Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
SSO-HAMMER im Homelab! Keycloak – das wohl beliebteste Open-Source-IAM-Tool – hat im April 2026 zwei Mega-Updates rausgehauen: 26.6.0 am 8. April und das Fix-Release 26.6.1 direkt hinterher!
Und die Neuerungen sind WAHNSINN: endlich JWT Authorization Grant, Federated Client Auth, Workflow-Automation und – besonders HAMMER für Produktivsetups – ZERO-DOWNTIME-PATCHES!
UNFASSBAR: Was ist Keycloak überhaupt?
Keycloak ist ein Login-Server, der OpenID Connect, OAuth 2.0 und SAML 2.0 spricht! Deine Apps delegieren die Anmeldung an Keycloak, der wiederum andocken kann an:
- LDAP / Active Directory!
- Google, GitHub, Microsoft!
- Eigene User-Datenbanken!
Ergebnis: EIN zentraler Login für ALLE deine Services – von Nextcloud über Forgejo bis zur eigenen React-App!
MEGA-NEU: JWT Authorization Grant!
Der JWT Authorization Grant (RFC 7523) erlaubt es einem Dienst, sich bei Keycloak DIREKT mit einem signierten JWT zu authentifizieren – OHNE klassischen Client-Secret-Flow!
Für wen ROCKT das?
- Cloud-Workloads!
- Server-to-Server-Kommunikation!
- Kubernetes-Cluster!
Kombiniert mit AWS STS oder GCP Workload Identity kannst du jetzt saubere, kurzlebige Tokens für deine Services ausstellen! Passwortlos wird REALITÄT!
HAMMER: Federated Client Authentication!
Bisher musste JEDER Client bei Keycloak ein EIGENES Secret pflegen! Mit Federated Client Authentication lagerst du das Vertrauen an EXTERNE IdPs aus!
Beispiel:
- Dein CI-System bekommt ein OIDC-Token von GitHub Actions oder Forgejo Actions!
- Keycloak akzeptiert dieses Token als Client-Authentifizierung!
- Gibt im Gegenzug ein Keycloak-Access-Token aus!
- KEIN Secret-Handling mehr, keine Rotationen!
UNFASSBAR: Workflows – Realm-Admin AUTOMATISIEREN!
Der neue Workflow-Mechanismus erlaubt es, administrative Aufgaben regelbasiert laufen zu lassen:
- „Deaktiviere alle User, die 180 Tage inaktiv waren“!
- „Sende bei kritischen Events an ein Webhook“!
- „Generiere automatisch Audit-Reports“!
Das ersetzt Bash- und Python-Skripte, die in größeren Setups bislang manuell gegen die Admin-REST-API gefahren wurden!
MEGA-HIGHLIGHT: ZERO-DOWNTIME-PATCHES!
Das SPANNENDSTE Feature: Patch-Releases lassen sich OHNE Service-Unterbrechung einspielen!
Das ist ein RIESIGER Schritt für produktive Cluster, in denen eine kurze Downtime hunderte Nutzer betrifft! Die Realm-DB-Migrationen sind sorgfältiger kontrolliert – Rolling Updates funktionieren ZUVERLÄSSIG!
KLEINERE NEUERUNGEN AUF EINEN BLICK!
- Passwort-Policies unterstützen neue Regeln für Passkeys und FIDO2!
- Admin-UI weiter entschlackt – weniger Klicks für Alltagsaufgaben!
- Neue Prometheus-Metriken, z.B. pro-Realm-Login-Latenz!
FIX-RELEASE 26.6.1 – DIREKT updaten!
26.6.1 kam nur wenige Tage nach 26.6.0 – ein reines Bugfix-Release! Produktiv-Setups sollten direkt 26.6.1 einspielen! 26.6.0 hat kleinere Glitches bei der Workflow-UI und beim Logout bestimmter Clients!
Wer auf 26.5 oder älter ist, springt direkt auf 26.6.1!
UPGRADE-TIPPS fürs Homelab!
Vor dem Update diese Schritte:
- DATENBANK-BACKUP! Postgres, MariaDB oder MySQL – IMMER sichern!
- Docker-Image pinnen! Nicht
latest, sondern konkretquay.io/keycloak/keycloak:26.6.1! - Staging-Test! Wenn möglich auf zweitem Container testen!
- Zero-Downtime nutzen! Wenn mehrere Instanzen laufen: Rolling Update fahren!
Docker-Compose-Update:
services:
keycloak:
image: quay.io/keycloak/keycloak:26.6.1
command: start
environment:
KC_DB: postgres
KC_DB_URL: jdbc:postgresql://db:5432/keycloak
FAZIT: Dein SSO wird NOCH stärker!
Klare Ansage: Keycloak 26.6.1 ist ein ECHTER Meilenstein! JWT Grant, Federated Client Auth, Workflows, Zero-Downtime – alles, was Admins seit Jahren wünschen!
Mein Rat: HEUTE auf 26.6.1 updaten, MORGEN den ersten Workflow bauen, übermorgen JWT Grant testen! In einem Wochenende bist du auf Enterprise-Niveau!
Auf Lapalutschi.de kommt bald der große Keycloak-Workflow-Guide – mit echten Beispielen! Bleib dran!