open-how2 – Entdecke. Verstehe. Nutze.
Veröffentlicht am
How2-Tipps

Single Sign-On mit Keycloak für WordPress, Nextcloud & OpenProject – so geht’s

Autor
Single Sign-On mit Keycloak für WordPress, Nextcloud & OpenProject – so geht’s

Wer kennt es nicht: Drei Plattformen, drei Logins, drei Passwörter – und mindestens eines davon ist vergessen. Mit Keycloak als zentralem Identity Provider (IdP) gehört dieses Chaos der Vergangenheit an. Durch Single Sign-On (SSO) meldet sich ein Benutzer einmal an und hat Zugriff auf alle verbundenen Anwendungen – sicher, komfortabel und DSGVO-konform.

In diesem Artikel zeigen wir anhand eines Praxisbeispiels, wie du Keycloak mit WordPress, Nextcloud und OpenProject verbindest – die perfekte Lösung für Organisationen, Kommunen und Unternehmen, die auf Open Source setzen.

Was ist Single Sign-On (SSO)?

Single Sign-On (SSO) bedeutet: Ein Benutzer authentifiziert sich einmal bei einem zentralen System (z. B. Keycloak) und kann danach auf mehrere Anwendungen zugreifen, ohne sich erneut einloggen zu müssen.

Das spart Zeit, reduziert Fehlerquellen und erhöht die Sicherheit. Statt jeder App ihre eigene Benutzerverwaltung zu geben, übernimmt Keycloak die Kontrolle – inklusive 2FA, Rollen und Gruppenverwaltung.

Architekturüberblick

So sieht eine typische SSO-Architektur mit Keycloak aus:

[User] → [Keycloak Login] → [WordPress / Nextcloud / OpenProject]

Keycloak dient dabei als zentraler OpenID Connect- oder SAML-Provider, der Benutzerdaten (Name, E-Mail, Rollen) an die angebundenen Systeme übergibt.

Voraussetzungen

Für unser Beispiel brauchst du:

  • Einen laufenden Keycloak-Server (z. B. via Docker oder Kubernetes)
  • Administratorzugang zu WordPress, Nextcloud und OpenProject
  • HTTPS-Zugriff auf alle Systeme
  • Grundkenntnisse zu OIDC / SAML

Teil 1: Keycloak vorbereiten

Realm und Benutzer anlegen

  1. Melde dich in der Keycloak-Admin-Konsole an.
  2. Lege einen neuen Realm an (z. B. organisation).
  3. Füge Benutzer hinzu und weise Rollen oder Gruppen zu.

Clients für die Anwendungen erstellen

Erstelle für jede App (WordPress, Nextcloud, OpenProject) einen eigenen Client.

Beispielkonfiguration (OIDC):

  • Client ID: wordpress
  • Client Protocol: openid-connect
  • Root URL: https://wordpress.example.de/
  • Redirect URI: https://wordpress.example.de/*
  • Confidential Access: aktiviert
  • Standard Flow Enabled:

Merke dir:

  • Client ID
  • Client Secret
  • Issuer URL (https://keycloak.example.de/realms/organisation)

Diese Angaben brauchst du in jeder Zielanwendung.

Teil 2: WordPress mit Keycloak verbinden

Für WordPress gibt es mehrere SSO-Plugins, das bekannteste ist: 👉 “OpenID Connect Generic Client” (kostenlos im Plugin-Verzeichnis).

Konfiguration:

  1. Plugin aktivieren
  2. Unter Einstellungen → OpenID Connect Client:
Feld Wert
Login Endpoint URL https://keycloak.example.de/realms/organisation/protocol/openid-connect/auth
Token Endpoint URL https://keycloak.example.de/realms/organisation/protocol/openid-connect/token
Userinfo Endpoint URL https://keycloak.example.de/realms/organisation/protocol/openid-connect/userinfo
Client ID / Secret aus Keycloak übernehmen
Scope openid profile email

Nach dem Speichern kannst du dich in WordPress direkt über Keycloak anmelden – der klassische Login entfällt.

Teil 3: Nextcloud mit Keycloak verbinden

Nextcloud bringt eine native OpenID-Integration mit.

Einrichtung:

  1. Im Nextcloud-Adminbereich auf “SSO & SAML Authentication” klicken.
  2. Modus: OpenID Connect
  3. Felder ausfüllen:
Feld Wert
Issuer URL https://keycloak.example.de/realms/organisation
Client ID nextcloud
Client Secret (aus Keycloak)
  1. Aktivieren und testen.

Beim nächsten Aufruf: automatischer Redirect zur Keycloak-Loginseite.

Teil 4: OpenProject mit Keycloak verbinden

OpenProject unterstützt nativ OpenID Connect ab Version 12.

Schritte:

  1. Admin → Authentifizierung → OpenID Connect aktivieren
  2. Konfiguration:
Feld Wert
Name Keycloak
Identifier keycloak
Issuer URL https://keycloak.example.de/realms/organisation
Client ID openproject
Client Secret (aus Keycloak)
Claim for E-Mail email
Claim for Name preferred_username

Nach der Aktivierung kannst du dich in OpenProject mit deinem Keycloak-Account anmelden.

Vorteile zentraler Anmeldung

Ein Login für alles: Einmal anmelden, überall Zugriff. ✅ Zentrale Benutzerverwaltung: Änderungen oder Sperrungen wirken sofort in allen Systemen. ✅ Sicherheit: Multi-Faktor-Authentifizierung (2FA) lässt sich zentral in Keycloak erzwingen. ✅ Datenschutz: Keine Weitergabe von Passwörtern an Dritt-Apps.

Best Practices

  • Verwende immer HTTPS und sichere deine Keycloak-Instanz mit einem Reverse Proxy (z. B. Traefik oder NGINX).
  • Nutze Rollen und Gruppen in Keycloak, um Berechtigungen in allen Systemen konsistent zu halten.
  • Implementiere regelmäßig Backups deines Realms.
  • Teste neue Clients zuerst in einer Staging-Umgebung.

Mit Keycloak als zentrales Authentifizierungssystem lassen sich Open-Source-Anwendungen wie WordPress, Nextcloud und OpenProject elegant miteinander verbinden. Benutzer melden sich nur einmal an, und Administratoren behalten trotzdem volle Kontrolle über Zugriffe, Rollen und Sicherheit.

Einmal eingerichtet, ist das System schnell, sicher und souverän – ganz im Sinne der digitalen Selbstbestimmung.

Ähnliche Beiträge