Keycloak vs Auth0: které firemní SSO řešení zvolit?

Auth0 je rychlý start. Keycloak je plná kontrola. Okta je enterprise ekosystém. Záleží na tom, kolik uživatelů platíte, jestli data smějí odejít mimo EU a jestli chcete řešit provoz sami – nebo ne.

Tohle srovnání vám pomůže rozhodnout. Bez marketingových frází – jen fakta a reálné scénáře, pro které se každé řešení hodí.

Proč se teď tolik firem ptá na alternativy

Ještě před pár lety bylo Auth0 jednoznačná volba pro firmy, které nechtěly stavět vlastní přihlašovací systém. Pak v roce 2021 Okta koupila Auth0. Ceny šly nahoru, licenční model se zkomplikoval a do rozhodování vstoupily nové otázky: kde fyzicky leží data o našich zaměstnancích? Co se stane, když dodavatel zdraží nebo změní podmínky? A kolik vlastně zaplatíme za pět let, až firma vyroste?

Zároveň se situace na straně Keycloaku změnila. To, co dřív vyžadovalo specializovaný tým, dnes zvládne zkušený správce infrastruktury – nebo specializovaný partner, který Keycloak provozuje jako službu.

Výsledek: stále víc firem situaci přehodnocuje. A dělají dobře, že to dělají před tím, než jsou k tomu donuceny.

Přehled na první pohled

	Keycloak	Auth0	Okta	Authentik	FusionAuth
Typ	Open-source, vlastní provoz	Cloudová služba	Cloudová služba	Open-source, vlastní provoz	Vlastní provoz / cloud
Licenční poplatky	Žádné	Ano, za každého uživatele	Ano, za každého uživatele	Žádné	Žádné / za uživatele
Kde leží data	Ve vaší infrastruktuře	U Auth0 / Okta	U Okta	Ve vaší infrastruktuře	Ve vaší infrastruktuře
GDPR a EU data	Vy rozhodujete	Omezená kontrola	Omezená kontrola	Vy rozhodujete	Vy rozhodujete
MFA a pokročilé zabezpečení	Ano	Ano	Ano	Ano	Ano
Napojení na Active Directory	Nativně	Ano	Ano	Ano	Ano
Rychlost prvního nasazení	Střední	Rychlá	Rychlá	Střední	Střední
Starost o provoz	Na vás nebo partnerovi	Žádná	Žádná	Střední	Střední
Vendor lock-in	Žádný	Střední	Vysoký	Žádný	Nízký

Keycloak: žádné licenční poplatky, plná kontrola

Keycloak je open-source platforma původně vyvíjená pod záštitou Red Hat. Nasadíte ji do vlastní infrastruktury – ve vašem datovém centru, v cloudu nebo na Kubernetes – a platíte jen za provoz, ne za každého uživatele.

Firmy Keycloak typicky volí ze tří hlavních důvodů.

Ekonomika při škálování

Pokud máte stovky nebo tisíce uživatelů, licenční náklady u SaaS řešení rostou lineárně. Keycloak žádný licenční strop nemá. Zaplatíte za infrastrukturu a případně za partnera, který ho spravuje, ale ne za to, že vaše firma roste.

Kontrola nad daty

Veškeré informace o uživatelích, přihlašovací záznamy i bezpečnostní logy zůstávají ve vaší infrastruktuře. Pro firmy v regulovaných odvětvích – finance, zdravotnictví, veřejná správa – to často není volitelné, ale povinné.

A pro firmy, které to s GDPR myslí vážně, je to silný argument navíc.

Flexibilita bez příplatku

Keycloak podporuje napojení na Active Directory, vlastní přihlašovací stránku, pokročilá pravidla pro přihlašování i integraci se staršími systémy přes SAML. Nic z toho není uzavřené za prémiový plán.

Kde je potřeba počítat s investicí

Keycloak provozujete sami – nebo si k tomu přiberete partnera. Zodpovědnost za dostupnost, bezpečnostní aktualizace a monitoring leží na vás, ne na dodavateli cloudové služby.

Pro firmy, které tuto kapacitu nemají ani nechtějí budovat, je to relevantní překážka. Řešení existuje: specializovaní partneři mohou Keycloak provozovat jako managed službu, takže výhody open-source dostanete bez provozní zátěže.

Auth0: rychlý start, ale rostoucí cena

Auth0 je cloudová identity platforma. Zaregistrujete se, nakonfigurujete přes přehledné rozhraní a za pár hodin máte funkční SSO – bez jediného serveru, který byste museli spravovat.

Proč firmy Auth0 volí

Hlavním důvodem je rychlost a jednoduchost. Pokud potřebujete SSO do týdne a váš tým nemá kapacitu na vlastní infrastrukturu, Auth0 je jedna z nejrychlejších cest.

Dokumentace je na velmi dobré úrovni a integrace s běžnými vývojářskými nástroji fungují rychle.

Kde Auth0 komplikuje rozhodování

Cena po akvizici Okta se stala méně předvídatelnou. Model, kde platíte za každého aktivního uživatele, funguje dobře při startu – ale při růstu firmy nebo při sezónních špičkách může faktura překvapit.

Bezplatný tier vypadá velkoryse, ale firmy s B2B zákazníky nebo větším počtem zaměstnanců z něj rychle vyrostou.

Data leží v infrastruktuře Auth0 a Okty, primárně mimo vaši přímou kontrolu. Evropský region existuje, ale ne pro všechny plány a konfigurace. A pokud se jednou rozhodnete přejít jinam, migrace dat není jednoduchá – Auth0 má řadu proprietárních prvků, které vás k platformě vážou.

Okta: pro velké korporace s rozsáhlým enterprise stackem

Okta cílí na jiný segment než Keycloak. Pokud vaše firma integruje desítky enterprise systémů jako Salesforce, Workday nebo SAP, máte stovky aplikací a IT oddělení zvyklé nakupovat enterprise software s garantovanou podporou, Okta dává smysl.

Pro středně velké firmy nebo technologické týmy ale bývá Okta zpravidla předimenzovaná a předražená.

Authentik a FusionAuth: pro specifické případy

Authentik

Authentik je mladší open-source alternativa ke Keycloaku. Má jednodušší úvodní nastavení a modernější administrační rozhraní.

Vhodný je pro menší týmy, které nechtějí investovat čas do Keycloaku. Komunita a ekosystém jsou ale výrazně menší, což se projeví hlavně při složitějších integracích.

FusionAuth

FusionAuth se zaměřuje na výkon a jednodušší licenční model. Dobrou volbou může být tam, kde potřebujete zvládnout miliony zákazníků v B2C prostředí a nechcete složitost Keycloaku.

Tři scénáře: pro koho se co hodí

Startup nebo rychle rostoucí produkt

Pokud máte do 50 zaměstnanců a fungujete primárně v cloudovém prostředí, prioritou obvykle bývá rychlost a žádná starost o provoz. Auth0 nebo Microsoft Entra ID v této fázi dávají smysl – dokud počet uživatelů nepřesáhne hranici, kde cena začne bolet.

Klíčová otázka zní: máte jasno v tom, jak cena poroste s vaším růstem? Pokud ne, spočítejte si to teď, ne za dva roky.

Střední firma s GDPR a firemním Active Directory

Pokud máte zhruba 50 až 500 zaměstnanců, vlastní Active Directory a řešíte GDPR nebo interní požadavky na data, Keycloak bývá přirozenou volbou.

Máte dost uživatelů, aby vlastní provoz ekonomicky dával smysl. Data mohou zůstat v EU nebo přímo ve vaší infrastruktuře. A pokud chcete napojit Active Directory, Keycloak to zvládá nativně bez příplatku.

Pokud nemáte tým na provoz, existují partneři, kteří to vyřeší za vás.

Velká korporace na Microsoft stacku

Microsoft Entra ID je na první pohled přirozená volba – hluboká integrace s Microsoft 365, Teams a Azure, licence často součástí stávajícího Enterprise Agreement a IT oddělení, které s tímto prostředím pracuje každý den.

V praxi ale velké korporace zřídkakdy žijí čistě v jednom ekosystému. Vedle Microsoft aplikací typicky běží desítky dalších systémů – vlastní aplikace, SaaS nástroje, partnerské portály nebo starší podnikové systémy.

A právě tady Entra ID naráží na hranice: integrace mimo Microsoft ekosystém bývají složitější, dražší nebo nepodporované ve standardním plánu.

Keycloak v tomto kontextu funguje jako neutrální vrstva mezi Entra ID a zbytkem světa. Entra ID zůstává zdrojem identity pro zaměstnance, Keycloak ho napojí přes federaci a zajistí SSO pro ostatní aplikace bez ohledu na to, jaký protokol nebo standard používají.

Výsledek: jednotné přihlašování bez závislosti na tom, jestli konkrétní systém „umí Microsoft“.

Tento model – Entra ID jako interní adresář, Keycloak jako identity broker pro zbytek – je v enterprise prostředí čím dál běžnější. Zejména tam, kde firma roste akvizicemi, provozuje zákaznické portály oddělené od interního IT nebo potřebuje detailní kontrolu nad tím, jaká data o uživatelích se kam dostávají.

Pět otázek, které vám výběr zúží

Než se rozhodnete, odpovězte si upřímně na těchto pět otázek. Každá z nich může sama o sobě výběr zásadně ovlivnit.

1. Kde musí data o uživatelích fyzicky zůstat?

Máte regulatorní nebo interní požadavek na to, aby data zůstala v EU nebo přímo ve vaší infrastruktuře? Pokud ano, cloudová SaaS řešení tuto podmínku splňují obtížněji. Keycloak, Authentik nebo FusionAuth ve vlastním provozu jsou v tomto jasnější volba.

2. Kolik uživatelů reálně zaplatíte?

Vezměte aktuální počet uživatelů a projekci na tři roky. Spočítejte, kolik by vás stálo Auth0 nebo Okta při tomto objemu. Porovnejte to s odhadovanými náklady na provoz Keycloaku – infrastruktura plus případný partner. Výsledek vás může překvapit v obou směrech.

3. Má váš tým kapacitu provozovat vlastní infrastrukturu?

Odpovězte si upřímně, ne optimisticky. Keycloak vyžaduje péči – pravidelné aktualizace, monitoring, zálohování a řešení incidentů. Pokud tým tuto kapacitu nemá a nechce zapojit externího partnera, cloudová služba může být bezpečnější volba.

4. Jak důležité je pro vás vyhnutí se vendor lock-inu?

Keycloak je open-source. Přejít jinam je technicky proveditelné kdykoliv. Auth0 a Okta mají proprietární prvky, které migraci ztěžují.

Pokud vnímáte závislost na jediném dodavateli jako strategické riziko, open-source je čistší cesta.

5. Jaké systémy budete integrovat?

Máte starší podnikové systémy, například SAP, Oracle nebo starší Microsoft aplikace? Nebo moderní cloudové nástroje a vlastní aplikace? Odpověď ovlivní, jak složitá bude integrace a kde narazíte na omezení jednotlivých řešení.

Pokud si nejste jistí rozdíly mezi protokoly, podrobněji jsme je vysvětlili v článku Keycloak SSO: OpenID Connect, OAuth2 a SAML jednoduše vysvětlené.

Závěr

Neexistuje univerzálně správná odpověď.

Auth0 je výborná volba pro rychlý start bez provozní zátěže. Keycloak je správná volba, pokud chcete kontrolu, data doma a počítáte náklady v horizontu několika let.

BOOTIQ nasazuje a provozuje Keycloak pro firmy různé velikosti – od středně velkých technologických společností po regulované instituce.

Pokud si nejste jisti, které řešení vašemu prostředí sedí, rádi to s vámi projdeme – bez závazku a bez toho, abychom vám hned něco prodávali.