Zurück zum Blog|Identity

Authentik vs. Authelia vs. Keycloak 2026: Der große SSO-Vergleich für Self-Hoster

7. Mai 2026
Timo Wevelsiep
authhost

Authentik vs. Authelia vs. Keycloak 2026: Der große SSO-Vergleich für Self-Hoster

Authentik, Authelia und Keycloak im Direktvergleich: Architektur, Features, Ressourcen, Setup-Komplexität, Sicherheit und Use-Cases. Für Homelab, KMU und Enterprise.

authhost.de Blog

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Drei Open-Source-Tools, drei fundamental unterschiedliche Philosophien. Authelia ist der schlanke Auth-Gateway für Reverse Proxies – ein Container, 25 MB RAM, in 2 Minuten gestartet. Authentik ist der moderne, vollständige Identity Provider mit visueller Flow Engine und allen gängigen Protokollen – die selbstgehostete Okta-Alternative. Keycloak ist das Enterprise-Schwergewicht von Red Hat – mächtig, ausgereift, aber resourcen-hungrig und komplex. Welches Tool für Ihr Setup das richtige ist, hängt nicht von „besser oder schlechter" ab, sondern von Use-Case, Team-Expertise und Skalierungsanforderung.

Auch interessant: Authentik vs. Authelia 2026: 1-zu-1-Vergleich · Keycloak Alternative für den Mittelstand

Kurzvergleich: Drei Identity Provider auf einen Blick

Kriterium Authentik Authelia Keycloak
Typ Vollständiger IdP Auth-Gateway Enterprise-IAM
Sprache Python/Django + TS Go + React Java + Quarkus
OIDC/OAuth2 ✓ (zertifiziert)
SAML 2.0 ✓ Provider ✗ (Roadmap) ✓ Provider + Broker
LDAP-Server ✓ (Outpost) ✗ (nur Backend) ✓ Federation
SCIM ✓ (mit Erweiterung)
Application Proxy ✓ (Forward-Auth)
Flow Engine ✓ (visuell) ✗ (Authentication Flows in YAML/Code)
Multi-Realm Single-Tenant + Mandanten ✓ (Realms)
Docker-Image ~336 MB ~25 MB ~253 MB
RAM (idle) ~150–200 MB ~25 MB ~1.250 MB+
Lizenz MIT Apache 2.0 Apache 2.0
Erste Version 2018 2016 2014
GitHub Stars ~21.400 ~27.700 ~34.300
Contributors 540+ ~290 12.000+ (CNCF-Ökosystem)
CNCF-Status Incubating (seit April 2023)
Bekannte CVEs 26 (5 critical, 13 high) 5 (0 critical, 1 high) 50+ (lange Geschichte, breiter Scope)
Managed Hosting ✓ (authhost) ✓ (mehrere Anbieter)

Inhaltsverzeichnis

Authelia: Der schlanke Auth-Gateway

Position im Markt

Authelia (geschrieben in Go, seit 2016) ist kein Identity Provider im klassischen Sinne – es ist ein Forward-Auth-Gateway, der vor einem Reverse Proxy (Nginx, Traefik, Caddy, HAProxy) sitzt und Login + MFA erzwingt, bevor Anfragen die eigentliche Anwendung erreichen. Seit Mai 2025 ist Authelia OpenID-Certified.

Stärken

  • Extrem leichtgewichtig: Single Binary, ~25 MB RAM, Container ~25 MB
  • Schneller Setup: Ein Container, eine YAML-Datei, in 2 Minuten produktiv
  • Sicher: Argon2-Hashing default, nur 5 GHSA-Advisories (1 high, 0 critical) in der gesamten Projektgeschichte
  • Forward-Auth-Spezialist: Nahtlose Integration mit allen großen Reverse Proxies
  • MFA-Methoden: TOTP, WebAuthn/Passkeys, Duo Push, Email
  • Open Source: Apache 2.0, kein Vendor Lock-in

Limitationen

  • Kein SAML-Provider: Steht seit Jahren auf der Roadmap (Issue #493), Stand Mai 2026 nicht implementiert
  • Kein LDAP-Server: Authelia kann LDAP als Backend für Authentifizierung nutzen, aber keinen LDAP-Dienst bereitstellen
  • Kein SCIM-Provisioning: Manuelles Onboarding/Offboarding
  • Kein RADIUS: Keine Netzwerk-Authentifizierung für VPN/WLAN/Switches
  • Kein Application Proxy: Apps ohne native SSO-Unterstützung können nicht abgesichert werden
  • Keine grafische Admin-UI: Konfiguration nur über YAML, keine User-Management-Oberfläche
  • Kein User-Self-Service: Endnutzer können MFA nicht eigenständig verwalten (außer Passwort-Reset)

Ideale Use-Cases

  • Homelabs mit 3–10 Web-Anwendungen
  • Kleine Self-Hosting-Setups mit Nginx/Traefik
  • Edge-Authentifizierung vor öffentlich exponierten Services
  • Setups, in denen MFA-Erzwingung der Hauptbedarf ist

Authentik: Der moderne Identity Provider

Position im Markt

Authentik (Python/Django + TypeScript Frontend, seit 2018) positioniert sich als selbstgehostete Okta-Alternative: vollständiger Identity Provider mit allen gängigen Protokollen, einer visuellen Flow Engine als Alleinstellungsmerkmal und einem modernen Admin-UI. Entwickelt von Authentik Security, Inc. (Public Benefit Corporation seit 2022, Open Core Ventures-Backed) – mit kommerzieller Enterprise-Edition seit 2024 (Pricing-Update Anfang 2025). Aktuelle Version: 2026.2.x.

Stärken

  • Vollständiger Protokoll-Support: OIDC, OAuth2, SAML 2.0, LDAP, SCIM, RADIUS, Kerberos
  • Flow Engine: Authentifizierungsabläufe visuell modellieren – Stages, Policies, Provider per Drag-and-Drop, ohne Code
  • Application Proxy: SSO für Anwendungen, die kein OIDC oder SAML sprechen, ohne App-Modifikation
  • Modernes Admin-Dashboard: Übersichtlich, intuitiv, geeignet auch für nicht-technische Admins
  • Multi-Faktor-Vielfalt: TOTP, WebAuthn/Passkeys, SMS, E-Mail OTP, Mobile Push
  • Conditional Access: GeoIP-Checks, Impossible-Travel-Detection, Device Posture, Reputation Scoring
  • SCIM-Provisioning: Automatisches On-/Offboarding aus HR-Systemen
  • Open Source: MIT-Lizenz für die Community Edition, kommerziell nutzbar

Limitationen

  • Höherer Ressourcenbedarf: ~250–350 MB RAM Gesamt-Stack (Authentik + PostgreSQL; seit Release 2025.10 ohne Redis)
  • Kein nativer Multi-Realm: Mandanten existieren, aber nicht so tief wie Keycloak-Realms
  • 26 gemeldete GHSA-Advisories (5 critical, 13 high): mehr als Authelia, weil größere Codebasis und Admin-UI als Angriffsfläche
  • Komplexer initialer Setup: Multiple Container (Server, Worker, optionale Outposts), 15–20 Min Docker-Compose

Ideale Use-Cases

  • KMU mit 20–500 Mitarbeitern und gemischtem Anwendungsportfolio
  • Setups mit Legacy-Anwendungen, die Application Proxy brauchen
  • Mandanten- und kundenseitige IdP-Anbindung
  • Unternehmen mit Compliance-Anforderungen, die Conditional Access brauchen
  • Organisationen mit DSGVO-Fokus, die kein US-Cloud-IdP wollen

Keycloak: Das Enterprise-Schwergewicht

Position im Markt

Keycloak (Java + Quarkus, seit 2014, ursprünglich von JBoss/Red Hat) ist das älteste der drei Projekte und das einzige im CNCF Incubating Status (seit 10. April 2023). Es wird von Red Hat aktiv weiterentwickelt – die kommerzielle Version heißt „Red Hat build of Keycloak". Aktuelle Version: 26.6.1 (April 2026).

Stärken

  • Größte Reife und Stabilität: Über 10 Jahre Entwicklung, 12.000+ Contributors im CNCF-Ökosystem (LFX Insights; Repo direkt: ~1.800)
  • Multi-Realm-Architektur: Mehrere isolierte Identity-Welten in einer Instanz – ideal für Multi-Mandanten-SaaS
  • Native LDAP/AD-Federation: Tiefe Integration mit Active Directory
  • Identity Brokering: Verkettung mehrerer externer IdPs als Frontend für Anwendungen
  • Authorization Services: Fein granulare RBAC und Resource-Based Access Control (UMA 2.0)
  • Social Login: Out-of-the-box Integration mit Google, Facebook, GitHub etc.
  • Theming und Customization: Vollständig anpassbar
  • Red-Hat-Support: Kommerzieller Enterprise-Support verfügbar
  • CNCF-Projekt: Strategisch gut aufgestellt für langfristige Stabilität

Limitationen

  • Hohe Ressourcenanforderungen: Laut Red-Hat-Dokumentation mindestens 1.250 MB RAM für Basis-Konfiguration mit 10.000 gecachten Sessions; produktiv eher 2–4 GB
  • CPU-Sizing: 1 vCPU pro 15 Password-Logins/Sekunde (Red Hat Empfehlung) plus 150 % Headroom
  • Steile Lernkurve: Realms, Clients, Roles, Mappers, Authentication Flows in YAML/Code – Admin-Konsole gilt als überfrachtet
  • Java-Stack: JVM-Tuning (Heap, Garbage Collector, MaxRAMPercentage) gehört zum Betriebsalltag
  • Updates riskant: Major-Updates bringen regelmäßig Breaking Changes – kennen viele Keycloak-Admins
  • Keine native SCIM-Unterstützung: Nur über Erweiterungen
  • Schwergewichtiger Container: ~253 MB Image (mit deutlich höherem RAM-Footprint im Betrieb)
  • Speicher wächst über Zeit: Bekanntes Verhalten in Long-Running-Deployments (Issue #28211)

Ideale Use-Cases

  • Großkonzerne mit vielen Tochterunternehmen (Multi-Realm)
  • B2B-SaaS mit komplexen Mandanten-Strukturen
  • Unternehmen mit tiefer Active-Directory-Integration
  • Organisationen, die Identity Brokering brauchen
  • Teams mit existierender Java- und Red-Hat-Expertise

Architektur-Vergleich

Authelia: Forward-Auth-Schicht

Nutzer ──► Reverse Proxy (Traefik/Nginx) ──► Authelia (Auth-Check) ──► App
                                                  │
                                            MFA, Session, OIDC

Authelia entscheidet pro Anfrage, ob der Nutzer passieren darf. Die App hinter dem Proxy weiß nichts über den Nutzer – außer was via HTTP-Header übergeben wird.

Authentik: Zentrale Identitätsplattform

Nutzer ──► Authentik (Login, MFA, Flow Engine) ──► Token/Session
                    │
        ┌───────────┼───────────┬──────────────┐
        ▼           ▼           ▼              ▼
   OIDC-App    SAML-App    LDAP-Gerät    Proxy-App

Authentik ist die zentrale Stelle, an der sich Anwendungen authentifizieren. Apps sprechen direkt mit Authentik via OIDC, SAML, LDAP oder Application Proxy.

Keycloak: Multi-Realm-Federation

Nutzer ──► Keycloak Realm A ──► OIDC/SAML
              │
       LDAP/AD Federation     ┌── App 1 (Realm A)
              │              │
       Identity Brokering ────┼── App 2 (Realm B, eigene User)
              │              │
       Authorization Services └── External IdP (Google, Azure AD)

Keycloak verwaltet mehrere isolierte Identity-Welten („Realms") parallel. Jeder Realm hat eigene Nutzer, Gruppen, Clients und Policies. Identity Brokering verkettet externe IdPs.

Ressourcen und Performance

Speicher- und CPU-Bedarf

Komponente Authelia Authentik Keycloak
Docker-Image ~25 MB ~336 MB ~253 MB
RAM (App, idle) ~25 MB ~150–200 MB ~1.250 MB
PostgreSQL ~100 MB (oder SQLite) ~100–150 MB ~200 MB
Redis Optional Nicht nötig (seit Release 2025.10) Optional (Infinispan)
RAM gesamt (idle) ~125 MB ~250–350 MB ~1.450–2.000 MB+
CPU (idle) <1 % 1–3 % 3–8 %
Empfohlener Server 1 vCPU, 1 GB RAM 2 vCPU, 2 GB RAM 4 vCPU, 8 GB RAM

Quelle: Red-Hat-Dokumentation für Keycloak-Sizing, Cerbos und elest.io für Vergleiche.

Skalierung

  • Authelia: Horizontal skalierbar, da stateless. Alle drei Mandantenformen werden vom Reverse-Proxy-Setup behandelt
  • Authentik: Horizontal skalierbar über Worker-Container und Outposts; shared State seit Release 2025.10 über PostgreSQL statt Redis
  • Keycloak: Cluster-Modus mit Infinispan, ausgelegt für Hunderte von Pods – aber Memory wächst über Zeit, regelmäßige Restarts empfohlen

Setup-Komplexität

Setup-Zeit (vom Docker-Compose-Start zum funktionierenden Login)

Tool Zeit Komplexität
Authelia 2–10 Minuten Niedrig (1 Container + YAML)
Authentik 15–20 Minuten Mittel (3–4 Container, Admin-UI-Setup)
Keycloak 30–60 Minuten Hoch (Realms, Clients, Mappers, Authentication Flows)

Konfigurationsmodell

Authelia: YAML-Datei. Jede Änderung erfordert Reload/Restart. Kein Web-UI für Konfiguration.

Authentik: Konfiguration über Web-UI. Flows visuell per Drag-and-Drop. Änderungen greifen sofort.

Keycloak: Konfiguration über Admin-Konsole oder Admin-CLI. Komplexes Datenmodell (Realms → Clients → Mappers → Authentication Flows → Policies). Steile Lernkurve.

Tooling

  • Authelia: Helm-Charts, Docker-Compose, Kubernetes-Operator
  • Authentik: Docker-Compose offiziell unterstützt, Helm-Charts community-gepflegt
  • Keycloak: Offizieller Operator, Helm-Charts, Red-Hat-OpenShift-Templates

Sicherheit

CVE-Historie

Tool CVEs (Stand 2026) Davon hoch/kritisch Hauptangriffsfläche
Authelia 5 GHSA 1 high (0 critical) Auth-Bypass
Authentik 26 GHSA 18 (5 critical, 13 high) Admin-UI, Flow Engine
Keycloak 50+ (lange Historie) viele Admin-Konsole, REST-APIs, OIDC-Flows

Die niedrige Authelia-Zahl resultiert vor allem aus der kleineren Angriffsfläche – kein Admin-UI, kein Multi-Protokoll-Stack, schlanker Funktionsumfang (Stand Mai 2026: kein einziges Critical). Keycloaks 50+ CVEs verteilen sich über 10+ Jahre und sind vergleichbar mit anderen Enterprise-IAM-Lösungen.

Hardening-Empfehlungen

  • Authelia: Standardmäßig sicher, Argon2-Hashing default. Wenig zu härten.
  • Authentik: Admin-UI per ACL einschränken, Posture Checks aktivieren, Encryption at Rest für PostgreSQL.
  • Keycloak: JVM-Tuning, Realm-Isolation prüfen, SPI-Erweiterungen auditieren, regelmäßige Major-Update-Tests.

Lizenz und Community

Lizenzmodelle

  • Authelia: Apache 2.0 – pure Community, keine Enterprise-Edition, 3 Hauptmaintainer in Freizeit
  • Authentik: MIT für Community Edition (Inhalte außerhalb enterprise/), kommerzielle Enterprise-Edition seit 2024 ($5/User/Monat + $0,02/External User; Pricing-Update Anfang 2025) – entwickelt von Authentik Security, Inc.
  • Keycloak: Apache 2.0, gestützt durch Red Hat (kommerzielle Variante: Red Hat build of Keycloak), CNCF Incubating Project

Community-Größe (Mai 2026)

Tool GitHub Stars Contributors Aktive Maintainer
Authelia ~27.700 ~290 3 (Freizeit)
Authentik ~21.400 540+ Unternehmen (Authentik Security, Inc.)
Keycloak ~34.300 12.000+ (CNCF-Ökosystem; Repo: ~1.800) Red Hat + CNCF

Entscheidungsmatrix

Wählen Sie Authelia, wenn:

  • Sie ein Homelab mit 3–10 Apps betreiben
  • Ressourcen knapp sind (Raspberry Pi, Mini-PC, NAS)
  • Sie nur Login + MFA vor einem Reverse Proxy brauchen
  • Sie kein Web-UI für Konfiguration benötigen
  • Sie YAML-Konfiguration komfortabel finden

Wählen Sie Authentik, wenn:

  • Sie 20+ Nutzer und gemischtes App-Portfolio haben
  • Sie SAML 2.0 für Microsoft 365, Salesforce oder AWS SSO brauchen
  • Sie LDAP-Server für NAS, Firewall oder Netzwerkgeräte benötigen
  • Sie SCIM-Provisioning für automatisches On-/Offboarding wollen
  • Sie Application Proxy für Legacy-Apps ohne native SSO-Unterstützung einsetzen müssen
  • Sie ein modernes Web-UI für Admins und Endnutzer wollen
  • Sie Conditional Access mit GeoIP/Impossible-Travel benötigen

Wählen Sie Keycloak, wenn:

  • Sie tiefe Active-Directory-Integration brauchen
  • Sie mehrere Mandanten mit echter Realm-Trennung verwalten
  • Sie Identity Brokering mit vielen externen IdPs nutzen
  • Sie Authorization Services / UMA 2.0 brauchen
  • Sie ein Java-Team und Red-Hat-Support haben
  • Sie KRITIS sind und einen Tier-1-Anbieter brauchen
  • Speicher und Setup-Aufwand kein Hindernis sind

authhost: Managed Authentik ohne Betriebsaufwand

Wer Authentik produktiv betreiben will, ohne sich um Updates, Backup, Monitoring und Skalierung zu kümmern, nutzt authhost:

  • Dedizierte Authentik-Instanz in 8 Regionen weltweit
  • Deutschland: ISO 27001 & BSI C5 zertifizierte Rechenzentren
  • Andere Regionen: ISO 27001 & SOC 2 Type II
  • Flatrate-Pricing ab 34,90 €/Monat (jährlich), keine Per-User-Gebühren
  • Setup in Minuten über das merkaio Self-Service-Portal

Jetzt testen: merkaio Self-Service-Portal7 Tage kostenlos.

Fazit

Es gibt kein „bestes" SSO-Tool – nur das richtige für Ihren Kontext.

Authelia ist die rationale Wahl für Homelabs und kleine Setups. Wer aus dem ressourcen-bewussten Self-Hosting kommt, fährt mit Authelia in 90 % der Fälle gut.

Authentik ist die pragmatische Wahl für KMU und wachsende Unternehmen. Es bietet 80 % der Keycloak-Funktionalität bei deutlich geringerer Komplexität – und mit dem Flow Engine sogar Möglichkeiten, die Keycloak nicht hat.

Keycloak ist die strategische Wahl für Enterprise-Setups mit hoher Komplexität, Multi-Realm-Anforderungen und Java-Expertise. Es bleibt der Goldstandard für IAM in Großkonzernen – mit allem, was an Lernkurve und Ressourcenbedarf dazugehört.

Für die meisten KMU und Self-Hoster, die zwischen den drei wählen, ist Authentik der Sweet Spot – und mit authhost auch ohne DevOps-Aufwand betreibbar.

Lesetipp: Authentik vs. Authelia 2026: 1-zu-1-Vergleich · Keycloak Alternative für den Mittelstand

Quellen

Häufige Fragen

Was ist der schnellste Weg zu Single Sign-On für mein Self-Hosting-Setup?
Für reine Login-Vorschaltung mit MFA hinter einem Reverse Proxy: Authelia. Ein Container, ~25 MB RAM, in 2 Minuten am Start. Sobald Sie SAML, LDAP-Server, SCIM oder eine grafische Flow-Engine brauchen: Authentik. Für komplexe Enterprise-IAM mit Multi-Realm und Identity Brokering: Keycloak.
Welcher Identity Provider braucht am wenigsten Ressourcen?
Authelia ist mit Abstand am leichtgewichtigsten: ~20–25 MB RAM, einzelner Go-Binary. Authentik benötigt ~150–200 MB RAM (Python/Django + PostgreSQL; seit Release 2025.10 ohne Redis). Keycloak liegt bei mindestens 1.250 MB RAM für die Basis-Konfiguration laut Red-Hat-Dokumentation – produktiv eher 2–4 GB.
Welcher Provider ist am besten dokumentiert und ausgereift?
Keycloak ist das älteste Projekt (seit 2014), wird von Red Hat entwickelt, ist seit April 2023 ein CNCF-Incubating-Projekt und hat ~34.000 GitHub Stars sowie über 12.000 Contributors im CNCF-Ökosystem (LFX Insights). Authelia (~27.700 Stars) und Authentik (~21.400 Stars) sind jünger, aber beide stabil produktionsreif.
Welcher hat die wenigsten Sicherheitslücken?
Authelia hat historisch nur 5 GHSA-Advisories (1 high, 0 critical) – primär wegen kleinerer Angriffsfläche (kein Admin-UI, schlanker Funktionsumfang). Authentik hat 26 GHSA-Advisories (5 critical, 13 high), Keycloak deutlich mehr durch lange Geschichte und breiten Funktionsumfang. Mehr Features = mehr Angriffsfläche.
Wann sollte ich Keycloak wählen statt Authentik?
Wenn Sie Multi-Realm-Architektur, tiefe LDAP-Federation mit Active Directory, Identity Brokering mit vielen externen IdPs oder fein granulare Authorization Services brauchen. Auch wenn Ihr Team bereits Java-Erfahrung hat und Sie Red-Hat-Support brauchen.
Wann reicht Authelia und wann brauche ich Authentik?
Authelia reicht, wenn Sie nur Login + MFA vor einem Reverse Proxy für eine Handvoll Web-Anwendungen brauchen – typisch Homelab oder kleines Self-Hosting-Setup. Authentik brauchen Sie, sobald: SAML für Microsoft 365 oder Salesforce, LDAP-Server für NAS/Firewall, SCIM für automatisches Onboarding, Application Proxy für Legacy-Apps, oder ein vollständiges User-Management-Dashboard.
Was ist authhost?
authhost ist Managed Authentik Hosting von merkaio. Dedizierte Instanzen, gehostet in 8 Regionen weltweit. Deutschland: ISO 27001 & BSI C5 zertifizierte Rechenzentren. Flatrate ab 34,90 €/Monat, keine Per-User-Gebühren, kein Lizenzaufwand. Sie bekommen die volle Authentik-Funktionalität ohne Betriebsaufwand.
Kann ich später zwischen den Tools wechseln?
Ja, alle drei unterstützen OIDC/SAML als Standardprotokolle, sodass Anwendungen kompatibel bleiben. Migration bedeutet aber: User neu anlegen oder synchronisieren, Anwendungen neu konfigurieren, Sessions invalidieren. Es existieren keine offiziellen Auto-Migrationstools zwischen den drei Tools – aber das authhost-Team unterstützt bei der Planung.

Geschrieben von

Timo Wevelsiep

Founder, merkaio

Gründer von merkaio. Managed Authentik Identity Hosting. Fokus auf Identity Management, SSO und Zero-Trust-Architektur.

LinkedIn

Individuelle Anfrage oder Beratung?

Für Enterprise-Anfragen, individuelle Konfigurationen oder eine persönliche Beratung. Schreiben Sie uns eine kurze Nachricht – wir melden uns innerhalb von 24 Stunden bei Ihnen.

Timo Wevelsiep

Ihr Ansprechpartner

Timo Wevelsiep

Gründer, merkaio

[email protected]

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.