Öppen källkod & teknikstack

Keycloak: open source identity management för organisationer

Vad är Keycloak och när passar det?

Keycloak är ett open source-system för identitets- och åtkomsthantering som låter en organisation själv driva inloggning, single sign-on och behörigheter i stället för att hyra det per användare.

Varför det spelar roll

Den gamla pitchen för Keycloak var kostnad: ett gratis alternativ till dyra identitetstjänster. Det argumentet håller fortfarande, men det är inte längre det som avgör. Två regler har flyttat självhostad, EU-kontrollerad identitet från en budgetfråga till en arkitekturfråga.

Cybersäkerhetslagen (SFS 2025:1506) gäller i Sverige sedan 15 januari 2026 och inför NIS2-direktivet (EU 2022/2555) i svensk rätt. Den kräver riskhanteringsåtgärder för nätverks- och informationssystem i 18 sektorer, bland annat offentlig förvaltning, livsmedel, avfall och digitala tjänster. Åtkomstkontroll och stark autentisering hör till de centrala kontrollerna. Identitetslagret är därmed en del av ett lagkrav, inte bara en hygienfaktor.

Samtidigt ska alla 27 EU-länder erbjuda invånare en EU Digital Identity Wallet senast december 2026, enligt eIDAS 2.0 (förordning EU 2024/1183). Det förskjuter identitet från “logga in med lösenord” till verifierbara, selektivt delade referenser. När identitet blir en lagreglerad och suveränitetskritisk kontroll vill fler organisationer äga lagret själva. Det är där Keycloak skiljer sig från en hyrd molntjänst.

Hur det fungerar

Keycloak sitter mellan era användare och era applikationer och sköter två saker: att verifiera vem användaren är (autentisering) och att avgöra vad användaren får göra (auktorisering). I stället för att varje app bygger egen inloggning pekar de alla mot Keycloak.

Tre begrepp bär arkitekturen:

Realm, en isolerad domän med egna användare, roller och inställningar. En organisation kan köra en realm för anställda och en för kunder, helt åtskilda.
Klient, varje applikation som litar på Keycloak för inloggning, kopplad via OpenID Connect, OAuth 2.0 eller SAML 2.0.
Identity brokering och federation, Keycloak kan koppla in befintlig katalog (AD eller LDAP) och agera mäklare mot externa identitetsleverantörer, så användare loggar in med konton de redan har.

Resultatet är single sign-on: användaren loggar in en gång och når alla anslutna appar utan att autentisera om. Keycloak hanterar flerfaktorsautentisering, sessioner och utloggning centralt. Senaste versionen 26.6.0 släpptes 8 april 2026 och utökade bland annat federerad klientautentisering och identity brokering-API:t.

På säkerhetssidan stödjer Keycloak passkeys officiellt sedan version 26.4, de slutgiltiga FAPI 2.0-profilerna och OAuth 2.0 DPoP enligt Red Hats release notes. Sedan januari 2026 kan Keycloak också utfärda verifierbara referenser via OID4VCI, bron in i EUDI-plånboken.

När det passar

Keycloak passar när minst ett av följande väger tungt:

Datasuveränitet. Ni vill att identitetsdata stannar i Sverige eller EU, under er egen kontroll, inte i en leverantörs moln.
Hög användarvolym. Per-användar-priset hos proprietära tjänster blir kännbart vid tusentals användare eller publik kundinloggning. Keycloak har ingen sådan avgift.
Frihet från inlåsning. Ni vill kunna byta drift, hosting eller partner utan att byta identitetsplattform.
Standarder och flexibilitet. Ni har många appar på olika protokoll (OIDC, SAML) och egna autentiseringsflöden som en sluten SaaS-tjänst inte böjer sig efter.
Regelefterlevnad. NIS2 och kommande EUDI-krav gör egen kontroll över identitetslagret till en fördel.

Keycloak är ett CNCF-projekt på Incubating-nivå sedan 2023, vilket motverkar oron att öppen källkod är övergivet underhåll. Projektets GitHub-repo hade drygt 34 700 stjärnor (källa: api.github.com/repos/keycloak/keycloak, hämtad 2026-06-04), ett aktivt, levande projekt snarare än övergivet.

När det inte passar

Keycloak är inte rätt val överallt, och att säga det rakt ut sparar er en dyr omväg.

Rent Microsoft-estate. Kör ni redan Microsoft 365 är Entra ID ofta inbakat och i praktiken gratis. Att resa ett eget Keycloak vid sidan om ger då merarbete utan tydlig vinst.
Ingen vilja att driva infrastruktur. Keycloak är programvara ni ansvarar för. Vill ni inte patcha, härda, övervaka och säkerhetskopiera, och inte heller köpa den driften som tjänst, är en ren SaaS-tjänst ärligare.
Litet, stabilt behov. En handfull interna verktyg och ingen tillväxt i sikte motiverar sällan ett eget identitetslager. Då väger driftansvaret tyngre än licensbesparingen.
Avancerad färdig identity governance direkt ur lådan. Behöver ni omfattande livscykelhantering och åtkomstcertifiering utan egen konfiguration, är specialiserade governance-produkter mognare. Keycloak ger byggstenarna, inte ett färdigt governance-program.

Den ärliga regeln: Keycloak lönar sig när ni har ett skäl att äga identitetslagret. Saknas det skälet, lägg pengarna någon annanstans.

Konkret exempel

Tänk er en svensk myndighet som faller under cybersäkerhetslagen och driver ett trettiotal interna system, ärendehantering, intranät, e-tjänster, analysverktyg. Innan dess hade varje system egen inloggning, egna lösenordsregler och ingen central översikt över vem som hade tillgång till vad. NIS2 kräver nu spårbar åtkomstkontroll och stark autentisering.

Med en Keycloak-realm samlas alla systemen bakom en inloggning. Användarna federeras mot myndighetens befintliga katalog, flerfaktorsautentisering aktiveras centralt, och avstängning av en anställd slår igenom överallt på en gång. Identitetsdatan stannar på servrar i Sverige, under myndighetens egen kontroll, vilket gör datasuveränitets-argumentet konkret i en upphandling.

Digitalist driver Keycloak åt kunder som managed open source-tjänst, där vi tar ansvar för drift, patchning och övervakning medan kunden äger datan och konfigurationen.

Vanliga missförstånd

“Open source betyder gratis.” Programvaran kostar inget i licens, men identitetsdrift kostar i tid och kompetens. Den verkliga jämförelsen är inte Keycloak mot en licensavgift, utan total ägandekostnad mot total ägandekostnad. För många organisationer är driften billigare som köpt tjänst än som egen personal, men gratis är den aldrig.

“Egenhostat är osäkrare än SaaS.” Keycloak stödjer samma och i vissa fall färskare standarder än de kommersiella tjänsterna, FAPI 2.0, DPoP, passkeys. Säkerheten avgörs av hur driften sköts, inte av om koden är öppen. Öppen källkod innebär dessutom att fler granskar koden, inte färre.

“Vi måste välja mellan Keycloak och Microsoft.” Det är inte ett antingen-eller. Keycloak kan agera mäklare mot Entra ID, AD och externa identitetsleverantörer. Ni kan låta anställda logga in med sina Microsoft-konton och ändå äga det centrala lagret, kundinloggningen och de externa integrationerna i Keycloak.

Identitet är inte längre den tysta delen av infrastrukturen. När lagen kräver kontroll och plånboken byter protokoll, blir frågan om vem som äger inloggningen en av de få ni inte vill överlåta.

Vanliga frågor

Keycloak vs Okta vs Entra ID, vad skiljer dem?

Skillnaden ligger i ägande och inlåsning. Okta och Microsoft Entra ID är proprietära SaaS-tjänster: ni hyr identitetslagret per användare och månad, och leverantören styr var data ligger och vilka funktioner som kostar extra. Keycloak är öppen källkod som ni hostar själva, ingen licensavgift per användare, full kontroll över datan, och ni kan köra den i Sverige eller EU. Entra ID är ofta i praktiken gratis i ett befintligt Microsoft 365-estate, vilket gör det till det enklaste valet för en ren Microsoft-organisation. Okta är den mogna molntjänsten med minst egen drift. Keycloak är valet när datasuveränitet, kostnad vid hög användarvolym och frihet från en enskild leverantör väger tyngst.

Är Keycloak säkert nog för en organisation?

Keycloak stödjer de standarder en säkerhetsarkitekt förväntar sig 2026: OAuth 2.0, OpenID Connect och SAML 2.0, plus de slutgiltiga FAPI 2.0-profilerna och OAuth 2.0 DPoP enligt Red Hats release notes (uppdaterad 21 maj 2026). Passkeys är officiellt supporterat sedan version 26.4. Säkerheten beror dock på driften, egenhostad programvara måste patchas, härdas och övervakas. Det är just därför många organisationer kör Keycloak som managed tjänst i stället för att bemanna driften själva.

Vad kostar Keycloak managed?

Själva programvaran är gratis, Keycloak har ingen licensavgift per användare. Kostnaden ligger i driften: hosting, patchning, härdning, övervakning och backup. Köper ni det som managed tjänst betalar ni för den driften i stället för per användare, vilket gör modellen mer förutsägbar ju fler användare ni har, kostnaden följer driftens omfattning, inte användarantalet. Var den konkreta brytpunkten ligger mot en proprietär per-användartjänst beror på er volym och era integrationer och bör räknas på i det enskilda fallet.

Måste vi ha Red Hat för att köra Keycloak i produktion?

Det behövs inte. Keycloak är ett självständigt CNCF-projekt med öppen källkod som vem som helst kan köra i produktion utan kommersiell licens. Red Hat build of Keycloak är en kommersiellt supporterad variant av samma projekt, för organisationer som vill ha en supportavtal i ryggen. Många kör i stället community-versionen med en managed-partner som tar driftansvaret.

Kan Keycloak hantera EU:s digitala identitetsplånbok (EUDI)?

Keycloak kan agera utfärdare av verifierbara referenser via OpenID for Verifiable Credential Issuance (OID4VCI), funktionen aktiveras per klient. Det gör Keycloak till en av få självhostbara broar in i EUDI-ekosystemet, som alla 27 EU-länder ska erbjuda senast december 2026. Stödet är dock uttryckligen experimentellt och under aktiv utveckling, Keycloaks eget team beskriver OID4VCI-stödet som "still experimental" och förväntar att det promotas till preview framåt (källa: keycloak.org, "Setting Up Keycloak as a Credential Issuer with OpenID4VCI", 16 januari 2026, mot Keycloak 26.5.0). Verifieringssidan (OID4VP) och mDoc-formatet är ännu inte mogna i kärnan: mDoc kräver i praktiken community-tillägg, och kärnans OID4VP-endpoints började byggas under våren 2026.

Hur lång tid tar en migration från Okta eller ADFS till Keycloak?

Tiden styrs av antalet integrationer, inte av Keycloak självt. En realm med ett tiotal SAML- och OIDC-klienter, befintlig användarfederation mot AD och tydliga roller går snabbt; ett estate med hundratals appar, anpassade autentiseringsflöden och kundidentitet tar längre. Den tunga delen är att kartlägga och flytta integrationerna, inte att installera servern.

Ammi Bohlin Affärsområdeschef, utveckling · Digitalist Uppdaterad 4 juni 2026

Vill ni omsätta det här i praktiken?

Boka ett kort samtal med en kundansvarig.

Kontakta oss

Vad är Keycloak och när passar det?

Varför det spelar roll

Hur det fungerar

När det passar

När det inte passar

Konkret exempel

Vanliga missförstånd

Vanliga frågor

Fördjupning

NIS2: så uppfyller svenska verksamheter direktivet

Sovereign cloud: vad det är och varför EU pratar om det

Vad är öppen källkod? Därför väljer organisationer det

Datasuveränitet i offentlig sektor: varför det är bråttom

Relaterade tjänster

Managed open source SaaS

Informationssäkerhet och säker utveckling

Systemintegrationer

Vill ni omsätta det här i praktiken?