Zurück zum Blog|Identity

Keycloak Alternative für den Mittelstand: Warum Authentik die bessere Wahl ist

31. März 2026
Timo Wevelsiep
authhost

Keycloak Alternative für den Mittelstand: Warum Authentik die bessere Wahl ist

Keycloak ist überdimensioniert für den Mittelstand. Authentik bietet SSO, MFA, LDAP & SAML in einem modernen, leichtgewichtigen Paket. Vergleich, Fakten & Managed Hosting.

authhost.de Blog

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Inhaltsverzeichnis

Das Problem mit Keycloak

Keycloak ist mächtig. Keine Frage. Das von Red Hat entwickelte Open-Source-IAM-System existiert seit über 13 Jahren, hat mehr als 32.000 GitHub Stars [19] und wird weltweit in Enterprise-Umgebungen eingesetzt. Es unterstützt OAuth 2.0, OpenID Connect, SAML 2.0, LDAP Federation, Identity Brokering und feingranulare Autorisierung.

Aber Keycloak hat ein grundsätzliches Problem: Es wurde für Großunternehmen gebaut – und verhält sich auch so.

Ressourcenhunger, der wehtut

Keycloak basiert auf Java und dem Quarkus-Framework. Allein die Basis-RAM-Nutzung liegt bei rund 1.250 MB pro Pod – ohne Last, nur für Realm-Caches und Sessions [1]. Die offizielle Empfehlung für produktive Container-Deployments: mindestens 2 GB RAM-Limit [2]. In der Praxis brauchen Sie eher 3–4 GB, sobald Sie ein paar Realms, Clients und aktive Sessions haben.

Dazu kommt ein bekanntes Problem: Keycloak neigt zu steigendem Speicherverbrauch über die Zeit [4]. JVM-Tuning mit Parametern wie MaxRAMPercentage, MaxHeapFreeRatio und der Wahl des richtigen Garbage Collectors gehört zum Betriebsalltag. Wer sich nicht mit Java-Interna auskennt, hat ein Problem.

Komplexität, die Teams ausbremst

Der Weg von docker run zur produktionsreifen Keycloak-Instanz ist weit. Hostname-Konfiguration, TLS-Setup, Reverse-Proxy-Anbindung, Datenbank-Optimierung, Infinispan-Cache-Tuning – all das erfordert tiefes Fachwissen. Die Admin-Konsole wird regelmäßig als wenig intuitiv beschrieben [6]. Das Customizing von Login-Seiten erfordert die Arbeit mit komplexen Theme-Templates, nicht mit einem modernen UI-Editor.

Eine TCO-Analyse von Sirius Open Source beziffert die operativen Kosten für den Eigenbetrieb von Keycloak über drei Jahre auf rund 142.000 € – bei einem wöchentlichen Wartungsaufwand von über drei Stunden [5]. Das „kostenlose" Open-Source-Tool ist in der Praxis alles andere als günstig.

Upgrade-Schmerzen als Dauerzustand

Major-Version-Upgrades bei Keycloak sind regelmäßig mit Breaking Changes verbunden. Die Migration von WildFly zu Quarkus (ab Version 17) war ein erheblicher Einschnitt [7]. Custom Themes, SPI-Extensions und Cache-Konfigurationen müssen bei Versionssprüngen oft angepasst werden. Downtimes bei Upgrades sind keine Seltenheit – weil sich die internen Cache-Libraries zwischen Versionen nicht vertragen [8].

Für ein mittelständisches IT-Team mit drei bis fünf Leuten, das nebenbei noch den Rest der Infrastruktur betreut, ist das kein nachhaltiges Betriebsmodell.

Authentik: Die moderne Alternative

Authentik ist ein Open-Source Identity Provider, der 2018 gestartet wurde und sich explizit als einfachere, modernere Alternative zu Keycloak positioniert. Das Projekt hat inzwischen über 20.000 GitHub Stars [19] und wird aktiv weiterentwickelt – mit einem klaren Fokus auf Developer Experience und Self-Hosting.

Dieselben Protokolle, weniger Komplexität

Authentik unterstützt alle relevanten Standards: OAuth 2.0, OpenID Connect, SAML 2.0, LDAP, RADIUS und SCIM. Für die allermeisten Anwendungsfälle im Mittelstand – SSO für interne Anwendungen, MFA für Mitarbeiter, zentrale Benutzerverwaltung – bietet Authentik denselben Funktionsumfang wie Keycloak.

Der entscheidende Unterschied: Sie brauchen kein Java-Expertenwissen, um es zu betreiben. Authentik ist in Python (Django) und Go geschrieben und von Grund auf für Container-Deployments konzipiert.

Flow-basierte Authentifizierung: Flexibel ohne Code

Das Herzstück von Authentik ist das Flow-System [11]. Statt starrer Konfigurationsmasken definieren Sie Authentifizierungs-Workflows aus einzelnen „Stages" – Identifikation, Passwort, MFA, Consent – und steuern diese per Policy dynamisch [12].

Ein Standard-Login-Flow besteht beispielsweise aus drei Stages: Der Nutzer identifiziert sich (Username/E-Mail), gibt sein Passwort ein, und wird eingeloggt. Darauf aufbauend können Sie kontextabhängige Regeln definieren:

  • Zugriff aus dem Firmennetzwerk? → 2FA überspringen.
  • Login von einer unbekannten IP? → Hardware-Key verlangen.
  • Neuer Mitarbeiter? → Automatisch in die richtige Gruppe einordnen.
  • Auffällige Login-Reputation? → CAPTCHA einblenden.

Das alles konfigurieren Sie über die Admin-UI – ohne Code, ohne YAML-Dateien, ohne Java-SPIs.

Leichtgewichtig im Betrieb

Authentik Server und Worker laufen im Idle bei jeweils ca. 375 MB RAM [9]. Der komplette Stack – Server, Worker, PostgreSQL – kommt mit 2–3 GB RAM aus. Seit Version 2025.10 ist sogar Redis als Abhängigkeit komplett weggefallen: Caching, Tasks und WebSocket-Verbindungen laufen jetzt direkt über PostgreSQL [13].

Zum Vergleich: Wo Keycloak allein für sich 2–4 GB RAM beansprucht, betreiben Sie bei Authentik den gesamten Stack in derselben Größenordnung.

Integriert sich in Ihren bestehenden Stack

Authentik bietet fertige Integrations-Guides für die Tools, die im Mittelstand tatsächlich im Einsatz sind:

  • Proxmox VE: SSO-Login per OpenID Connect – konfigurierbar per CLI oder Web-UI [16]
  • OPNsense: Anbindung als LDAP-Server über den Authentik LDAP-Outpost [17]
  • Docker / Coolify: Native Docker-Compose-Installation, passt in jeden Container-Stack [10]
  • Traefik / Nginx: Forward-Auth über den Proxy-Outpost – auch für Anwendungen, die selbst kein SSO können
  • Grafana, Nextcloud, Gitea, n8n: OIDC-Integration in wenigen Minuten

Open Source mit klarem Commitment

Authentik steht unter der MIT-Lizenz. Das Unternehmen hinter dem Projekt (Authentik Security) hat verbindlich zugesagt, keine Features aus der Open-Source-Version in die Enterprise-Version zu verschieben [15]. Der Trend geht in die andere Richtung: Remote Access Control (RDP, SSH, VNC über den Browser) wurde 2025 von Enterprise zu Open Source verschoben [14].

Authentik vs. Keycloak im direkten Vergleich

Kriterium Keycloak Authentik
Protokolle OAuth2, OIDC, SAML, LDAP, Kerberos OAuth2, OIDC, SAML, LDAP, RADIUS, SCIM
Technologie Java / Quarkus Python (Django) + Go
RAM-Bedarf (Minimum) ~2 GB (nur Keycloak) ~750 MB (Server + Worker)
RAM-Bedarf (Stack) 3–5 GB+ 2–3 GB
Redis erforderlich Nein (Infinispan) Nein (seit 2025.10)
Admin-UI Funktional, aber komplex Modern, intuitiv
Login-Flow-Customizing Theme-Templates (FreeMarker/Java) Visueller Flow-Editor
Upgrade-Aufwand Hoch (Breaking Changes, Downtimes) Moderat (Docker-Image-Update)
Active Directory Tiefe Integration (Federation, Kerberos) LDAP-Sync, ausreichend für die meisten Fälle
Multi-Tenancy Realms (mächtig, aber komplex) Application-basiert (einfacher)
Enterprise-Support Red Hat (kostenpflichtig) Authentik Security (ab 5 €/User/Monat)
Lizenz Apache-2.0 MIT
Proxmox-Integration Möglich, aber manuell Offizieller Guide
OPNsense-Integration Möglich via RADIUS/LDAP Offizieller Guide (LDAP-Outpost)

Wann Keycloak trotzdem Sinn macht

Fairness gehört dazu: Keycloak ist nicht schlecht – es ist nur für einen anderen Anwendungsfall gebaut. Keycloak bleibt die richtige Wahl, wenn:

  • Sie Multi-Domain Active Directory Federation mit Kerberos brauchen
  • Sie Hunderte von Realms für Multi-Tenant-Szenarien im Enterprise-Umfeld betreiben
  • Ihr Team Java-Expertise mitbringt und die JVM-Welt kennt
  • Sie Red Hat Enterprise-Support mit SLA benötigen
  • Regulatorische Anforderungen (Finanzbranche, Healthcare) ein jahrelang auditiertes System verlangen

Für die meisten mittelständischen Unternehmen – mit 20 bis 500 Mitarbeitern, einer Handvoll interner Anwendungen und dem Wunsch nach SSO und MFA – ist Keycloak schlicht überdimensioniert.

Die beste Variante: Managed Authentik mit authhost.de

Authentik selbst zu betreiben ist deutlich einfacher als Keycloak – aber es bleibt eine IAM-Lösung, die laufend gewartet werden muss. Sicherheitsupdates, Datenbankpflege, Backup, Monitoring, TLS-Zertifikate – all das kostet Zeit.

authhost.de nimmt Ihnen diesen Aufwand ab. Wir betreiben Ihre Authentik-Instanz als Managed Service auf dedizierter Infrastruktur in Deutschland:

  • Hosting in Deutschland: Ihre Identitätsdaten bleiben in deutschen Rechenzentren. DSGVO-konform, ohne Wenn und Aber.
  • Automatische Updates: Wir halten Ihre Instanz aktuell – inklusive Sicherheitspatches und Major-Version-Upgrades, getestet bevor sie auf Ihr System kommen.
  • Tägliche Backups: Automatisierte Backups mit definierten Recovery-Zeiten.
  • Monitoring & Alerting: Wir überwachen Verfügbarkeit und Performance rund um die Uhr.
  • AVV & TOMs inklusive: Auftragsverarbeitungsvertrag und technisch-organisatorische Maßnahmen für Ihre Compliance-Anforderungen.
  • Persönlicher Support: Deutschsprachiger Support von einem Team, das Authentik im eigenen Stack produktiv einsetzt.

Ab 34,90 €/Monat erhalten Sie eine vollständig verwaltete Authentik-Instanz mit allen Community-Edition-Features – unbegrenzte Nutzer, SSO, MFA, Flows und mehr. Im Business-Plan kommen managed Outposts (RAC, LDAP) und Priority-Support dazu.

Sie konzentrieren sich auf Ihr Kerngeschäft. Wir kümmern uns darum, dass sich Ihre Mitarbeiter sicher und bequem anmelden können.

→ Pläne & Preise ansehen | → Kostenlos testen

Fazit

Keycloak war lange die einzige ernstzunehmende Open-Source-Option für Identity & Access Management. Das hat sich geändert. Authentik bietet eine modernere, leichtgewichtigere und besser wartbare Alternative – mit denselben Kernprotokollen, einer intuitiveren Admin-Oberfläche und einem Bruchteil der operativen Komplexität.

Für mittelständische Unternehmen, die SSO, MFA und zentrale Benutzerverwaltung brauchen, ohne ein dediziertes IAM-Team aufzubauen, ist Authentik die pragmatischere Wahl. Und mit authhost.de wird der Betrieb zum Managed Service – DSGVO-konform, aus Deutschland, mit persönlichem Support.

Jetzt Managed Authentik testen →

Quellen

  1. Keycloak Dokumentation – Memory & CPU Sizing: keycloak.org
  2. Keycloak Dokumentation – Running in a Container: keycloak.org
  3. Keycloak Performance Benchmarks (v26.4): keycloak.org
  4. Keycloak GitHub – Memory Leak Issue #28671: github.com
  5. Sirius Open Source – Problems with Keycloak: siriusopensource.com
  6. Descope – The Top 6 Keycloak Alternatives: descope.com
  7. Keycloak Dokumentation – Migration to Quarkus: keycloak.org
  8. Cloud-IAM – Keycloak Upgrades (Breaking Changes): cloud-iam.com
  9. Authentik GitHub – Idle RAM Usage Issue #17869: github.com
  10. Authentik Dokumentation – Docker Compose Installation: docs.goauthentik.io
  11. Authentik Dokumentation – Flows: docs.goauthentik.io
  12. Authentik Blog – Flows, Stages, and Policies: goauthentik.io
  13. Authentik Release 2025.10 – Redis-Abhängigkeit entfernt: goauthentik.io
  14. Authentik Blog – Open Source RAC & Pricing Updates: goauthentik.io
  15. Authentik Pricing: goauthentik.io
  16. Authentik Integration – Proxmox VE: integrations.goauthentik.io
  17. Authentik Integration – OPNsense: integrations.goauthentik.io
  18. Authentik GitHub Repository: github.com
  19. OpenAlternative – Authentik vs Keycloak (GitHub Stats): openalternative.co
  20. exensio – Keycloak im Mittelstand: exensio.de

Häufige Fragen

Ist Authentik wirklich einfacher zu betreiben als Keycloak?
Ja. Keycloak basiert auf Java/Quarkus und erfordert JVM-Tuning, Infinispan-Cache-Konfiguration und tiefes Fachwissen für ein produktionsreifes Setup. Authentik ist in Python (Django) und Go geschrieben, von Grund auf für Container-Deployments konzipiert und über eine moderne Admin-UI konfigurierbar – ohne Code, YAML-Dateien oder Java-SPIs.
Welche Lizenz hat Authentik?
Authentik steht unter der MIT-Lizenz und ist damit auch kommerziell frei nutzbar. Authentik Security hat verbindlich zugesagt, keine Features aus der Open-Source-Version in die Enterprise-Version zu verschieben – der Trend geht in die andere Richtung, etwa als Remote Access Control 2025 von Enterprise zu Open Source verschoben wurde.
Wie viel RAM braucht Authentik im Vergleich zu Keycloak?
Keycloak benötigt allein rund 1.250 MB RAM im Leerlauf, produktiv eher 2–4 GB. Bei Authentik laufen Server und Worker im Idle bei je ca. 375 MB; der komplette Stack aus Server, Worker und PostgreSQL kommt mit 2–3 GB RAM aus. Seit Release 2025.10 entfällt Redis als Abhängigkeit komplett.
Unterstützt Authentik SAML und LDAP?
Ja. Authentik unterstützt alle relevanten Standards: OAuth 2.0, OpenID Connect, SAML 2.0, LDAP, RADIUS und SCIM. Den LDAP-Server stellt Authentik über einen Outpost bereit – damit lassen sich auch Legacy-Anwendungen und Netzwerkgeräte wie OPNsense oder NAS-Systeme anbinden.
Kann ich von Keycloak zu Authentik migrieren?
Ja. Da Authentik dieselben Kernprotokolle (OAuth2, OIDC, SAML, LDAP) unterstützt, können Sie Authentik parallel aufsetzen, Anwendungen schrittweise umstellen und Keycloak danach abschalten. Mit authhost erhalten Sie Managed Authentik Hosting inklusive Betrieb und Wartung.

Geschrieben von

Timo Wevelsiep

Founder, merkaio

Gründer von merkaio. Managed Authentik Identity Hosting. Fokus auf Identity Management, SSO und Zero-Trust-Architektur.

LinkedIn

Individuelle Anfrage oder Beratung?

Für Enterprise-Anfragen, individuelle Konfigurationen oder eine persönliche Beratung. Schreiben Sie uns eine kurze Nachricht – wir melden uns innerhalb von 24 Stunden bei Ihnen.

Timo Wevelsiep

Ihr Ansprechpartner

Timo Wevelsiep

Gründer, merkaio

[email protected]

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.