Vor- und Nachteile von der Open-Source-Lösung Keycloak im Vergleich zu kommerziellen Anbietern
Durch die Implementierung von Identity und Access Management (IAM) können Unternehmen Sicherheitsrisiken minimieren, Compliance-Anforderungen erfüllen und die Effizienz der IT-Verwaltung verbessern. IAM-Systeme ermöglichen es Unternehmen, Benutzerkonten zu erstellen, zu verwalten, zu überprüfen und zu deaktivieren sowie Zugriffsrechte basierend auf den Rollen und Verantwortlichkeiten der Benutzer zuzuweisen. Hierbei muss das Tool selbstverständlich zu den Anforderungen des Unternehmens passen. Je nachdem kann eine kommerzielle oder auch eine Open-Source-Lösung die bessere Wahl sein. Wir haben kürzlich Keycloak in unser Portfolio aufgenommen. In diesem Artikel möchten wir auf die Vor- und Nachteile von IAM auf Open-Source-Basis eingehen und zeigen für welche Unternehmen wir dies empfehlen.
Überblick IAM-Tools
Identity and Access Management (IAM) gehört seit vielen Jahren zum Portfolio der Softline GmbH. Hier arbeiten wir mit verschiedenen Herstellern zusammen, wie der Nexusgroup, SecCommerce, Okta oder ID-Ware.
Wir Softliner untergliedern die Hersteller physisch und digitale Systeme. Unter dem Bereich physisch verstehen wir die Verwaltung von Ausweisen. Hier unterstützen wir zahlreiche Großkunden bei der Implementierung eines ganzheitlichen Systems zur Identitäts- und Ausweisverwaltung. Diese Systeme fungieren oft auch als zentrale Dachlösungen innerhalb größerer IT-Ökosysteme. Unter dem Bereich digital wiederum verstehen wir das klassische IAM - d. h. die Verwaltung von Identitäten, deren Authentifizierung und Autorisierung sowie von Zugriffsrechten auf IT-Ressourcen und -Systeme.
Bei den bisher genannten Herstellern handelt es sich um kommerzielle Angebote. Als Ergänzung unserer Expertise bieten wir nun auch Keycloak als Open-Source-Lösung in unserem IAM-Portfolio an. Dies ermöglicht es uns, auch kleinere und mittelständische Unternehmen anzusprechen, die ein begrenztes Budget haben oder keine umfassende Lösung benötigen.
Gerne möchten wir im Folgenden erläutern, wo unserer Meinung nach die Vor- und Nachteile von Open-Source-Lösungen wie Keycloak liegen und warum wir uns am Ende dafür entschieden haben, diese Lösung in Zukunft anzubieten.
Übersicht über den Funktionsumfang von Keycloak
- Single Sign-On (SSO): Ermöglicht es Benutzern, sich einmal anzumelden und dann auf mehrere Anwendungen zuzugreifen, ohne sich erneut anmelden zu müssen
- Multi-Factor Authentication (MFA): Unterstützt verschiedene MFA-Methoden wie SMS, E-Mail, Authentifizierungs-Apps usw.
- Identity Federation: Integration mit verschiedenen Identitätsanbietern wie Active Directory, EntraID / Azure-AD, Google, etc.
- Fine-Grained Access Control: Definiert detaillierte Autorisierungsrichtlinien basierend auf Benutzerrollen, Gruppenzugehörigkeit und anderen Attributen
- User Self-Service: Ermöglicht es Benutzern, ihr Passwort zurückzusetzen, Profile zu bearbeiten und andere Self-Service-Aktionen durchzuführen
- Benutzerverwaltung: Authentifizierung, Autorisierung und Verwaltung von Benutzern und Identitäten
- Social Login: Erlaubt es Benutzern, sich über soziale Netzwerke und Plattformen wie Google, Facebook, X usw. anzumelden
Keycloak verfügt insgesamt über eine wirklich solide Reihe von Funktionen. Die Lösung überzeugt insbesondere durch seine Souveränität. Im Gegensatz zu Cloud-Lösungen kann Keycloak in einem beliebigen Rechenzentrum, sei es On-Premises oder in der Cloud, eingesetzt werden. Außerdem lässt es sich problemlos zwischen verschiedenen Rechenzentren oder Cloud-Plattformen verschieben. Dies halten wir für einen wichtigen Aspekt, da sich Cloud-Plattformen rasant weiterentwickeln und somit die Wahrscheinlichkeit eines Wechsels oder einer Migration zwischen Plattformen wesentlich höher ist als früher. Sogar der hochverfügbare Betrieb oder eine Failover-Instanz könnte so plattformübergreifend realisiert werden.
Vor- und Nachteile im Überblick
Welchen zusätzlichen Nutzen bieten kommerzielle Produkte im Vergleich zu Open-Source-Lösungen?
Besonders hervorzuheben sind hier die App-Kataloge, in denen eine Vielzahl gängiger Anwendungen zu finden sind, die sich mit nur wenigen Mausklicks integrieren lassen. Gerade bei der Provisionierung von Identitätsdaten in angebundenen Systemen müssen oft proprietäre Schnittstellen bedient werden. Durch die Verwendung bereits implementierter Konnektoren aus dem App-Katalog können erhebliche Einsparungen durch den Aufwand für die Entwicklung und Wartung einer individuellen Lösung erzielt werden.
Auch im Bereich der MFA-Verfahren bieten kommerzielle Produkte eine erweiterte Vielfalt, darunter auch phishingresistente Verfahren. Viele MFA-Methoden erfordern eine Nutzerinteraktion, wie z. B. die Eingabe eines per App oder SMS erhaltenen Einmalkennworts, was potenziell anfällig für Phishing-Angriffe ist. Phishingresistente Verfahren eliminieren diese Nutzerinteraktion aus dem Authentifizierungsprozess, wie es beispielsweise bei FIDO-Token der Fall ist. Diese etablieren eine robuste Bindung zwischen Authentifizierungstoken und Dienstanbieter, die Phishing-Angriffe wirkungsvoll verhindert.
Als letzten Punkt wollen wir noch Conditional Access erwähnen, bei dem der Zugriff auf Ressourcen nicht nur durch Benutzerattribute oder Rollenzugehörigkeit gesteuert wird, sondern auch durch anderweitige Signale wie Standort (Lokation) oder Geräteinformationen. Dies ermöglicht eine deutlich präzisiere Zugriffskontrolle.
Die verfügbaren Lösungen auf dem Markt weisen eine Vielzahl von Eigenschaften und Mehrwerten auf, die hier nicht erschöpfend behandelt werden können. Aus diesem Grund beschränken wir uns auf die oben aufgeführten Aspekte.
Fehlender Support als Manko von Open-Source-Lösungen
Neben der funktionalen Bewertung ist die Beachtung von Support und Wartung von großer Relevanz. Bei Open-Source-Software fehlt oft ein direkter technischer Ansprechpartner für Unternehmen. Stattdessen müssen Unternehmen auf die Unterstützung der Community hoffen, was zu Verzögerungen bei der Lösung von kritischen Sicherheitslücken führen kann, wie es z. B. bei der signifikanten log4j-Sicherheitslücke Ende 2021 der Fall war.
Aus diesem Grund hat die Softline beschlossen, eine Partnerschaft mit der in Wiesbaden ansässigen Firma Bare.ID einzugehen. Die Bare.ID erweitert Keycloak um zusätzliche Funktionen, insbesondere im Bereich des Provisioning, das in der Open-Source-Lösung nur begrenzt behandelt wird. Zudem bietet sie jederzeit einen technischen Ansprechpartner, der nicht nur eine zeitnahe Behebung von Sicherheitslücken garantiert, sondern auch wertvolle Unterstützung bei der Inbetriebnahme leistet. Der Support wird in Englisch und Deutsch angeboten.
Unser Fazit
Keycloak ist insbesondere für kleinere und mittlere Unternehmen eine kostengünstige Alternative zu kommerziellen Anbietern, die oft zu kostenintensiv sind oder deren Leistungsumfang deutlich über den Anforderungen liegt. Keycloak verfügt zwar über keinen Support und keine Wartung, dieser Nachteil wird durch Softlines Partnerschaft mit Bare.ID aber komplett ausgeglichen, da sie diesen Support und darüber hinaus zusätzliche Funktionen für Keycloak anbieten. Keycloak ist unserer Meinung nach daher eine wirklich empfehlenswerte Alternative.
