Keycloak-as-a-Service – Open Source Vendor-LockIn?
Dazu zählen neben der fehlenden Feature-Completeness und Future-Readiness (Time-to-Market) auch der hohe Aufwand im Betrieb und der fehlende Support rund um Keycloak. In den letzten Jahren haben sich daher einige Anbieter gefunden, die Keycloak-as-a-Service anbieten. Dabei reicht das Spektrum von Anbietern die Keycloak selbst als Hosting anbieten, bis zu Anbietern die Keycloak als Grundbaustein nehmen und um eigene Entwicklungen erweitern. Im Folgenden werfen wir einen Blick auf die beiden genannten Ausprägungen von Keycloak-as-a-Service.
Keycloak-as-a-Service – Hosting Service
Viele Unternehmen die Keycloak einsetzen, kämpfen damit Experten zu finden, die die Implementierung und den Betrieb von Keycloak sicherstellen können. Ein zuverlässiger Betrieb von Keycloak an 7 Tage in der Woche und 24 Stunden am Tag (24×7), bedarf eines großen Teams an Experten, die sich mit Keycloak und dem Thema Single Sign-On auskennen.
So führt dieser Weg für Keycloak Nutzer erstmal zu einer Entlastung. Der überragende Vorteil von Keycloak, man bekommt etwas umsonst, ist damit aber obsolet. Am Ende ist der Kostenvorteil möglicherweise sogar ein Nachteil, weil diese Betriebskosten höher sind, als die Subskription eines ready-made Cloud Identity & Access Management (Cloud IAM). Ist man beim Hosted Keycloak angekommen, stellt sich schnell die Fragen des Funktionsvergleichs zwischen einem Cloud IAM und Keycloak und da hat cidaas die Nase vorn, abgesehen davon, dass es sich im Hintergrund kontinuierlich weiterentwickelt und automatisch aktualisiert. Schließlich ist Security im Bereich Identity Management auch nicht auf eine Firewall zu begrenzen, sondern ist wie in cidaas mit Betrugerkennungsmustern zu stützen – Hosting ist vielleicht nicht genug.
Support | ||
Operation | ||
Feature-Completeness | ||
Future-Readiness |
Keycloak-as-a-Service – Open Source as a Product
Keycloak wird von Redhat entwickelt in Java mit einer ausgiebigen Nutzung der Redhat Java-Bibliotheken und Services. Das ursprüngliche Betriebsmodell war recht einfach definiert. Als Keycloak Nutzer installiert man jeweils eine entsprechende Datenbank, dann Keycloak, das auf einem Application Server beruht, auf verschiedenen Serversystemen für Entwicklung, Test und Produktion – die Betriebsführung übernehmen dann die Operation-Teams.
Zwischenzeitlich haben sich neben dem „Keycloak Hosting Service“ auch Unternehmen damit befasst auf Basis von Keycloak einen eigenen IAM Service mit vielsagenden Produktnamen und mit einigen zusätzlichen Funktionen zu platzieren, sozusagen „Open Source as a Product“. Das klingt ja erstmal gut, denn warum soll man sich auf den langen und steinigen Weg machen und vom Reißbrett beginnen, wenn es schon eine Open Source Lösung gibt, die man individuell weiterentwickelt?
- Die mit der Open Source definierten Nutzungsrechte müssen berücksichtigt werden, was den Betrieb und die Weiterentwicklung einschränken kann,
- die Nutzungsrechte können vom Hersteller insgesamt mit einer neuen Version geändert werden, so kann die nächste Version vielleicht schon gar kein Open Source mehr sein,
- der IAM Service Anbieter hängt von der Unternehmenspolitik des Open Source Anbieters ab, sollte sich dieser entscheiden in Keycloak nicht weiter zu investieren oder Punkt 2 verfolgen, dann ist die Weiterentwicklung fraglich – die Halbwertszeit von Open Source ist bekanntlich deutlich kürzer als bei kommerziellen Lösungen
- der IAM Service Anbieter kann schließlich auch nur auf den Funktionen aufsetzen, die Keycloak bietet, und dies gilt für den Funktionsumfang als auch für den Zeitpunkt der Bereitstellung in der Softwareversion
Moderne IAM Lösungen wie cidaas haben diese Abhängigkeiten nicht, sondern sind tatsächlich am Reißbrett modular konzipiert und haben einen hochskalierbaren Technology-Stack mit dem Klimaneutralität, ohne Java, ebenfalls besser zu erreichen ist.
Zusammenfassung
Keycloak Hosting und Keycloak Produktderivate erweitern die Auswahl an Cloud IAM Services. Wer über ein Cloud IAM nachdenkt oder sein Keycloak im eigenen Datencenter nicht mehr selbst betreiben möchte, der sollte vorher den Markt sondieren und bspw. mit cidaas ein modernes, zukunftssicheres Cloud IAM verwenden.
Die Migration von Keycloak nach cidaas ist in der Praxis vielfach erfolgreich verprobt und einfacher als vielleicht gedacht.