open-how2 – Entdecke. Verstehe. Nutze.
Veröffentlicht am
How2-Tipps

Zwei-Faktor-Authentifizierung (2FA) mit Keycloak aktivieren – So geht’s

Autor
Zwei-Faktor-Authentifizierung (2FA) mit Keycloak aktivieren – So geht’s

In einer Welt, in der Passwörter oft der einzige Schutzwall zwischen uns und einem Datendesaster sind, braucht es mehr als nur „123456“. Die Zwei-Faktor-Authentifizierung (2FA) ist das digitale Schloss mit doppeltem Riegel – und mit Keycloak lässt sich dieser Zusatzschutz einfach, flexibel und sicher aktivieren.

In diesem Artikel zeigen wir Schritt für Schritt, wie du 2FA in Keycloak einrichtest, mit welchen Apps sie funktioniert und welche Best Practices deine Umgebung wirklich sicher machen.

Warum Zwei-Faktor-Authentifizierung wichtig ist

Passwörter sind heute so leicht zu knacken wie ein altes Vorhängeschloss im Regen. Phishing, Datenlecks oder schwache Kennwörter sind die Hauptgründe für Sicherheitsvorfälle.

2FA fügt daher eine zweite Schutzebene hinzu:

  1. Faktor 1: Etwas, das du weißt (z. B. dein Passwort)
  2. Faktor 2: Etwas, das du besitzt (z. B. dein Smartphone oder Token)

Selbst wenn ein Angreifer dein Passwort kennt, braucht er immer noch dein Gerät oder den Einmalcode.

Schritt 1: Voraussetzungen prüfen

Du benötigst:

  • Eine laufende Keycloak-Instanz (ab Version 18 oder neuer)
  • Zugriff auf das Admin-Interface

  • Ein Smartphone mit einer OTP-App, z. B.:

    • Google Authenticator
    • Microsoft Authenticator
    • FreeOTP (Open Source)
    • Authy

Schritt 2: OTP in Keycloak aktivieren

  1. Melde dich im Keycloak Admin-Interface an.
  2. Wähle deinen Realm (z. B. „organisation“).
  3. Klicke links auf „Authentication“ → „Flows“.
  4. Suche den Flow „Browser“ und klicke auf „Copy“, um eine eigene Version zu erstellen.
  5. Benenne den neuen Flow z. B. in „Browser with 2FA“ um.

Dann:

  • Klicke auf „Add Execution“.
  • Wähle „OTP Form“ aus.
  • Stelle sicher, dass der OTP-Schritt required ist (Pflicht).

Speichern – und der zweite Faktor ist aktiv!

Schritt 3: Benutzerseitige Einrichtung

Wenn sich ein Benutzer das nächste Mal anmeldet, wird er aufgefordert, einen OTP-Code einzurichten:

  1. QR-Code scannen (in der Keycloak-Oberfläche angezeigt)
  2. Code aus der App eingeben
  3. Aktivierung bestätigen

Ab sofort muss der Benutzer bei jedem Login sein Passwort + den aktuellen Code eingeben.

Schritt 4: Optional – Erzwinge 2FA für alle Benutzer

Damit auch wirklich jeder den zweiten Faktor nutzt:

  1. Gehe zu „Authentication → Bindings“.
  2. Setze den Standard-Login-Flow auf „Browser with 2FA“.
  3. (Optional) Unter „Users → Required Actions“ kannst du den Schritt „Configure OTP“ aktivieren.

Beim nächsten Login müssen alle Benutzer die 2FA aktivieren – kein Vergessen mehr möglich.

Sicherheitstipps für den Alltag

  1. Backup-Codes bereitstellen: Damit Benutzer im Notfall (z. B. Handy verloren) wieder Zugriff bekommen.
  2. Administratoren absichern: Admin-Accounts sollten immer 2FA erzwingen – kompromittierte Admin-Zugänge sind der Super-GAU.
  3. Alternative Methoden nutzen: Neben OTP kann Keycloak auch WebAuthn (FIDO2 / YubiKey) oder SMS-basierte 2FA unterstützen.
  4. Audit-Logs aktivieren: So lässt sich nachverfolgen, wer wann 2FA aktiviert oder deaktiviert hat.

Bonus: App-basierte Authentifizierung mit Keycloak

Keycloak unterstützt TOTP (Time-based One-Time Password) – also zeitbasierte Codes, die sich alle 30 Sekunden ändern. Vorteil: Die Berechnung läuft lokal in der App, keine Cloud oder SMS nötig.

Für Entwickler spannend: Du kannst auch APIs oder Web-Apps so konfigurieren, dass TOTP-Validierung direkt über Keycloak erfolgt – kein zusätzlicher Server erforderlich.

Mit wenigen Klicks lässt sich in Keycloak eine moderne Zwei-Faktor-Authentifizierung (2FA) aktivieren, die Benutzerkonten zuverlässig absichert – egal ob für interne Mitarbeiter, Bürgerportale oder Cloud-Dienste.

Keycloak + 2FA = maximale digitale Souveränität. Sicher, flexibel und komplett unter eigener Kontrolle – ganz ohne Drittanbieter-Abhängigkeit.

Ähnliche Beiträge