Warum SimpleSAMLphp an seine Grenzen stößt – und was jetzt zu tun ist
Software-Migration von SimpleSAMLphp zu Keycloak
„Es läuft – aber keiner will mehr ran.“ So oder so ähnlich hört es sich an, wenn wir mit IT-Verantwortlichen sprechen, deren Anwendungen noch auf SimpleSAMLphp setzen. Die Lösung tut seit Jahren ihren Dienst – bis plötzlich neue Anforderungen aufschlagen: 2-Faktor-Authentifizierung, detaillierte Protokollierungen, neue Benutzerquellen oder ein dringend benötigter Social Login.
Und dann wird klar: Die Zeit, in der man eine SAML-Implementierung als Nebenprojekt erledigen konnte, ist vorbei.
Seiteninhalt
Was SimpleSAMLphp leistet – und wo die Grenzen liegen
Die PHP-Lösung „SimpleSAMLphp“ implementiert das SAML-Protokoll und kann sowohl als Service-Provider als auch als Identitätsprovider genutzt werden. Als Service-Provider dient es zur Anbindung eines Identitätsproviders wie Keycloak, MS Entra oder anderen SAML-unterstützenden Authentifizierungsdiensten. Wird „SimpleSAMLphp“ allerdings als Identitätsprovider eingesetzt, können schnell Wartungs- und Komplexitätsherausforderungen entstehen, da es eher als reine Programmierbibliothek gedacht ist.
Warum die Migration von SimpleSAMLphp zu Keycloak jetzt Sinn ergibt
Die Migration von SimpleSAMLphp zu Keycloak lohnt sich besonders dann, wenn Anforderungen wie 2-Faktor-Authentifizierung, Benutzer-Selfservices oder die Einbindung externer Systeme hinzukommen. Im folgenden Abschnitt vergleichen wir die beiden Lösungen in den zentralen Funktionen.
Keycloak vs. SimpleSAMLphp: Funktionen im direkten Vergleich
Authentifizierungsmethoden & Protokolle
Keycloak unterstützt alle gängigen webbasierten Authentifizierungsmethoden. SimpleSAMLphp konzentriert sich hauptsächlich auf traditionelle Benutzername/Passwort-Authentifizierung und SAML-basierte Föderation. Keycloak unterstützt z. B. soziale Logins, Multi-Faktor-Authentifizierung und passwortlose Authentifizierung sowie die Protokollarten OpenID Connect, OAuth2, SAML & WebAuthn/FIDO2.
Umfassende Benutzerverwaltung
SimpleSAMLphp hat begrenzte eingebaute Benutzerverwaltungsfunktionen und verlässt sich oft auf externe Systeme. Keycloak bietet eine umfassende Benutzerverwaltungsoberfläche mit Unterstützung für Benutzer-Selbstregistrierung, Passwortzurücksetzung und Benutzerrollen/-berechtigungen.
Integration von externen Systemen
Keycloak bietet eine einfache Integration mit verschiedenen externen Systemen wie LDAP, Active Directory und Datenbanken. SimpleSAMLphp unterstützt ebenfalls die Integration, erfordert jedoch oft mehr manuelle Konfiguration und Anpassung.
Erweiterbarkeit und Anpassung
SimpleSAMLphp und Keycloak sind als erweiterbare Plattformen entworfen worden. Mithilfe der Programmierung sind beide Systeme umfangreich anpassbar. Keycloak hat allerdings bei der Anpassbarkeit die Nase vorn, da sich bereits deutlich mehr konfigurativ lösen lässt.
Community und Support
Keycloak hat eine große Community von Benutzern und Entwicklern, die durch die Red Hat-Organisation unterstützt wird. Red Hat bietet spezielle LTS-Version als Downstream-Release an. Die Community-Version weist i. d. R. einen größeren und aktuelleren Funktionsumfang auf. Updates werden für beide Version regelmäßig veröffentlicht. SimpleSAMLphp hat ebenfalls eine aktive Community, welche aber im Vergleich zu Keycloak eher klein ist.
Was bedeutet das konkret für die Umsetzung?
SimpleSAMLphp ist eine spezialisierte Lösung, die auf SAML-basierte Föderation fokussiert ist und für Organisationen mit spezifischen SAML-Anforderungen geeignet sein kann. Auf der Service-Provider-Seite bleibt es im PHP-Stack ein solides Framework. Doch sobald Anforderungen wie Multi-Faktor-Authentifizierung, Social Logins, Self-Service-Funktionen oder die Anbindung neuer Systeme aufkommen, wird es schnell aufwendig – und teuer in der Wartung.
Keycloak bietet als Identitätsprovider eine moderne, konfigurierbare Lösungsplattform mit Unterstützung einer Vielzahl von Authentifizierungsmethoden, Protokollen und Integrationen. Beliebige Erweiterungsmöglichkeiten sind in Keycloak an fast allen Stellen gegeben und die zugehörige Dokumentation ist sehr umfangreich. Die starke Open Source-Community rund um Red Hat sorgt für einen hohen Sicherheitsstandard und stellt die kontinuierliche Weiterentwicklung der Software sicher.
Typische Migrationsszenarien aus der Praxis
Aus unserer Projekterfahrung wissen wir: Die Migration lässt sich je nach Umfang in wenigen Wochen umsetzen – sofern die Architektur passt. Dabei unterscheiden wir drei typische Szenarien:
- Bestehende PHP-Anwendungen setzen SimpleSAMLphp als SP ein – dies kann durch andere PHP-Bibliotheken ersetzt oder auch weiterhin genutzt und nur gegen Keycloak als modernisierten IdP konfiguriert werden.
- SimpleSAMLphp fungiert als IdP mit eigenem Userstore – hier ist die Migration anspruchsvoller, aber mit einem klaren Rollout-Plan gut machbar. Keycloak ersetzt entsprechend SimpleSAMLphp als IdP.
- Szenarien, in denen zusätzlich von SAML2 nach OIDC gewechselt wird sowie Szenarien, in denen auch bisherige Benutzerquellen (AD/LDAP, Relationalen Datenbank, Dataservices) an das neue Keycloak anzubinden sind – in diesen Fällen ist ein abgestimmtes Migrationskonzept entscheidend.
Viele Unternehmen beginnen mit einem kleinen Proof-of-Concept. Andere beauftragen ein initiales Architektur-Assessment. Der typische Weg ist eine stufenweise Migration: Zuerst werden neue Anwendungen direkt an Keycloak angebunden, während bestehende weiterlaufen. So bleibt genug Zeit für Test und schrittweisen Umbau.
Keycloak selbst umsetzen oder mit Partner?
| Thema | Inhouse | Mit SMF |
|---|---|---|
| Know-how-Aufbau | Notwendig | Sofort verfügbar |
| Zeit bis Live-Gang | 6–12 Wochen | 2–4 Wochen je nach Setup |
| Fehlertoleranz | Riskant bei Updatefehlern | SMF bringt entsprechendes Wissen mit |
| Erweiterungen | Eigenentwicklung | Wiederverwendbare Module |
| Betrieb & Wartung | Eigenverantwortung | Optional mit SLA und Supportvertrag |
Beides ist möglich – und hängt letztlich davon ab, wie viel internes Know-how vorhanden ist, wie viel Zeit das Team realistisch investieren kann und welchen Stellenwert eine stabile, langfristig wartbare Lösung im Projektkontext hat.
Fazit: Keycloak als nächster Entwicklungsschritt nach SimpleSAMLphp
Die Migration von SimpleSAMLphp zu Keycloak reduziert nicht nur den Wartungsaufwand, sondern schafft eine moderne IAM-Basis – flexibel erweiterbar, sicher im Betrieb und frei von Lizenzkosten. Für viele Unternehmen ist Keycloak heute mehr als eine Alternative: Es ist die strategisch tragfähigere Lösung für moderne Authentifizierungsanforderungen.
Gerade für Teams, die keine dedizierten IAM-Spezialisten vorhalten, bietet Keycloak mit der richtigen Architektur eine langfristig stabile Lösung – unabhängig von Projektgröße oder Branche.
💡 Bei SMF haben wir bereits zahlreiche Migrationsprojekte von SimpleSAMLphp zu Keycloak begleitet – sowohl in technisch gewachsenen Umgebungen als auch im Rahmen größerer IAM-Modernisierungen. Dabei geht es uns nicht um Standardlösungen, sondern um passgenaue Architekturen, die sich langfristig betreiben lassen.
Sie betreiben aktuell SimpleSAMLphp und fragen sich, wie ein Umstieg auf Keycloak aussehen könnte? Dann sprechen Sie mit uns – gerne teilen wir unsere Erfahrungen und helfen bei der Einordnung.
* Pflicht für alle Anfragen zu unseren Angeboten.
Weiterführende Links
