#Synapse-Server aktualisiert, und SingleSignOn so umkonfiguriert, dass es endlich auch mit #Element_X funktioniert. Und was macht Ihr so am Sonntag?
#keycloak
1 post1 participant0 posts today
We scaled #Keycloak to 2_000 logins per second and 10_000 token refreshes per seconds on #AWS and it scaled linearly in our #loadtest! It performed just fine with the latest optimizations in the 26.4 release.
What load do you run on Keycloak? Do you host your own #IAM?
Spoiler: Most of the CPU is burned for crypto operations (password hashing, signatures, TLS)
KeycloakKeycloak Performance Benchmarks: A Deep Dive into Scaling and Sizing (26.4)Keycloak demonstrates near-linear vertical scaling, performs well in low-latency environments, and effectively offloads database usage with caching.
#Keycloak 26.4 is out with a lot of new capabilities for your self-hosted #iam:
* #Passkeys
* Client Authentication to use #SPIFFE or #Kubernetes service account tokens
* Simplified deployments across multiple availability zones to boost availability.
* #FAPI 2 Final
* #DPoP: The OAuth 2.0 Demonstrating Proof-of-Possession at the Application Layer (DPoP) is now fully supported.
Read more the full release announcement: https://www.keycloak.org/2025/09/keycloak-2640-released
KeycloakKeycloak 26.4.0 releasedPasskeys integration (supported) * FAPI 2 Final (supported) * DPoP (supported) * FIPS 140-2 mode now supports EdDSA
#keycloak Version 26.4.0 released
The highlights of this release are:
Passkeys for seamless, passwordless authentication of users.
Federated Client Authentication to use SPIFFE or Kubernetes service account tokens for client authentication.
Simplified deployments across multiple availability zones to boost availability.
FAPI 2 Final: Keycloak now supports the final specifications of FAPI 2.0 Security Profile and FAPI 2.0 Message Signing.
DPoP: The OAuth 2.0 Demonstrating Proof-of-Possession at the Application Layer (DPoP) is now fully supported. Improvements include the ability to bind only refresh tokens for public clients, and securing all Keycloak endpoints with DPoP tokens.
GitHubRelease 26.4.0 · keycloak/keycloakHighlights
This release features new capabilities focused on security enhancements, deeper integration, and improved server administration. The highlights of this release are:
Passkeys for sea...
#Keycloak Bugfix Release 26.3.5
#41418 Access to user details for restricted admin fails after enabling organizationin realm organizations
#42405 Old hmac-generated (32bit) is recreated when order is changed in realm keys ui core
#42736 Reset password in admin UI with 'not recently used' password policy leads to error 'Device already exists with the same name' core
#42769 Missing switch "ID Token as detached signature" in the admin console client settings oidc
#42922 Dynamic Client Registration invalidates the realm cache core
What is Keycloak:
Open Source Identity and Access Management For Modern Applications and Services
#opensource #adminlife #security
https://github.com/keycloak/keycloak/releases/tag/26.3.5
GitHubRelease 26.3.5 · keycloak/keycloakUpgrading
Before upgrading refer to the migration guide for a complete list of changes.
All resolved issues
Bugs
#41418 Access to user details for restricted admin fails after enabling organizatio...
Passkeys have been available in Keycloak since version 23.0.0 as a preview feature…. official support for passkeys in upcoming #keycloak 26.4.0.
#adminlife
#security
#opensource
https://www.keycloak.org/2025/09/passkeys-support-26-4
KeycloakPasskeys support in upcoming Keycloak release (26.4)Keycloak 26.4 will bring passkeys as supported feature. There are seamlessly integrated to our build in browser flow and all forms containing username or password fields.
Ever needed to duplicate a #keycloak realm.json, change a few values and re-import into the same keycloak ?
this is a Keycloak realm rekeying utility, safe UUID regeneration and alias normalization to avoid duplicate constraints during import https://github.com/rmdes/realm-duplicator-keycloak
GitHubGitHub - rmdes/realm-duplicator-keycloak: Tools to rekey Keycloak realm JSON: regenerate IDs, normalize references, and eliminate collisions for seamless multi-realm imports.Tools to rekey Keycloak realm JSON: regenerate IDs, normalize references, and eliminate collisions for seamless multi-realm imports. - rmdes/realm-duplicator-keycloak
Replied in thread
Ich hab jetzt die #idaustria auf das hin abgeklopft.
Am Smartphone mit dem selbe Yubikey.
Dort ist der Loginflow so, dass ich mich mit Username und Passwort zuerst anmelden muss, und dann mit dem Fidotoken als 2nd Factor validieren.
Ich krieg zwar USB und NFC angeboten, und NFC fragt keinen PIN ab. Jedoch lehnt die ID-Austria Website dann ab und sagt, ich muss USB verwenden.
Also einstecken, dann wird der Pin abgefragt und ich muss den Token berühren.
Es gibt sldo noch eine Sicherungsstufe beim IdP über das hinaus, was mir #keycloak derzeit bietet.
Vielleich lässt sich das ja noch konfigurieren.
#InfinitoNexus bringt echtes #SSO & #IAM:
Ein Login für alle Dienste – von
@openproject. @CollaboraOffice, @moodle,
#Gitea, #GitLab
#Confluence, @nextcloud bis ins #Fediverse mit @Mastodon, @pixelfed, @mobilizon, @peertube uvm.
Offene Alternative zu #Microsoft365 & #OpenDesk von @zendis skalierbar, sicher & vendor-frei mit #Keycloak, #OpenLDAP & #RBAC.
Mehr Informationen unter:
https://s.infinito.nexus/iamundsso
#SSO #IAM #OpenSource #OpenProject, #Nexcloud #Moodle #Collabora CC @berlinfediday
Hat irgendjemand von euch schon #Pixelfed mit #keycloak zum Laufen bekommen?
Ich lande mit #OIDC in einer Redirect-Loop zwischen Pixelfed und keycloak.
Auf beiden servern wird mir 302 und einer location die auf den jeweils anderen server verweist geantwortet... nach einigen malen hin und her gibt der Browser auf.
Und da keycloak mit allen anderen Services aber gut funktioniert, vermute ich, dass in Pixelfed irgendwas wieder einmal nicht sauber umgesetzt wurde.
Doku zum Thema: NULL
Mich frustriert Pixelfed zunehmend. Immer neue Features, die schlampig implementiert und alte, essentielle Bugs werden nicht behoben.
Jetzt hätt ich mich gefreut, dass ich es zumindest in Keycloak einbinden kann... aber nein... wieder nix.
Infinito.Nexus: Der komplette Entwicklungs-Stack in unter zwei Stunden
Softwareentwicklungsfirmen stehen oft vor der Herausforderung, zahlreiche Systeme zur Zusammenarbeit, Versionsverwaltung, Kommunikation, Dokumentation und Sicherheit aufzusetzen. Infinito.Nexus löst dieses Problem in weniger als zwei Stunden – modular, automatisiert und vollständig integriert. […]Infinito.Nexus und der Deutschland-Stack: Digitale Souveränität in der Praxis
Der Begriff Deutschland-Stack taucht im Koalitionsvertrag auf – allerdings ohne klare technische Ausgestaltung. Schleswig-Holstein hat diese Lücke geschlossen: Mit einem Impulspapier vom 12. August 2025 hat das Land zentrale Prinzipien formuliert und seine Unterstützung bei der Umsetzung angeboten (schleswig-holstein.de). Hier findest du das Impulspapier auf dem offiziellen Portal des Landes Schleswig-Holstein:→ Impulspapier zum Deutschland-Stack veröffentlicht – Schleswig-Holstein (12. 08. 2025) […]Ich habe gerade einen Designfehler als schwere #Sicherheitslücke bei Androids mit #Passkeys auf externen Token wie z.B. #Yubikeys mit #FIDO2 entdeckt...
Aber bevor ich einen Murdsbahö mache, würd ich gerne mal rückfragen, ob jene die sich mit #Security hier befassen, das auch so sehen.
Folgendes Szenario:
Ich habe #keycloak als Authentifikations-Service vor div. Services bei mir im Einsatz.
Dort habe ich einen Authentication-Flow der mir "Passwortlose" Authentifizierung erlaubt. Also der einen Passkey verwenden kann.
Als Passkey habe ich einen Yubikey 5C mit NFC im Einsatz.
Wenn ich diese Authentifikation am Laptop wähle, so muss der Yubikey eingesteckt sein. Ich gebe meinen Benutzernamen ein. Dann fragt mich der Browser nach dem PIN des Yubikeys. Den gebe ich ein, und dann werde ich aufgefordert, da drauf zu drücken, und schon bin ich angemeldet.
Genauso funktioniert das am Smartphone auch, wenn der Token per USB eingesteckt ist.
Ein Angreifer, der sich meinen Token stiehlt muss immer noch den PIN dazu wissen. Und nach 3x-iger falscher Eingabe ist der Token unbrauchbar.
Die Sicherheit ist also relativ hoch.
Aber Android (ich hab GrapheneOS im Einsatz) fragt mich auch, ob ich die Authentifizierung per NFC machen möchte. Das ist eine Google-App. Ja auch auf #GrapheneOS da diese noch nicht portiert wurde. Aber es ist egal, auf den allermeisten Androids rennt diese Google-App die für FIDO-Authentifizierung genutzt wird.
Wenn ich also NFC wähle, so muss ich nur den Token präsentieren und schon bin ich drin in meinem Account.
Es fehlt die Abfrage nach dem PIN des Token.
Ich habe in keycloak nichts gefunden, wo ich einstellen könnte, dass auch bei Authentifizierung mittels NFC der PIN abgefragt werden muss. Also scheint es die Google-App zu entscheiden, dass über USB der PIN abgefragt wird und über NFC nicht.
Und das sehe ich als gewaltige Sicherheitslücke, welche diesen Authentifizierungsflow in keycloak ad Absurdum führt.
Wenn ich einen Passkey eines Gerätes nehme, auf dem ich mich einloggen muss... ok. Es muss jemand meinen Laptop oder mein Smartphone stehlen und sich in meinen Account einloggen... dann passt es, dass kein PIN per NFC abgefragt wird.
Aber wenn ich bloß einen Yubikey stehlen muss und schon komm ich ohne dem Faktor "Wissen" in keycloak-Accounts rein... ist das NICHT GUT.
@kuketzblog @padeluun @publicvoit wie seht ihr das?
Digitale Souveränität bedeutet mehr als nur Software – es heißt Verwaltung, Bildung & #Wirtschaft vernetzen. Mit #InfinitoNexus existiert eine offene Plattform, die Tools wie #Moodle, #Nextcloud, #BigBlueButton, #OpenProject, #GitLab oder #Discourse integriert – sicher, modular & unabhängig von Konzernen.
Erfahre, warum das für Stakeholder entscheidend ist:
https://s.infinito.nexus/oeffentlicheverwaltung
s.infinito.nexusInfinito.Nexus – Eine Plattform für digitale Souveränität und vernetzte Zusammenarbeit – Infinito.Nexus Blog
More from 
Kevin Veen-Birkenbach
Infinito.Nexus – Eine Plattform für digitale Souveränität und vernetzte Zusammenarbeit
Die digitale Transformation stellt heute alle gesellschaftlichen Bereiche vor enorme Herausforderungen. Öffentliche Verwaltungen kämpfen mit komplexen IT-Landschaften, Bildungsträger suchen nach sicheren und offenen Lernumgebungen, und Unternehmen benötigen flexible Plattformen für Kollaboration und Innovation. Währenddessen wächst der Druck, digitale Souveränität zu stärken und sich nicht von wenigen globalen Konzernen abhängig zu machen. Genau hier setzt Infinito.Nexus an: ein Open-Source-Framework, das komplette digitale Infrastrukturen automatisiert bereitstellt und eine Vielzahl erprobter Anwendungen nahtlos miteinander verbindet. […]
Ok fine . Maybe I should look into Authentik to replace keycloak
anyone have thoughts/experience?
#Kubernetes #Homelab #Keycloak #Authentik
Unterschiede zwischen #InfinitoNexus, #OpenDesk & #Microsoft365?
Vollständiges #FullstackDeployment in 90 Min – inkl. #Server, #DNS, #Zertifikate & #SSO mit #Keycloak #OpenLDAP #OIDC.
Modular erweiterbar, ein Login für alles (#SinglePointOfTruth).
Ideal für #Schulen, #ITUnternehmen & #Communities im #Fediverse.
blog.infinito.nexusInfinito.Nexus vs. OpenDesk & Microsoft 365 – der entscheidende Unterschied – Infinito.Nexus Blog
More from Kevin Veen-Birkenbach
Infinito.Nexus vs. OpenDesk & Microsoft 365 – der entscheidende Unterschied
Wenn Unternehmen oder Institutionen heute über digitale Arbeitsplätze sprechen, fallen meist zwei Namen: OpenDesk als Open-Source-Ansatz und Microsoft 365 als proprietäre Komplettlösung. Beide haben ihre Stärken – doch beide bleiben in einem entscheidenden Punkt zurück: Sie liefern keine vollständige, souveräne Server-Infrastruktur. Genau hier setzt Infinito.Nexus an. Fullstack statt Software-Inseln Während Microsoft 365 im Kern ein Cloud-SaaS-Paket ist und OpenDesk primär als App-Suite gedacht ist, geht Infinito.Nexus deutlich weiter. Automatisiertes Fullstack-Deployment: Vom Linux-Server über Container-Orchestrierung bis hin zu SSL-Zertifikaten, DNS-Einträgen und Reverse-Proxy wird alles automatisiert eingerichtet. Eigene Infrastruktur statt Abhängigkeit: Nutzer betreiben ihren kompletten Stack selbst – On-Premises oder in der Cloud – und behalten damit volle Datenhoheit. Nahtlose Updates & Health Checks: Systemd-Timer, Backups und Health-Monitoring sind direkt eingebaut. OpenDesk und Microsoft 365 setzen auf externe Infrastruktur – Infinito.Nexus liefert dagegen das gesamte Fundament gleich mit. […]Replied in thread
@OSBA Gibt es noch andere ähnliche Wettbewerbe? Ich suche noch nach Möglichkeiten mein Enterprise IT-Infrastruktur Framework bewerben mit dem man den gesamten IT-Stack z.B. mit @nextcloud @moodle @openproject uvm. mit #SSO via #OIDC und #LDAP mit #keycloak full #OpenSource aufsetzt.
Code: https://s.infinito.nexus/code
Demo: https://infinito.nexus
Sind euch da Förderprogramme und Wettbewerbe bekannt um das zu bewerben? Habe das gefühl jeder fordert die Lösung aber keiner weiß das sie existiert ;D
GitHubGitHub - kevinveenbirkenbach/infinito-nexus: Infinito.Nexus is a turnkey framework built on Docker, Ansible and ActivityPub for deploying a server with LDAP-based IAM and Keycloak SSO. Its unified interface lets you access infinite open-source web apps with a single account, while built-in monitoring, automated backups and self-healing capabilities ensure your infrastructure stays healthy.Infinito.Nexus is a turnkey framework built on Docker, Ansible and ActivityPub for deploying a server with LDAP-based IAM and Keycloak SSO. Its unified interface lets you access infinite open-sourc...