A solução open source de Identity and Access Management mais adotada no mundo — mantida pela Red Hat e incubada na CNCF.
Keycloak é uma plataforma open source de Identity and Access Management (IAM) que centraliza a autenticação e autorização de usuários em uma organização.
Em vez de cada sistema gerenciar seu próprio login, banco de usuários e políticas de acesso, o Keycloak funciona como um provedor de identidade central — um único ponto responsável por quem pode se autenticar, como, e o que cada usuário pode fazer.
O projeto é mantido pela Red Hat, faz parte da Cloud Native Computing Foundation (CNCF) como projeto incubating, e registra mais de 20 milhões de downloads por ano.
Sem uma solução centralizada de IAM, organizações enfrentam:
O Keycloak elimina todos esses problemas com uma solução padronizada e extensível.
Para entender o Keycloak, é importante conhecer seus componentes principais:
Domínio isolado de identidade. Cada realm tem seus próprios usuários, clientes e configurações. Equivalente a um "tenant" em arquiteturas multi-tenant.
Aplicação registrada no Keycloak que pode solicitar autenticação. Pode ser uma SPA, API REST, app mobile ou serviço backend.
Após autenticar, o usuário recebe tokens assinados (access token, refresh token, ID token) usados para acessar recursos protegidos.
Permissão atribuída a usuários ou grupos. Pode ser realm-level (global) ou client-level (por aplicação específica).
Fluxo de autenticação customizável. Define as etapas do processo de login: senha, MFA, captcha, termos de uso etc.
Integração com fontes externas de usuários: Active Directory, LDAP, ou outros provedores de identidade via SAML/OIDC.
O Keycloak implementa os principais padrões abertos de autenticação e autorização:
| Protocolo | Para que serve | Caso de uso típico |
|---|---|---|
| OAuth 2.0 | Delegação de autorização | APIs REST, acesso a recursos de terceiros |
| OpenID Connect (OIDC) | Autenticação sobre OAuth 2.0 | Login em SPAs, apps mobile, microsserviços |
| SAML 2.0 | SSO federado via XML | Integração com sistemas enterprise legados e SaaS corporativo |
| LDAP / Active Directory | Federação de diretório | Sincronizar usuários do AD corporativo com o Keycloak |
| FIDO2 / WebAuthn | Autenticação sem senha | Chaves de segurança físicas (YubiKey), biometria |
| TOTP (RFC 6238) | MFA baseado em tempo | Google Authenticator, Microsoft Authenticator |
Auth0 e Okta são soluções SaaS cobradas por usuário ativo (MAU). O Keycloak é open source e auto-hospedado — sem custo de licença, sem limite de usuários, com os dados na sua infraestrutura.
Construir autenticação internamente leva meses e frequentemente resulta em vulnerabilidades. O Keycloak já implementa todos os padrões de segurança modernos, auditados pela comunidade e pela Red Hat.
Alternativas mais leves para uso pessoal ou pequenos times. O Keycloak é mais robusto, com suporte enterprise, alta disponibilidade e ecossistema maior — a escolha natural para ambientes corporativos.
O projeto Keycloak foi criado pela Red Hat e é open source desde 2013. Em 2023, foi doado à Cloud Native Computing Foundation (CNCF) como projeto incubating — a mesma fundação que abriga Kubernetes, Prometheus e Envoy.
Isso garante governança neutra, continuidade de longo prazo e integração com o ecossistema cloud-native. O código-fonte está disponível no GitHub sob licença Apache 2.0.
O Keycloak é utilizado por empresas como Volkswagen, Bosch, e centenas de órgãos governamentais ao redor do mundo, além de startups que buscam autenticação robusta sem custo de licença. No Brasil, é cada vez mais adotado em projetos de governo digital e setor financeiro.
A Solis possui especialistas em Keycloak com experiência em projetos enterprise no Brasil — desde a implantação inicial até integrações complexas com Active Directory, SAML e microsserviços.