- Veröffentlicht am
- • How2-Tipps
Keycloak mit LDAP & Active Directory verbinden – Einrichtung, Synchronisation und Praxistipps
- Autor
-
-
- Benutzer
- tmueller
- Beiträge dieses Autors
- Beiträge dieses Autors
-
Viele Unternehmen verfügen bereits über zentrale Benutzerverzeichnisse wie LDAP oder Active Directory (AD), um Konten, Gruppen und Zugriffsrechte zu verwalten. Doch sobald moderne Webanwendungen, Cloud-Dienste oder Open-Source-Plattformen hinzukommen, wird es kompliziert.
Genau hier hilft Keycloak: Es kann sich direkt mit LDAP- und AD-Servern verbinden, Benutzer synchronisieren und als sichere, standardisierte Single Sign-On (SSO)-Lösung dienen – ohne die bestehende IT-Struktur zu verändern.
In diesem Artikel zeigen wir Schritt für Schritt, wie du Keycloak mit LDAP oder Active Directory verbindest, synchronisierst und optimal konfigurierst.
Warum LDAP-Integration in Keycloak?
Die Integration von LDAP oder Active Directory in Keycloak bringt gleich mehrere Vorteile:
✅ Zentrale Benutzerverwaltung – Benutzerkonten bleiben im bestehenden Verzeichnis. ✅ Automatische Synchronisation – Änderungen in LDAP erscheinen auch in Keycloak. ✅ Single Sign-On (SSO) – Eine Anmeldung für alle Anwendungen. ✅ Kein Passwort-Chaos – Keycloak nutzt die Authentifizierung aus dem LDAP/AD. ✅ Sichere Übergänge – Bestehende Systeme bleiben erhalten.
Kurz gesagt: Keycloak erweitert bestehende IT-Umgebungen um moderne Login-Funktionalität, ohne alles neu aufbauen zu müssen.
Voraussetzungen
Für die Integration benötigst du:
- Einen laufenden Keycloak-Server (z. B. via Docker oder Kubernetes)
- Zugriff auf deinen LDAP- oder AD-Server
- LDAP-Zugangsdaten (z. B. Bind DN, Passwort, Base DN)
- Optional: SSL-Zertifikate für LDAPS
Schritt 1: LDAP-Anbindung in Keycloak einrichten
- Melde dich in der Keycloak Admin Console an.
- Wähle den gewünschten Realm (z. B.
organisation). - Gehe zu User Federation → Add provider → ldap
Fülle dann die folgenden Felder aus:
| Einstellung | Beispielwert | Beschreibung |
|---|---|---|
| Edit Mode | READ_ONLY oder WRITABLE |
Steuert, ob Keycloak Benutzer in LDAP ändern darf. |
| Vendor | Active Directory oder Other |
Wähle AD, wenn du Microsoft-Server nutzt. |
| Connection URL | ldap://ldap.example.local:389 oder ldaps://ldap.example.local:636 |
Verbindung zum LDAP-Server. |
| Users DN | ou=Users,dc=example,dc=local |
Basisverzeichnis für Benutzer. |
| Bind DN | cn=admin,dc=example,dc=local |
Account, mit dem Keycloak auf LDAP zugreift. |
| Bind Credential | Passwort | Passwort des Bind-Benutzers. |
| Use Truststore SPI | ldapsOnly |
Für SSL-gesicherte Verbindungen. |
Klicke auf Test Connection → wenn erfolgreich, dann Test Authentication.
Schritt 2: Synchronisation aktivieren
Nach erfolgreicher Verbindung kann Keycloak Benutzer und Gruppen aus LDAP importieren.
- Gehe auf den Reiter Synchronize settings
- Klicke auf Synchronize all users
- Optional: Aktiviere Periodic full sync (z. B. alle 12 Stunden)
Damit bleibt dein Keycloak-Verzeichnis automatisch aktuell.
Tipp: Du kannst auch nur bestimmte Organisationseinheiten (OUs) synchronisieren, indem du in Users DN die gewünschte Struktur angibst.
Schritt 3: LDAP-Attribute zuordnen
LDAP-Felder heißen oft anders als Keycloak-Attribute. Über den Reiter Mappers lassen sich diese abgleichen.
Beispielhafte Mappings:
| Mapper Name | LDAP Attribute | Keycloak Attribute |
|---|---|---|
| Username | sAMAccountName |
username |
mail |
email |
|
| Vorname | givenName |
firstName |
| Nachname | sn |
lastName |
| Gruppenmitgliedschaft | memberOf |
groups |
Das Mapping sorgt dafür, dass Benutzerprofile korrekt angezeigt und Rollen richtig zugeordnet werden.
Schritt 4: Authentifizierung über LDAP aktivieren
Damit sich Benutzer direkt über LDAP anmelden können, musst du den Login-Flow anpassen:
- Gehe zu Authentication → Flows → Browser Flow
- Füge einen Schritt LDAP Authentication hinzu oder aktiviere den bestehenden Provider
- Setze den LDAP-Schritt auf Required
Jetzt prüft Keycloak bei der Anmeldung, ob der Benutzer im LDAP existiert und authentifiziert ihn dort.
Schritt 5: Rollen und Gruppen synchronisieren
Keycloak kann LDAP-Gruppen automatisch als Rollen importieren:
- Aktiviere in den LDAP-Einstellungen Import LDAP Groups
- Aktiviere Membership Attribute (z. B.
memberOf) - Synchronisiere erneut
So entstehen in Keycloak automatisch die passenden Gruppenstrukturen – perfekt für Zugriffskontrollen (z. B. auf WordPress, Nextcloud, OpenProject).
Tipps für den produktiven Einsatz
- SSL aktivieren: Nutze LDAPS (
636) statt unverschlüsseltem LDAP (389). - Read-Only-Modus: Wenn Benutzer ausschließlich im AD gepflegt werden sollen.
- Caching aktivieren: Reduziert LDAP-Abfragen und beschleunigt den Login.
- Mehrere LDAP-Quellen: Keycloak kann mehrere Verzeichnisse gleichzeitig anbinden.
- Benutzer-Reconciliation: Bei Konflikten Keycloak-Master als Priorität setzen.
Beispiel: Verbindung zu Active Directory
Ein typischer AD-Eintrag könnte so aussehen:
Connection URL: ldaps://ad.domain.local:636
Users DN: cn=Users,dc=domain,dc=local
Bind DN: CN=keycloak-sync,OU=ServiceAccounts,DC=domain,DC=local
Edit Mode: READ_ONLY
Vendor: Active Directory
Sobald Keycloak die Verbindung aufgebaut hat, erscheinen alle AD-Benutzer direkt im Benutzerverzeichnis – bereit für SSO und Rollenzuweisung.
Die Integration von LDAP oder Active Directory in Keycloak ist der Schlüssel zur modernen Authentifizierungsarchitektur in Unternehmen. Sie ermöglicht zentrale Benutzerverwaltung, einheitliche Anmeldung und sicheres Rollenmanagement – ganz ohne doppelte Datenpflege.
Keycloak dient als Brücke zwischen klassischer IT-Infrastruktur und modernen Cloud-Anwendungen – souverän, flexibel und vollständig Open Source.