Keycloak
La solution open source de référence pour l'authentification, le SSO et la gestion d'identités, souveraine et auto-hébergeable.
Keycloak est devenu le standard open source pour l'authentification, le SSO (Single Sign-On) et la gestion d'identités d'entreprise. Issu de Red Hat, désormais sous l'égide de la CNCF, il couvre OAuth2, OpenID Connect, SAML 2.0, la fédération LDAP/Active Directory et le multi-tenant. Pour une PME qui doit centraliser ses accès (applications internes, portails clients, partenaires B2B), c'est l'alternative crédible et souveraine aux solutions propriétaires (Auth0, Okta) sans la facturation à l'utilisateur.
Mon opinion sur Keycloak : c'est l'outil que je vous déploie dès que vous avez 3 applications ou plus à authentifier, ou un besoin de SSO transverse.
Sa vraie force, c'est l'unification de vos systèmes hétérogènes : les Identity Providers permettent de brancher Google, Microsoft, GitHub ou n'importe quel autre OIDC/SAML en quelques minutes ; la User Federation absorbe directement votre annuaire LDAP ou Active Directory existant sans migration de données. Concrètement, vous fédérez l'AD historique de vos collaborateurs, vos comptes clients gérés en interne et les logins sociaux de vos partenaires sous un seul plan d'authentification : c'est exactement ce que les solutions propriétaires (Auth0, Okta) facturent au prix fort.
Je vous l'oriente dès que le coût utilisateur devient un sujet : au-delà de 100-200 utilisateurs actifs, Auth0/Okta deviennent rapidement plus chers que Keycloak self-hosted bien opéré.
- →3 applications ou plus à authentifier avec SSO transverse
- →Besoin de fédération LDAP/Active Directory (entreprise avec annuaire existant)
- →Portail multi-tenant (clients, partenaires, prestataires avec rôles distincts)
- →Conformité ou souveraineté requérant des données d'identité hébergées chez vous
- →Au-delà de 100-200 utilisateurs actifs : économies significatives vs Auth0/Okta
- ×1-2 applications simples sans SSO : un middleware applicatif suffit
- ×Équipe sans culture DevOps : la maintenance Keycloak demande de l'attention (mises à jour, sauvegardes, monitoring)
- ×Besoin d'une UX d'auth ultra-personnalisée : Auth0/Clerk vont plus loin out-of-the-box
- ×Petit projet sans contrainte de souveraineté : Auth0 free tier suffit jusqu'à 7 000 MAU
- →Auth0 / OktaSaaS sans maintenance, bon choix sous 100-200 utilisateurs actifs ou si vous voulez zéro infra à gérer
- →ClerkExcellente UX d'auth pour applications modernes (Next.js, React), SaaS plus jeune mais très polish
- →AuthentikAlternative open source plus moderne et plus légère que Keycloak, bon choix si vous démarrez et n'avez pas besoin de SAML legacy
- →NextAuth / Auth.jsAuth applicative légère pour une seule application : Keycloak serait sur-dimensionné
- 01
Déploiement en conteneur (Docker, Kubernetes) avec base PostgreSQL externalisée
- 02
Realm dédié par projet ou par tenant : isolation propre des configurations
- 03
Configuration des providers (OIDC pour le web, SAML pour les apps legacy, LDAP pour la fédération)
- 04
Themes personnalisés pour la marque cliente sur les pages de login
- 05
Sauvegardes automatisées du realm + monitoring (Prometheus / Grafana) : Keycloak est critique, surveillance non négociable
Keycloak ou Auth0/Okta : comment choisir ?
Keycloak si vous voulez la maîtrise (données, coût plat, personnalisation profonde) et avez une équipe technique pour l'opérer. Auth0/Okta si vous voulez du SaaS sans maintenance et que le coût utilisateur reste acceptable. Le point de bascule économique se situe vers 100-200 utilisateurs actifs : en dessous Auth0 reste compétitif (souvent gratuit), au-dessus Keycloak self-hosted devient nettement plus économique.Combien coûte un déploiement Keycloak ?
Pour un déploiement initial avec 1-2 realms, 3-5 applications connectées, fédération LDAP simple : comptez 2 à 5 jours selon la complexité. Pour une intégration plus large (multi-tenant, themes custom, SAML legacy), 5 à 10 jours. L'hébergement est modeste : un VPS à 15-40 €/mois suffit largement pour des milliers d'utilisateurs.Keycloak est-il vraiment maintenu à long terme ?
Oui. Projet initialement Red Hat, transféré à la CNCF en 2023 (Cloud Native Computing Foundation) : gouvernance neutre, communauté très active, releases régulières. Red Hat continue de financer le développement via son offre commerciale (Red Hat build of Keycloak), mais le projet open source est indépendant et pérenne. Adoption massive chez les grandes entreprises et le secteur public.Quelles applications peuvent se connecter à Keycloak ?
À peu près toutes les applications modernes. Côté web : Next.js, Symfony, Laravel, FastAPI, n'importe quel framework supportant OIDC ou OAuth2 (la quasi-totalité). Côté legacy : SAML 2.0 couvre la plupart des apps d'entreprise anciennes. Pour les apps mobiles, le flow OAuth2 PKCE est natif. Les SDKs officiels existent pour Java, JavaScript, Python, .NET, et les principales plateformes.Et la sécurité de Keycloak lui-même ?
Keycloak est l'une des cibles d'attaque les plus surveillées du domaine : sa sécurité est très scrutée. Les bonnes pratiques essentielles : version maintenue (pas de version EOL), accès admin restreint au réseau interne, TLS partout, audit log activé, sauvegardes chiffrées. Bien déployé, c'est plus sûr qu'une auth maison ; mal déployé, ça devient une cible critique. C'est exactement le sujet de la rigueur opérationnelle.
Un projet impliquant Keycloak ?
Décrivez votre contexte : je vous propose le bon niveau d'investissement.
Premier échangeParlons devotre projet.
Décrivez votre besoin en quelques lignes. Réponse sous 24h pour caler la suite, devis détaillé sous 48h.
- Réponse sous 24h
- NDA sur demande