keycloak GitHub – Memory Leak Issue #28671: github.com
  5. Sirius Open Source – Problems with Keycloak: siriusopensource.com
  6. Descope – The Top 6 Keycloak Alternatives: descope.com
  7. Keycloak Dokumentation – Migration to Quarkus: keycloak.org
  8. Cloud-IAM – Keycloak Upgrades (Breaking Changes): cloud-iam.com
  9. Authentik GitHub – Idle RAM Usage Issue #17869: github.com
  10. Authentik Dokumentation – Docker Compose Installation: docs.goauthentik.io
  11. Authentik Dokumentation – Flows: docs.goauthentik.io
  12. Authentik Blog – Flows, Stages, and Policies: goauthentik.io
  13. Authentik Release 2025.10 – Redis-Abhängigkeit entfernt: goauthentik.io
  14. Authentik Blog – Open Source RAC & Pricing Updates: goauthentik.io
  15. Authentik Pricing: goauthentik.io
  16. Authentik Integration – Proxmox VE: integrations.goauthentik.io
  17. Authentik Integration – OPNsense: integrations.goauthentik.io
  18. Authentik GitHub Repository: github.com
  19. OpenAlternative – Authentik vs Keycloak (GitHub Stats): openalternative.co
  20. exensio – Keycloak im Mittelstand: exensio.de

Geschrieben von

Timo Wevelsiep

CEO, merkaio

Geschäftsführer von merkaio. Managed Authentik Identity Hosting für Unternehmen weltweit. Fokus auf Identity Management, SSO und Zero-Trust-Architektur.

LinkedIn

Individuelle Anfrage oder Beratung?

Für Enterprise-Anfragen, individuelle Konfigurationen oder eine persönliche Beratung. Schreiben Sie uns eine kurze Nachricht – wir melden uns innerhalb von 24 Stunden bei Ihnen.

Timo Wevelsiep

Ihr Ansprechpartner

Timo Wevelsiep

CEO, merkaio

[email protected]

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.