Nacho
Keycloak Fournisseur IAM
Open-source (Apache 2.0) IAM/CIAM by Red Hat. Zero licensing cost with unlimited users. Most feature-rich open-source option with full SPI extensibility. Requires self-hosting and DevOps expertise.
Fonctionnalités
- AWSAzureGCP
Si vous souhaitez comparer les fonctionnalités IAM de différents fournisseurs, consultez le benchmark des fournisseurs d'identité (C)IAM.
Vous cherchez la compatibilité du protocole OpenID Connect de Keycloak ? Voir Keycloak sur le benchmark des fournisseurs OpenID Connect.
Foire aux questions
Keycloak prend-il en charge Nom d'utilisateur et mot de passe méthode d'authentification ?
Keycloak prend en charge Nom d'utilisateur et mot de passe méthode d'authentification. En savoir plus
Keycloak prend-il en charge Connexion sociale méthode d'authentification ?
Keycloak prend en charge Connexion sociale méthode d'authentification. 12+ built-in providers plus any custom OIDC or SAML identity provider. En savoir plus
Keycloak prend-il en charge Passkey méthode d'authentification ?
Keycloak prend en charge Passkey méthode d'authentification. WebAuthn passwordless and two-factor authentication. En savoir plus
Keycloak prend-il en charge Email Passwordless méthode d'authentification ?
Keycloak prend en charge Email Passwordless méthode d'authentification. Email OTP for passwordless authentication. En savoir plus
Keycloak prend-il en charge Phone Passwordless méthode d'authentification ?
Keycloak prend partiellement en charge Phone Passwordless méthode d'authentification. Phone OTP via custom SPI extension or third-party provider. No built-in SMS gateway. En savoir plus
Keycloak prend-il en charge Magic Link méthode d'authentification ?
Keycloak prend partiellement en charge Magic Link méthode d'authentification. Magic link via custom authenticator SPI. Not available out-of-the-box. The p2-inc/keycloak-magic-link extension is the most widely used community solution. En savoir plus
Keycloak prend-il en charge Anonymous / Guest méthode d'authentification ?
Keycloak ne prend pas en charge Anonymous / Guest méthode d'authentification. Keycloak requires user identity for authentication. Anonymous/guest sessions are not a built-in feature.
Keycloak prend-il en charge Time-based One-Time Password (TOTP) MFA ?
Keycloak prend en charge Time-based One-Time Password (TOTP) MFA. En savoir plus
Keycloak prend-il en charge HMAC-based One-Time Password (HOTP) MFA ?
Keycloak prend en charge HMAC-based One-Time Password (HOTP) MFA. HOTP (counter-based OTP) supported alongside TOTP. En savoir plus
Keycloak prend-il en charge Universal 2nd Factor (U2F) MFA ?
Keycloak prend en charge Universal 2nd Factor (U2F) MFA. WebAuthn security keys for U2F-style authentication. En savoir plus
Keycloak prend-il en charge WebAuthn MFA ?
Keycloak prend en charge WebAuthn MFA. En savoir plus
Keycloak prend-il en charge Email Code MFA ?
Keycloak prend en charge Email Code MFA. En savoir plus
Keycloak prend-il en charge Phone Code MFA ?
Keycloak prend partiellement en charge Phone Code MFA. SMS OTP via SPI extension. No built-in SMS provider. En savoir plus
Keycloak prend-il en charge Recovery Code MFA ?
Keycloak prend en charge Recovery Code MFA. Recovery Codes are a built-in required action since Keycloak 22+. Single-use backup codes generated at MFA enrollment. En savoir plus
Keycloak prend-il en charge Push Notification MFA ?
Keycloak ne prend pas en charge Push Notification MFA. No built-in push notification MFA. Community extensions exist (e.g. ba-itsys/keycloak-push-mfa-extension) but are not officially maintained. En savoir plus
Keycloak prend-il en charge Adaptive / Risk-Based MFA MFA ?
Keycloak ne prend pas en charge Adaptive / Risk-Based MFA MFA. No built-in adaptive/risk-based MFA. Can be implemented via custom SPI or community extensions such as mabartos/keycloak-adaptive-authn. En savoir plus
Keycloak prend-il en charge Cisco Duo MFA ?
Keycloak prend partiellement en charge Cisco Duo MFA. Cisco Duo provides official SSO integration via OIDC/SAML. For direct authenticator-level integration, the community-maintained instipod/DuoUniversalKeycloakAuthenticator extension (tested with Keycloak 26.x) is available. En savoir plus
Keycloak prend-il en charge Step-Up Authentication MFA ?
Keycloak prend en charge Step-Up Authentication MFA. En savoir plus
Keycloak prend-il en charge OpenID Connect (OIDC) protocole d'intégration ?
Keycloak prend en charge OpenID Connect (OIDC) protocole d'intégration. En savoir plus
Keycloak prend-il en charge SAML 2.0 protocole d'intégration ?
Keycloak prend en charge SAML 2.0 protocole d'intégration. En savoir plus
Keycloak prend-il en charge WS-Federation protocole d'intégration ?
Keycloak ne prend pas en charge WS-Federation protocole d'intégration. WS-Federation is not natively supported. A community extension (cloudtrust/keycloak-wsfed) exists but is not officially maintained or vetted by the Keycloak team. En savoir plus
Keycloak prend-il en charge Machine-to-Machine (M2M) Authentication protocole d'intégration ?
Keycloak prend en charge Machine-to-Machine (M2M) Authentication protocole d'intégration. OAuth 2.0 client credentials grant natively supported. En savoir plus
Keycloak prend-il en charge OpenID Connect (OIDC) Federation fédération d'identité ?
Keycloak prend en charge OpenID Connect (OIDC) Federation fédération d'identité. En savoir plus
Keycloak prend-il en charge SAML 2.0 Federation fédération d'identité ?
Keycloak prend en charge SAML 2.0 Federation fédération d'identité. En savoir plus
Keycloak prend-il en charge Active Directory / LDAP fédération d'identité ?
Keycloak prend en charge Active Directory / LDAP fédération d'identité. Full LDAP and Active Directory federation with read/write sync. En savoir plus
Keycloak prend-il en charge Azure Active Directory (Entra ID) fédération d'identité ?
Keycloak prend en charge Azure Active Directory (Entra ID) fédération d'identité. Azure AD/Entra ID federation via OIDC or SAML identity brokering. En savoir plus
Keycloak prend-il en charge Bulk User Import gestion des utilisateurs ?
Keycloak prend en charge Bulk User Import gestion des utilisateurs. Import users via Admin REST API (POST /admin/realms/{realm}/users), Partial Import API, or LDAP sync. En savoir plus
Keycloak prend-il en charge Password Hash Import (Multiple Formats) gestion des utilisateurs ?
Keycloak prend en charge Password Hash Import (Multiple Formats) gestion des utilisateurs. Import password hashes via Admin API with custom hashing algorithm support. En savoir plus
Keycloak prend-il en charge Bulk User Export gestion des utilisateurs ?
Keycloak prend en charge Bulk User Export gestion des utilisateurs. Export users via Admin REST API or realm export. En savoir plus
Keycloak prend-il en charge Bulk User Update / Delete gestion des utilisateurs ?
Keycloak prend en charge Bulk User Update / Delete gestion des utilisateurs. Bulk operations via Admin REST API. En savoir plus
Keycloak prend-il en charge Upsert on Import gestion des utilisateurs ?
Keycloak prend en charge Upsert on Import gestion des utilisateurs. Partial Import API supports OVERWRITE, SKIP, and FAIL conflict strategies, enabling upsert behavior. En savoir plus
Keycloak prend-il en charge Legacy Username Import (Non-Allowed Characters) gestion des utilisateurs ?
Keycloak prend partiellement en charge Legacy Username Import (Non-Allowed Characters) gestion des utilisateurs. Keycloak accepts a broad Unicode range via regex but username character handling is version-dependent. Spaces, CJK characters, and special symbols have caused regressions between versions (e.g., v23→v24). Import success depends on Keycloak version and specific characters involved.
Keycloak prend-il en charge MFA Enrollment Import gestion des utilisateurs ?
Keycloak prend en charge MFA Enrollment Import gestion des utilisateurs. TOTP secrets can be imported via the JSON realm import format or the admin REST API using the credentials array with fields: secret (BASE32), digits, period, and algorithm. En savoir plus
Keycloak prend-il en charge Inbound SCIM Provisioning gestion des utilisateurs ?
Keycloak ne prend pas en charge Inbound SCIM Provisioning gestion des utilisateurs. No built-in SCIM support. Community extensions are available. En savoir plus
Keycloak prend-il en charge Outbound SCIM Provisioning gestion des utilisateurs ?
Keycloak ne prend pas en charge Outbound SCIM Provisioning gestion des utilisateurs.
Keycloak prend-il en charge SCIM Groups Provisioning gestion des utilisateurs ?
Keycloak ne prend pas en charge SCIM Groups Provisioning gestion des utilisateurs.
Keycloak prend-il en charge Just-In-Time (JIT) User Provisioning gestion des utilisateurs ?
Keycloak prend en charge Just-In-Time (JIT) User Provisioning gestion des utilisateurs. JIT user provisioning during first federation login. En savoir plus
Keycloak prend-il en charge Lazy / Trickle Migration from Legacy Database gestion des utilisateurs ?
Keycloak prend en charge Lazy / Trickle Migration from Legacy Database gestion des utilisateurs. Lazy migration via User Storage SPI for gradual migration from existing user stores. En savoir plus
Keycloak prend-il en charge Self-Service Profile Management Portal gestion des utilisateurs ?
Keycloak prend en charge Self-Service Profile Management Portal gestion des utilisateurs. Keycloak Account Console for self-service profile, MFA, and session management. En savoir plus
Keycloak prend-il en charge User Account Linking gestion des utilisateurs ?
Keycloak prend en charge User Account Linking gestion des utilisateurs. Link multiple identity providers to a single Keycloak account. En savoir plus
Keycloak prend-il en charge User Blocking / Banning gestion des utilisateurs ?
Keycloak prend en charge User Blocking / Banning gestion des utilisateurs. Disable user accounts to prevent authentication via the Admin Console or Admin REST API. En savoir plus
Keycloak prend-il en charge User Metadata gestion des utilisateurs ?
Keycloak prend en charge User Metadata gestion des utilisateurs. Custom user attributes stored as user attributes in Keycloak. En savoir plus
Keycloak prend-il en charge Application Metadata gestion des utilisateurs ?
Keycloak prend en charge Application Metadata gestion des utilisateurs. Client attributes (custom metadata per client/application) can be stored via the Admin REST API. En savoir plus
Keycloak prend-il en charge Metadata Size Limits gestion des utilisateurs ?
Keycloak prend partiellement en charge Metadata Size Limits gestion des utilisateurs. Attribute value limits are database-level constraints, not formally documented in official docs. Unmanaged attributes support up to ~2048 characters in recent versions (extended from the historical 255-char limit). Limits are deployment-dependent.
Keycloak prend-il en charge User Search gestion des utilisateurs ?
Keycloak prend en charge User Search gestion des utilisateurs. En savoir plus
Keycloak prend-il en charge Role-Based Access Control (RBAC) gestion des utilisateurs ?
Keycloak prend en charge Role-Based Access Control (RBAC) gestion des utilisateurs. Realm roles and client roles with composite roles support. En savoir plus
Keycloak prend-il en charge Organizations (Multi-Tenancy B2B) gestion des utilisateurs ?
Keycloak prend en charge Organizations (Multi-Tenancy B2B) gestion des utilisateurs. Organizations feature (since v26.0) and Realms for full tenant isolation. En savoir plus
Keycloak prend-il en charge Password Strength Policies gestion des utilisateurs ?
Keycloak prend en charge Password Strength Policies gestion des utilisateurs. En savoir plus
Keycloak prend-il en charge Username Restrictions gestion des utilisateurs ?
Keycloak prend en charge Username Restrictions gestion des utilisateurs. Username validation via user profile validators (regex, length) configurable per realm. En savoir plus
Keycloak prend-il en charge Progressive Profiling / Forms gestion des utilisateurs ?
Keycloak prend en charge Progressive Profiling / Forms gestion des utilisateurs. Progressive profiling supported since Keycloak v24.0. En savoir plus
Keycloak prend-il en charge Attribute-Based Access Control (ABAC) contrôle d'accès ?
Keycloak prend en charge Attribute-Based Access Control (ABAC) contrôle d'accès. Attribute-based access control via Keycloak Authorization Services. En savoir plus
Keycloak prend-il en charge Fine-Grained Authorization (FGA / ReBAC) contrôle d'accès ?
Keycloak prend en charge Fine-Grained Authorization (FGA / ReBAC) contrôle d'accès. Resource, scope, and policy-based authorization via Keycloak Authorization Services. En savoir plus
Keycloak prend-il en charge API Authorization (Scopes / Permissions) contrôle d'accès ?
Keycloak prend en charge API Authorization (Scopes / Permissions) contrôle d'accès. En savoir plus
Keycloak prend-il en charge Audit Log Retention fonctionnalité de sécurité ?
Keycloak prend en charge Audit Log Retention fonctionnalité de sécurité. En savoir plus
Keycloak prend-il en charge Audit Log Streaming fonctionnalité de sécurité ?
Keycloak prend partiellement en charge Audit Log Streaming fonctionnalité de sécurité. Event listener SPI supports syslog, JSON, and Gelf log handlers. En savoir plus
Keycloak prend-il en charge Security Center (Threat Monitoring Dashboard) fonctionnalité de sécurité ?
Keycloak ne prend pas en charge Security Center (Threat Monitoring Dashboard) fonctionnalité de sécurité.
Keycloak prend-il en charge Encryption at Rest fonctionnalité de sécurité ?
Keycloak prend en charge Encryption at Rest fonctionnalité de sécurité. Encryption at rest via database-level Transparent Data Encryption (TDE) or filesystem/block-device encryption. Operator-dependent; Keycloak itself does not encrypt data at rest by default. En savoir plus
Keycloak prend-il en charge Encryption in Transit fonctionnalité de sécurité ?
Keycloak prend en charge Encryption in Transit fonctionnalité de sécurité. TLS/HTTPS is supported and configurable. Keycloak recommends TLS for all traffic. En savoir plus
Keycloak prend-il en charge Customer Managed Keys (BYOK) fonctionnalité de sécurité ?
Keycloak prend en charge Customer Managed Keys (BYOK) fonctionnalité de sécurité. Manage your own encryption keys via the deployment infrastructure.
Keycloak prend-il en charge Bot Detection fonctionnalité de sécurité ?
Keycloak prend partiellement en charge Bot Detection fonctionnalité de sécurité. Built-in Google reCAPTCHA support for registration flows (v2 and v3, including reCAPTCHA Enterprise). Login flow CAPTCHA requires a community extension. Third-party privacy-friendly CAPTCHA providers (Friendly Captcha, ALTCHA) are available via extensions. En savoir plus
Keycloak prend-il en charge Brute Force Protection fonctionnalité de sécurité ?
Keycloak prend en charge Brute Force Protection fonctionnalité de sécurité. En savoir plus
Keycloak prend-il en charge Suspicious IP Throttling fonctionnalité de sécurité ?
Keycloak prend partiellement en charge Suspicious IP Throttling fonctionnalité de sécurité. Brute force detection locks accounts per user after repeated failures. Native per-IP throttling across multiple accounts is not built-in; a reverse proxy or WAF is recommended for IP-level rate limiting. En savoir plus
Keycloak prend-il en charge Breached Password Detection fonctionnalité de sécurité ?
Keycloak ne prend pas en charge Breached Password Detection fonctionnalité de sécurité. No built-in HaveIBeenPwned integration. Community extensions are available (e.g. alvinbaena/keycloak-pwned-password-policy). Keycloak does support a password blacklist feature that can use the HIBP list. En savoir plus
Keycloak prend-il en charge Credential Guard (Dark Web Monitoring) fonctionnalité de sécurité ?
Keycloak ne prend pas en charge Credential Guard (Dark Web Monitoring) fonctionnalité de sécurité.
Keycloak prend-il en charge Tenant Access Control List (IP ACL) fonctionnalité de sécurité ?
Keycloak prend partiellement en charge Tenant Access Control List (IP ACL) fonctionnalité de sécurité. IP allow/deny lists are not built into the core Quarkus-based Keycloak distribution. This capability was removed from the legacy distribution. Per-realm IP filtering is available via deployment infrastructure (reverse proxy, WAF) or some managed Keycloak hosting providers. En savoir plus
Keycloak prend-il en charge Device Fingerprinting fonctionnalité de sécurité ?
Keycloak ne prend pas en charge Device Fingerprinting fonctionnalité de sécurité.
Keycloak prend-il en charge Per-Organization Branding multi-tenant ?
Keycloak prend en charge Per-Organization Branding multi-tenant. Per-realm (tenant) FreeMarker theming for custom branding. En savoir plus
Keycloak prend-il en charge Per-Organization MFA Policy multi-tenant ?
Keycloak prend en charge Per-Organization MFA Policy multi-tenant. Per-realm MFA policies and authentication flows. En savoir plus
Keycloak prend-il en charge Hosted / Universal Login Page fonctionnalité de branding ?
Keycloak prend en charge Hosted / Universal Login Page fonctionnalité de branding. En savoir plus
Keycloak prend-il en charge Embedded / Native Login Components fonctionnalité de branding ?
Keycloak prend partiellement en charge Embedded / Native Login Components fonctionnalité de branding. Direct grant API allows credential-based flows for embedded auth. Hosted redirect flow is standard. En savoir plus
Keycloak prend-il en charge White-Label / Full Brand Removal fonctionnalité de branding ?
Keycloak prend en charge White-Label / Full Brand Removal fonctionnalité de branding. Full FreeMarker theming enables complete brand customization. En savoir plus
Keycloak prend-il en charge Localization / i18n fonctionnalité de branding ?
Keycloak prend en charge Localization / i18n fonctionnalité de branding. 20+ built-in language packs with custom translation support. En savoir plus
Keycloak prend-il en charge Prebuilt UI Components (SDK) fonctionnalité de branding ?
Keycloak prend en charge Prebuilt UI Components (SDK) fonctionnalité de branding. Account Console and configurable Login theme served by Keycloak. En savoir plus
Keycloak prend-il en charge Login / Auth Analytics Dashboard analytique ?
Keycloak prend partiellement en charge Login / Auth Analytics Dashboard analytique. Events API for login analytics. External dashboards (Grafana, ELK) recommended. En savoir plus
Keycloak prend-il en charge GDPR: Data Export (Portability) conformité ?
Keycloak prend en charge GDPR: Data Export (Portability) conformité. Export user data via Admin REST API.
Keycloak prend-il en charge GDPR: Right to be Forgotten (User Deletion) conformité ?
Keycloak prend en charge GDPR: Right to be Forgotten (User Deletion) conformité. Delete user accounts and associated data via Admin REST API (DELETE /admin/realms/{realm}/users/{id}) or Admin Console. En savoir plus
Keycloak prend-il en charge Consent Management conformité ?
Keycloak prend en charge Consent Management conformité. OAuth 2.0 consent screen and scope management built-in. En savoir plus
Keycloak prend-il en charge Region Deployment conformité ?
Keycloak prend en charge Region Deployment conformité. Self-hosted deployment anywhere with cross-datacenter replication support. En savoir plus
Keycloak prend-il en charge Private Cloud Deployment conformité ?
Keycloak prend en charge Private Cloud Deployment conformité. Self-host on AWS (EC2, EKS, ROSA), Azure (VMs, AKS), GCP, or any other cloud.
Keycloak prend-il en charge SDK Coverage intégration développeur ?
Keycloak prend en charge SDK Coverage intégration développeur. Keycloak adapters for Java (Spring Boot, Quarkus), JavaScript, Node.js, Go, Python, PHP. Keycloak SDKs via community. En savoir plus
Keycloak prend-il en charge Management API intégration développeur ?
Keycloak prend en charge Management API intégration développeur. En savoir plus
Keycloak prend-il en charge Authentication API Rate Limits intégration développeur ?
Keycloak ne prend pas en charge Authentication API Rate Limits intégration développeur. No built-in IP-based rate limiting. Brute-force detection handles per-user lockout. External WAF or reverse proxy required for true rate limiting.
Keycloak prend-il en charge Actions / Extensibility Pipeline intégration développeur ?
Keycloak prend en charge Actions / Extensibility Pipeline intégration développeur. Full SPI extensibility: custom authenticators, identity providers, user federation, event listeners, token mappers, and more. En savoir plus
Keycloak prend-il en charge TypeScript Support in Extensibility intégration développeur ?
Keycloak ne prend pas en charge TypeScript Support in Extensibility intégration développeur. Keycloak SPIs are implemented in Java. No JavaScript/TypeScript runtime for extensibility.
Keycloak prend-il en charge Custom Domain intégration développeur ?
Keycloak prend en charge Custom Domain intégration développeur. Deploy on any custom domain via reverse proxy configuration.
Keycloak prend-il en charge Deploy CLI (Infrastructure as Code) intégration développeur ?
Keycloak prend en charge Deploy CLI (Infrastructure as Code) intégration développeur. kcadm.sh CLI for configuration management and CI/CD pipelines. En savoir plus
Keycloak prend-il en charge Terraform Provider intégration développeur ?
Keycloak prend partiellement en charge Terraform Provider intégration développeur. Community-maintained Terraform provider: mrparkers/keycloak. En savoir plus
Keycloak prend-il en charge Custom Database Connections intégration développeur ?
Keycloak prend en charge Custom Database Connections intégration développeur. User Storage SPI for connecting to any external user store. En savoir plus
Keycloak prend-il en charge Native Webhook Support intégration développeur ?
Keycloak prend en charge Native Webhook Support intégration développeur. Event listener SPI supports custom HTTP webhooks for authentication events. En savoir plus
Keycloak prend-il en charge Universal Login / Hosted Login Page Customization intégration développeur ?
Keycloak prend en charge Universal Login / Hosted Login Page Customization intégration développeur. Full FreeMarker templating for all login page customization. En savoir plus
Keycloak prend-il en charge Custom Email Provider (SMTP) intégration développeur ?
Keycloak prend en charge Custom Email Provider (SMTP) intégration développeur. Configure custom SMTP server in realm settings. En savoir plus
Keycloak prend-il en charge Email Templates intégration développeur ?
Keycloak prend en charge Email Templates intégration développeur. FreeMarker email templates for all transactional emails. En savoir plus
Keycloak prend-il en charge Custom OIDC Claims / Token Enrichment intégration développeur ?
Keycloak prend en charge Custom OIDC Claims / Token Enrichment intégration développeur. Protocol mappers and scripted mappers for custom token claims. En savoir plus
Keycloak prend-il en charge No-Code Auth Flow Builder / Orchestration fonctionnalité ?
Keycloak ne prend pas en charge No-Code Auth Flow Builder / Orchestration fonctionnalité. Authentication flows are configured via the admin console but are not a visual drag-and-drop builder.
Keycloak prend-il en charge Identity Verification / Document Proofing fonctionnalité ?
Keycloak ne prend pas en charge Identity Verification / Document Proofing fonctionnalité. No built-in identity proofing or document verification. Can be integrated via custom SPI or third-party identity verification services.
Keycloak prend-il en charge Decentralized / Verifiable Credentials fonctionnalité ?
Keycloak ne prend pas en charge Decentralized / Verifiable Credentials fonctionnalité. No built-in support for decentralized identifiers (DIDs), verifiable credentials, or self-sovereign identity.
Keycloak prend-il en charge Built-in Billing / Subscription Management fonctionnalité ?
Keycloak ne prend pas en charge Built-in Billing / Subscription Management fonctionnalité. Keycloak is an open-source IAM platform with no built-in billing or subscription management features.
Keycloak prend-il en charge Agentic AI / MCP Server Authentication fonctionnalité ?
Keycloak prend partiellement en charge Agentic AI / MCP Server Authentication fonctionnalité. Keycloak serves as an OAuth 2.1/OIDC authorization server for MCP (Model Context Protocol) servers. MCP spec 2025-03-26 is fully supported; MCP 2025-06-18 and later are partially supported (missing RFC 8707 Resource Indicators). OAuth Client ID Metadata Document support is experimental. En savoir plus
Remarque : Les données actuelles sont basées sur la documentation/l'expérience des fournisseurs et peuvent ne pas être exactes à 100 %. Veuillez ouvrir un ticket si vous avez constaté des incohérences.