Warum SimpleSAMLphp an seine Grenzen stößt – und Keycloak oft die bessere Wahl ist
Viele Umgebungen laufen noch mit SimpleSAMLphp, stabil, aber mit wachsender Last auf Wartung und Erweiterungen. Spätestens bei MFA, Social Logins, neuen Benutzerquellen oder detaillierten Audit-Logs steigt der Aufwand sprunghaft. Keycloak bietet hier eine moderne, zentral administrierbare Alternative – ebenfalls ohne Lizenzkosten und mit breiter Protokollunterstützung.
Das erwartet Sie in diesem Artikel:
Software-Migration von SimpleSAMLphp zu Keycloak
„Es läuft – aber keiner will mehr ran.“ So klingt es oft, wenn Anwendungen noch auf SimpleSAMLphp setzen. Die Lösung tut ihren Dienst, bis plötzlich neue Anforderungen aufschlagen: 2-Faktor-Authentifizierung, Self-Services, neue Identitätsquellen oder Social Logins. All das lässt sich mit SimpleSAMLphp zwar realisieren, i.d.R. aber schnell komplex und teuer in der Pflege.
Keycloak bringt diese Features konfigurierbar out-of-the-box mit, inklusive OpenID Connect, OAuth2, SAML und WebAuthn/FIDO2 und reduziert damit spürbar den Eigenentwicklungs- und Wartungsanteil.
Sie überlegen, ob ein Umstieg auf Keycloak sich lohnt?
Lassen Sie uns im unverbindlichen Erstgespräch über Ihre Architektur sprechen.
Was SimpleSAMLphp leistet – und wo die Grenzen liegen
Die PHP-Lösung „SimpleSAMLphp“ implementiert das SAML-Protokoll und kann sowohl als SAML-Service-Provider als auch als Identitätsprovider genutzt werden. Als Service-Provider dient es zur Anbindung eines Identitätsproviders wie Keycloak, MS Entra oder anderen SAML-unterstützenden Authentifizierungsdiensten. Wird „SimpleSAMLphp“ allerdings als Identitätsprovider eingesetzt, können schnell Wartungs- und Komplexitätsherausforderungen entstehen, da es eher als reine Programmierbibliothek gedacht ist.
Wann der Umstieg auf Keycloak wirklich sinnvoll ist
Ein Wechsel von SimpleSAMLphp zu Keycloak lohnt sich immer dann, wenn Ihre Umgebung mehr leisten soll als reine SAML-Authentifizierung, zum Beispiel:
Keycloak bringt diese Funktionen standardmäßig mit und spart dadurch Entwicklungs- und Wartungsaufwand.
Im nächsten Abschnitt sehen Sie die zentralen Unterschiede im direkten Vergleich.
Keycloak vs. SimpleSAMLphp: Funktionen im direkten Vergleich
| Kategorie | SimpleSAMLphp | Keycloak |
| Protokolle | SAML | SAML, OAuth2, OpenID Connect, WebAuthn/FIDO2 |
| Authentifizierung | Benutzername / Passwort | Passwortlos, MFA, Social Logins |
| Administration | Manuelle Konfiguration, Code-basiert | Zentrale Web-Konsole, Rollen- und Rechteverwaltung |
| Skalierung & Betrieb | Nur manuell skalierbar | Containerfähig (Docker/Kubernetes), Clustering möglich |
| Erweiterbarkeit | PHP-basiert, Eigenentwicklung notwendig | Modular erweiterbar (Java / API / Themes) |
| Compliance & Security | Keine Standard-MFA, keine integrierte Audit-Logs | MFA, Brute-Force-Protection, Audit-Funktionen |
| Lizenzmodell | Open Source, keine Kosten, hoher Wartungsaufwand | Open Source, keine Kosten, aktives Red Hat-Ökosystem |
Keycloak deckt alle klassischen SAML-Anforderungen ab, bietet aber darüber hinaus moderne Authentifizierungs- und Verwaltungsfunktionen, die ohne zusätzliche Module oder Eigenentwicklung bereitstehen. Für bestehende SimpleSAMLphp-Umgebungen ist der Umstieg damit ein logischer Modernisierungsschritt, nicht zwingend ein Neuanfang.
Was bedeutet das konkret für die Umsetzung?
SimpleSAMLphp ist eine spezialisierte Lösung, die auf SAML-basierte Föderation fokussiert ist und für Organisationen mit spezifischen SAML-Anforderungen geeignet sein kann. Auf der Service-Provider-Seite bleibt es im PHP-Stack ein solides Framework. Doch sobald Anforderungen wie Multi-Faktor-Authentifizierung, Social Logins, Self-Service-Funktionen oder die Anbindung neuer Systeme aufkommen, wird es schnell aufwendig – und teuer in der Wartung.
Keycloak bietet hier als Identitätsprovider eine moderne, konfigurierbare Lösungsplattform, die zahlreiche Authentifizierungsprotokolle, Integrationen und Sicherheitsfunktionen bereits integriert. Erweiterungen sind nahezu überall möglich, die Dokumentation ist umfangreich, und die starke Open-Source-Community rund um Red Hat sorgt für kontinuierliche Weiterentwicklung und geprüfte Sicherheit.
Sie möchten wissen, wie sich Keycloak in Ihre bestehende Architektur integrieren lässt?
Phillip Conrad und unser Team bewerten typische Migrationspfade und geben Orientierung für die nächsten Schritte.. 👉 Unverbindlich anfragen
Typische Migrationsszenarien aus der Praxis
Aus unserer Projekterfahrung wissen wir: Die Migration lässt sich je nach Umfang in wenigen Wochen umsetzen – sofern die Architektur passt. Dabei unterscheiden wir drei typische Szenarien:
- Bestehende PHP-Anwendungen setzen SimpleSAMLphp als SP ein – dies kann durch andere PHP-Bibliotheken ersetzt oder auch weiterhin genutzt und nur gegen Keycloak als modernisierten IdP konfiguriert werden.
- SimpleSAMLphp fungiert als IdP mit eigenem Userstore – hier ist die Migration anspruchsvoller, aber mit einem klaren Rollout-Plan gut machbar. Keycloak ersetzt entsprechend SimpleSAMLphp als IdP.
- Szenarien, in denen zusätzlich von SAML2 nach OIDC gewechselt wird sowie Szenarien, in denen auch bisherige Benutzerquellen (AD/LDAP, Relationalen Datenbank, Dataservices) an das neue Keycloak anzubinden sind – in diesen Fällen ist ein abgestimmtes Migrationskonzept entscheidend.
Viele Unternehmen beginnen mit einem kleinen Proof-of-Concept. Andere beauftragen ein initiales Architektur-Assessment. Der typische Weg ist eine stufenweise Migration: Zuerst werden neue Anwendungen direkt an Keycloak angebunden, während bestehende weiterlaufen. So bleibt genug Zeit für Test und schrittweisen Umbau.
Keycloak selbst umsetzen oder mit Partner?
| Thema | Inhouse | Mit SMF |
|---|---|---|
| Know-how-Aufbau | Intern aufzubauen | Sofort verfügbar |
| Fehlertoleranz | Riskant bei Updatefehlern | SMF bringt Update- und Recovery-Erfahrung mit |
| Erweiterungen | Eigenentwicklung | Wiederverwendbare Module und Templates |
| Betrieb & Wartung | Eigenverantwortung | Optional mit SLA und Supportvertrag |
| Zeit bis Live-Gang | 6–12 Wochen | 2–4 Wochen (je nach Setup) |
Beides ist möglich. Entscheidend ist, wie viel internes Know-how und Zeit Ihr Team realistisch investieren kann und welchen Stellenwert eine stabile, langfristig wartbare Lösung im Projektkontext hat.
Fazit: Keycloak als nächster Entwicklungsschritt nach SimpleSAMLphp
Die Migration von SimpleSAMLphp zu Keycloak reduziert den Wartungsaufwand und schafft eine moderne IAM-Basis – flexibel erweiterbar, sicher im Betrieb und frei von Lizenzkosten. Für viele Unternehmen ist Keycloak heute nicht nur eine Alternative, sondern die strategisch tragfähige Lösung für moderne Authentifizierungsanforderungen.
Gerade für Teams, die keine dedizierten IAM-Spezialisten vorhalten, bietet Keycloak mit der richtigen Architektur eine langfristig stabile Lösung – unabhängig von Projektgröße oder Branche.
💡 Bei SMF haben wir bereits zahlreiche Migrationsprojekte von SimpleSAMLphp zu Keycloak begleitet – sowohl in technisch gewachsenen Umgebungen als auch im Rahmen größerer IAM-Modernisierungen. Dabei entstehen keine Standardlösungen, sondern passgenaue Architekturen, die langfristig sicher und wartbar bleiben.
* Pflicht für alle Anfragen zu unseren Angeboten.
Weiterführende Links
„Keycloak – Ein Überblick“: Ein kompakter Einstieg in Funktionen, Stärken und typische Einsatzfelder von Keycloak.
Noch unsicher, ob Keycloak die richtige Wahl ist? Sprechen Sie mit uns – gerne werfen wir gemeinsam einen Blick auf Ihre Umgebung.
