Keycloak vs. Auth0: Die selbstgehostete Alternative im Vergleich

Die meisten Teams verlassen Auth0 nicht, weil es schlecht wäre. Sie verlassen es, weil die Rechnung irgendwann keinen Sinn mehr ergibt.
Auth0 ist ein richtig gutes Produkt: schnell integriert, sauber dokumentiert, und es nimmt Ihnen eine ganze Kategorie Arbeit ab. Aber der Preis skaliert mit den monatlich aktiven Nutzern, und mit dem Wachstum passieren zwei Dinge: Die Rechnung wächst mit Ihrem Erfolg, und die Features, die Sie in Produktion wirklich brauchen, liegen einen Tarifsprung höher. Ein Unternehmen berichtet, dass sich seine Rechnung auf das 15,5-Fache erhöht hat — während die Nutzerzahl nur auf das 1,67-Fache gewachsen ist. Andere zahlen über 34.000 $ im Jahr, im Wesentlichen für SAML.
Das ist der Moment, in dem Teams nach einer „self-hosted Auth0 alternative“ googeln. Die Antwort lautet fast immer: Keycloak. Hier ist der ehrliche Vergleich.
Was Auth0 und Keycloak eigentlich sind
Auth0 (seit einer Übernahme für 6,5 Mrd. $ Teil von Okta) ist eine gehostete CIAM-Plattform: Sie rufen die API auf, Auth0 kümmert sich um den Rest. Null Betriebsaufwand — dafür zahlen Sie für jeden monatlich aktiven Nutzer.
Keycloak ist der Open-Source-Standard für Identity- und Access-Management: ein CNCF-Projekt, produktionserprobt in großen Unternehmen. Es spricht dieselben Protokolle wie Auth0 — OIDC, SAML 2.0, OAuth 2.0 — plus MFA und Passwordless (FIDO2/WebAuthn). Der Unterschied: Sie betreiben es selbst oder lassen es betreiben, und niemand rechnet pro Nutzer ab.
Funktional erledigen beide für die allermeisten Anwendungsfälle denselben Job. Die eigentliche Entscheidung fällt woanders: beim Kostenmodell, bei der Kontrolle — und bei der Frage, wer den Betrieb übernimmt.
Feature-Vergleich
Auth0 | Keycloak (selbst gehostet) | |
Protokolle | OIDC, SAML, OAuth 2.0 | OIDC, SAML, OAuth 2.0 |
MFA / Passwordless | Ja (in höheren Tarifen) | Ja (FIDO2/WebAuthn, TOTP) — inklusive |
Verzeichnis-Anbindung (AD/LDAP/Entra ID) | Ja | Ja |
Preismodell | Pro monatlich aktivem Nutzer (MAU) | Open Source — keine Gebühr pro Nutzer |
SAML für Enterprise-Kunden | Erst ab Professional-Tarif (ab 240 $/Monat) | Inklusive |
Wo Ihre Daten liegen | Bei Auth0/Okta (US-kontrolliert) | Dort, wo Sie es hosten |
Betriebsaufwand | Keiner (voll gehostet) | Liegt bei Ihnen — oder bei Ihrem Managed-Anbieter |
Vendor-Lock-in | Proprietär; Export von Nutzern und Passwort-Hashes ist aufwendig | Apache 2.0 — Realm jederzeit exportierbar |
Quellcode einsehbar | Nein | Vollständig |
Das Muster ist deutlich: Keycloak hält bei den Fähigkeiten mit Auth0 mit, gewinnt bei Kostenmodell und Souveränität — und verliert an genau einer Stelle: Sie müssen es betreiben. Dieser eine Tradeoff ist die ganze Geschichte. Bleiben wir also auf beiden Seiten ehrlich.
Wo Auth0 wirklich wehtut
Vier Dinge treiben Teams von Auth0 weg — und keines davon lautet „das Produkt ist schlecht“:
1.MAU-Pricing bestraft Wachstum. Sie zahlen für genau die Nutzer, die Sie erfolgreich machen. Planbar ist das nicht, denn die Zahl steigt mit der Adoption — und jeder Nutzer über dem Kontingent kostet 0,07 $ extra. Das klingt harmlos, summiert sich aber schnell: 50.000 MAU über dem Tarif sind 3.500 $ zusätzlich. Pro Monat. Bei einem wachsenden B2B- oder Consumer-Produkt wird Identity so zu einem Kostenblock, den niemand zuverlässig budgetieren kann.
2.Die Features, die Sie brauchen, kosten einen Tarifsprung. SAML für einen Enterprise-Kunden? Im B2B heißt das: Professional-Plan — rund 800 $ statt 150 $ im Monat bei 1.000 MAU. Sie zahlen den Aufpreis nicht für mehr Nutzung, sondern dafür, dass ein Feature freigeschaltet wird.
3.Ihre Identitätsdaten liegen auf einer US-kontrollierten Plattform. Für ein europäisches Unternehmen unter der DSGVO — oder im Anwendungsbereich von NIS2 — heißt das: Sie entscheiden weder, wo Ihre Nutzerdaten liegen, noch, wie sie geprüft werden. Sie mieten Compliance, statt sie zu besitzen.
4.Der Ausstieg ist bewusst schwer gemacht. Dieser Punkt überrascht die meisten. Bei Keycloak gehört Ihnen die Datenbank: Sie exportieren das komplette Realm — Nutzer, Rollen, Clients, sogar Credentials — und setzen es an einem Nachmittag bei einem anderen Anbieter wieder auf. Bei Auth0 ist der Export Ihrer Nutzer ein Support-Prozess, Passwort-Hashes gibt es im Self-Service gar nicht, und je länger Sie bleiben, desto mehr Custom Rules und Login-Flows müssen Sie später entwirren. Die Exit-Kosten sind real, und sie wachsen mit jedem Monat. Portabilität ist keine Fußnote — sie ist der Grund, die eigene Identity-Ebene überhaupt selbst zu besitzen.
Der ehrliche Haken bei Keycloak
Keycloak ist nicht in dem Sinne kostenlos, den sich viele erhoffen. Die Software ist frei — der Produktivbetrieb ist es nicht. Sie sind verantwortlich für:
•Hochverfügbares Deployment (in der Regel auf Kubernetes), Upgrades und Datenbankbetrieb
•Sicherheitspatches — Identity ist das lohnendste Angriffsziel in Ihrem Netzwerk
•MFA- und Passwordless-Policies, Realm-Design und Integrationsarbeit
•Monitoring, Backups — und Rufbereitschaft, wenn um 2 Uhr nachts die Logins ausfallen
Für ein Team mit starkem Platform Engineering ist das ein fairer Tausch: Open Source und keine Gebühren pro Nutzer, dafür eigener Betrieb. Für die meisten Teams ist es genau die Arbeit, die sie mit Auth0 vermeiden wollten. Und damit sind wir beim Kern: Die eigentliche Frage lautet nicht „Auth0 oder Keycloak?“, sondern: Wer betreibt Ihre Identity-Ebene?
Der Mittelweg: Managed Keycloak
Es gibt eine dritte Option, die in den meisten Vergleichsartikeln fehlt: Keycloak nutzen — und den Betrieb abgeben. Sie bekommen die offenen Standards von Keycloak, keine MAU-Preise und die volle Kontrolle über Ihre Daten, ohne den Betriebsaufwand, der Sie überhaupt erst zu diesem Artikel gebracht hat.
Genau das machen wir. Wir betreiben Keycloak für Sie in unserem Frankfurter Rechenzentrum — rund um die Uhr, mit sofortigen Sicherheitspatches, MFA- und Passwordless-Policies, Backups und einem SLA. Ihre Identitätsdaten bleiben dabei in Deutschland. Damit das reproduzierbar bleibt, entwickeln und pflegen wir einen Open-Source-Keycloak-Operator für Kubernetes: Er setzt Keycloak deklarativ und GitOps-basiert auf — jedes Mal identisch. Das ist der Unterschied zwischen „wir haben Keycloak mal installiert“ und „wir betreiben Keycloak als Produkt“.
Das vollständige Managed-Angebot finden Sie hier: Managed Keycloak (Auth0-Exit).
Wann Auth0 die richtige Wahl ist
Wir reden Ihnen kein Produkt aus, das zu Ihnen passt. Bleiben Sie bei Auth0, wenn:
•Sie klein sind und klein bleiben — unter ein paar tausend MAU ist die Rechnung vernachlässigbar, und der Komfort von Zero Ops ist sie wert.
•Sie weder Platform-Engineering-Kapazität haben noch einen Managed-Betrieb wollen — das voll gehostete Modell von Auth0 ist dann der Weg mit dem geringsten Aufwand.
•Sie ein bestimmtes Auth0-Feature oder eine tiefe Integration brauchen, die sich nicht ohne Weiteres nachbauen lässt.
•Kosten und Datenstandort für Ihr Geschäft schlicht keine Rolle spielen.
Die Rechnung kippt, sobald die Identity-Kosten spürbar werden, SAML- oder Enterprise-Features einen Tarifsprung erzwingen oder DSGVO und NIS2 den Datenstandort zur harten Anforderung machen — im europäischen B2B ist das meist eher früher als später der Fall.
Häufige Fragen
Ist Keycloak eine echte Alternative zu Auth0?
Ja. Keycloak implementiert dieselben Standards — OIDC, SAML 2.0, OAuth 2.0 — plus MFA und Passwordless (FIDO2/WebAuthn) und läuft produktiv bei großen Organisationen. Die funktionale Lücke ist für die meisten Anwendungsfälle klein; der Unterschied liegt im Kostenmodell und darin, wer den Betrieb übernimmt.
Ist Keycloak günstiger als Auth0?
Die Software ist frei, eine Gebühr pro Nutzer gibt es nicht — bei wachsenden Nutzerzahlen ist Keycloak damit drastisch günstiger als Auth0s MAU-Modell. Aber freie Software heißt nicht kostenlos: Sie zahlen mit eigenem Betriebsaufwand, oder Sie bezahlen jemanden für den Betrieb. Auch das bleibt deutlich unter einer Abrechnung pro MAU.
Kann ich ohne Ausfallzeit von Auth0 oder Okta zu Keycloak migrieren?
Ja. Keycloak läuft parallel zu Ihrem bestehenden Anbieter; Sie binden Apps und Verzeichnisse an und schalten dann App für App um — der alte Anbieter bleibt so lange als Fallback. Die meisten Migrationen laufen gestaffelt und ohne Ausfallzeit, die Nutzer bemerken würden.
Unterstützt Keycloak SAML und Passwordless wie Auth0?
Ja. SAML 2.0 und OIDC gehören zum Kern, FIDO2/WebAuthn-Passwordless und TOTP-MFA sind eingebaut. Anders als bei Auth0 hängt SAML nicht an einem höheren Tarif.
Muss ich Keycloak selbst betreiben?
Nein. Sie können es selbst hosten — oder einen Managed-Anbieter den Betrieb übernehmen lassen. Die offenen Standards und die Kontrolle über Ihre Daten behalten Sie in beiden Fällen.
Denken Sie über den Abschied von Auth0 nach?
Sprechen Sie mit einem Engineer — 30 Minuten, kein Verkaufsgespräch. Beschreiben Sie uns Ihr Setup, und wir sagen Ihnen ehrlich, ob sich der Wechsel zu Keycloak lohnt und was die Migration bedeuten würde.
Haben Sie Fragen zu diesem Thema?
Unsere Experten beraten Sie gerne zu Ihrer individuellen Strategie.
Beratungsgespräch vereinbaren