Identity ist 2026 die zentrale Sicherheitsschicht: wer hier scheitert, scheitert überall. Trotzdem haben viele Mittelständler weiterhin sechs bis acht Login-Welten – AD für Windows-Clients, separate Cloud-Logins für Microsoft 365, eigene Konten für die ERP, eigene wieder für die Wiki, eigene wieder für die VPN. SecTepe.Comm setzt eine zentrale Identity-Schicht mit Keycloak – und einem leichten AD-Connector, der hybride Umgebungen ohne Migrationsschmerz integriert.
Warum SSO – und warum Keycloak?
SSO bringt drei nicht verhandelbare Vorteile: weniger Passwörter (= weniger Phishing-Vektor), zentrales Offboarding (ein User wird einmal deaktiviert und ist überall offline), und ein einziger Audit-Trail. Keycloak ist seit Jahren der Open-Source-Standard dafür: OIDC, SAML 2.0, optional FIDO2/WebAuthn, robuste MFA-Optionen, Brute-Force-Protection, fein granulares Role-Mapping.
Was die SecTepe.Comm-Integration anders macht
- Auto-Provisionierung der Realms: Beim Deployment werden Keycloak-Clients für Mailcow, RocketChat, BookStack, GitLab, Grafana etc. automatisch eingerichtet – inklusive Group-/Role-Mapping.
- SSO-Bridges für nicht-OIDC-Apps: Tools, die nur LDAP oder Header-Auth sprechen, bekommen einen Bridge-Container, der OIDC-Tokens auf das jeweilige Auth-Modell übersetzt.
- CTI-IP-Check als Authenticator: Vor dem Login schaut Keycloak im integrierten CTI-Stack, ob die Source-IP auf einer Block-Liste steht – Phishing-Logins aus bekannten C2-IPs werden direkt verweigert.
- Self-Service-Recovery: Passwort-Reset und MFA-Recovery laufen über die Keycloak-Account-Console, ohne Helpdesk-Ticket.
Der AD-Connector: Brücke statt Big-Bang
Die meisten Mittelständler haben einen funktionierenden AD-Wald – und keinen Plan, ihn zu migrieren. Der SecTepe.Comm AD-Connector ist ein on-prem-Sidecar, der:
- User-Listen, Gruppen und Status (aktiv/deaktiviert) bidirektional synchronisiert.
- Kerberos-SSO für Domain-joined Clients ermöglicht – Single Sign-On ohne Browser-Eingabe von Credentials.
- AD-Gruppen automatisch auf Keycloak-Roles mappt – z. B. „Domain Admins" → „mail-security-admin".
- Beim Disable in AD den User binnen 30 s in Keycloak und damit in allen integrierten Apps deaktiviert.
MFA: zumutbar statt nervig
Ein guter MFA-Plan macht den Schutz unsichtbar und das Pannen-Risiko klein:
- FIDO2-Hardware-Keys (z. B. YubiKey) für Admins, Operators und Privileged Roles – Pflicht.
- TOTP (Authy, Google Authenticator) für regulär User – Default.
- Push-Notifications via mobile App für „convenience"-Logins (Auswahl je User).
- Backup-Codes mit Self-Service-Druck.
- Vom SE-resistenten WebAuthn-Flow profitieren auch Awareness-Trainings: kein „Code-am-Telefon-vorlesen"-Vektor mehr.
Vendor-Lock-in vermeiden
Microsoft Entra ID ist mächtig – und teuer, wenn man die guten Features (Conditional Access, Privileged Identity Management) wirklich nutzt. Außerdem zentralisiert es die Identity in der Microsoft-Cloud, was mit den NIS-2- und Schrems-II-Diskussionen zunehmend in Frage steht. Ein Keycloak-basierter Stack ist Standard-konform genug, dass eine spätere Migration nicht ausgeschlossen ist – und gleichzeitig souverän genug, dass sie nicht erzwungen wird.
Operative Realität
Eine Keycloak-Instanz, die 5.000 User und 30 Apps bedient, läuft komfortabel auf einer 4-vCPU-VM mit 8 GB RAM – Hosting-Kosten unter 50 €/Monat. Die Lizenz: Apache 2.0. Der Support: über kommerzielle Partner (auch SecTepe) oder Self-Maintenance via aktiver Community.
Fazit
Identity ist die Sicherheitsschicht, in die sich die Investition am meisten lohnt – kein Mail-Filter, keine Sandbox, kein SIEM kompensiert einen unkontrollierten Identity-Bestand. Keycloak plus AD-Connector ist die pragmatische, vendor-neutrale, EU-souveräne Antwort darauf. Der Zeitaufwand für eine saubere Erst-Integration: zwei bis vier Wochen mit Fachunterstützung. Danach wird jede neue App in Stunden integriert, nicht in Wochen.