14.03.2024 · OSmeister · Engineering

Unternehmensweites Single Sign-on mit Keycloak

Ein typisches Unternehmen mit hundert Beschäftigten betreibt fünfzehn bis zwanzig Systeme: E-Mail, Dateien, CRM, Aufgaben-Tracker, Wiki, Buchhaltung, VPN. Jedes mit eigener Nutzerdatenbank und eigenem Passwort. Das Ergebnis ist vorhersehbar: Passwörter landen auf Haftnotizen, werden wiederverwendet, und der Helpdesk verbringt einen erheblichen Teil seiner Zeit mit dem Zurücksetzen.

Single Sign-on (SSO) löst das mit einem architektonischen Zug: Anwendungen speichern gar keine Passwörter mehr und überlassen die Identitätsprüfung einem zentralen Dienst. Man meldet sich morgens einmal an — und alle Systeme öffnen sich ohne weiteren Login. Keycloak ist das verbreitetste offene Produkt dieser Klasse: Es spricht die Standards OpenID Connect und SAML, sodass sich praktisch jede moderne Anwendung anbinden lässt — von Nextcloud und GitLab bis zu Altsystemen über Adapter.

Die Einführung beginnt meist mit der Verzeichnis-Föderation: Keycloak verbindet sich mit dem bestehenden Active Directory oder LDAP und übernimmt alle Konten — niemand muss neu angelegt werden. Danach wechseln die Anwendungen einzeln zu SSO, ohne Big Bang: erst unkritische Dienste, dann E-Mail und Dateien. Der alte Login funktioniert jeweils weiter, bis der neue geprüft ist.

Der Sicherheitsgewinn ist ein eigenes Kapitel. Zwei-Faktor-Authentifizierung wird einmal in Keycloak aktiviert und deckt sofort alle Systeme ab: Einmalcodes, Hardware-Schlüssel oder Push-Bestätigungen. Passwortrichtlinien, Sperrung nach Fehlversuchen, Login-Protokoll — alles aus einer Konsole. Und beim Austritt deaktiviert der Admin ein einziges Konto — in derselben Sekunde schließen alle Zugänge.

Wir führen Keycloak schlüsselfertig ein: Föderation mit Ihrem Verzeichnis, Anbindung der Anwendungen, Zwei-Faktor-Authentifizierung und Admin-Schulung. Schreiben Sie uns über die Kontaktseite — wir skizzieren, wie das in Ihrer Landschaft aussieht.

Mehr

Neueste Beiträge