Die Entscheidung zwischen einem Managed Service und einem On-Prem Deployment ist eine grundlegende strategische Frage, die in vielen IT-Projekten auftaucht. Sie betrifft nicht nur die technische Umsetzung, sondern hat auch Auswirkungen auf Betriebskosten, Sicherheit, Wartung und langfristige Flexibilität.
In diesem Beitrag betrachten wir die Unterschiede zwischen Managed und On-Prem Deployment zunächst allgemein, also unabhängig von einer konkreten Softwarelösung. Anschließend beleuchten wir, welche besonderen Überlegungen speziell bei Identity- und Access-Management-Systemen wie Keycloak hinzukommen – denn hier gelten einige zusätzliche Spielregeln.
Managed Deployment – bequem, aber mit Grenzen
Bei einem Managed Deployment übernimmt ein externer Dienstleister den technischen Betrieb, das Monitoring, regelmäßige Updates und – je nach Service-Modell – auch Themen wie Skalierung, Backup und Sicherheitspatches.
Vorteile:
- Geringer operativer Aufwand
- Schnell einsatzbereit
- Technische Verantwortung liegt beim Anbieter
Typische Einsatzszenarien:
- Kleine bis mittlere Teams ohne dedizierte DevOps-Ressourcen
- Standardisierte Anforderungen ohne hohe Komplexität
- Projekte mit Fokus auf Time-to-Market
On-Prem Deployment – maximale Kontrolle, mehr Aufwand
Ein On-Prem Deployment bedeutet, dass die Software in der eigenen Infrastruktur betrieben wird – ob im eigenen Rechenzentrum oder in einer selbstverwalteten Cloud-Umgebung. Hier trägt das Unternehmen die volle Verantwortung für Installation, Betrieb, Sicherheit, Updates und Skalierung.
Vorteile:
- Volle Kontrolle über Daten, Infrastruktur und Konfiguration
- Flexible Anpassung an individuelle Anforderungen
- Unabhängigkeit von externen Anbietern
Typische Einsatzszenarien:
- Hohe Anforderungen an Datenschutz und Compliance
- Notwendigkeit tiefer technischer Integration
- Wunsch nach maßgeschneiderten Erweiterungen oder Schnittstellen
Vergleich: Managed vs. On-Prem auf einen Blick
| Kriterium | Managed | On-Prem |
| Betriebskosten | Planbar, oft günstiger beim Start | Höher, vor allem initial |
| Betriebsaufwand | Minimal | Eigene Verantwortung für alles |
| Skalierbarkeit | Automatisiert (je nach Anbieter) | Selbst umzusetzen |
| Sicherheit | Abhängig vom Anbieter | Volle Kontrolle, aber auch volle Verantwortung |
| Anpassbarkeit | Eingeschränkt | Vollständig möglich |
| Compliance/DSGVO | Anbieterabhängig | Voll kontrollierbar |
| Time-to-Market | Sehr schnell | Länger, je nach Setup |
Wann eignet sich welche Variante?
Managed Keycloak ist ideal, wenn:
- das Projekt schnell starten muss,
- keine tiefen technischen Anpassungen notwendig sind,
- oder der Betrieb aus Ressourcengründen ausgelagert werden soll.
On-Prem Keycloak lohnt sich, wenn:
- hohe regulatorische Anforderungen bestehen,
- tiefe Systemintegrationen notwendig sind,
- oder besondere Sicherheits- oder Performance-Anforderungen bestehen.
Was bei IAM-Systemen wie Keycloak zusätzlich zu beachten ist
Bei Identity and Access Management (IAM) – und insbesondere bei einer Lösung wie Keycloak – kommen zu den allgemeinen Überlegungen noch spezifische Anforderungen hinzu, die die Entscheidung Managed vs. On-Prem weiter beeinflussen können.
IAM ist sicherheitskritisch
Ein IAM-System verwaltet Identitäten, Zugriff und Autorisierung – und ist damit zentral für die gesamte IT-Sicherheit. Ein Ausfall oder Fehlverhalten hat unmittelbare Auswirkungen auf sämtliche angeschlossene Systeme. Die Entscheidung für ein Deployment-Modell muss daher nicht nur technisch, sondern auch strategisch sicherheitsbewusst getroffen werden.
Compliance und Datenhoheit
IAM-Systeme verarbeiten oft besonders sensible Daten: Namen, E-Mail-Adressen, Rollen, Zugriffsrechte, Login-Zeiten – teilweise auch multifaktorbezogene Informationen. In regulierten Branchen (Gesundheit, Verwaltung, Finanzen) kann es entscheidend sein, wo die Daten liegen und wer sie verarbeiten darf.
Tiefe Systemintegration
Keycloak hängt oft an bestehenden Systemen: AD/LDAP, HR-Datenbanken, kundenspezifischen APIs, internen Portalen. Solche Integrationen erfordern im On-Prem-Setup zwar mehr Aufwand – sind aber meist einfacher vollständig unter eigener Kontrolle umzusetzen.
Erweiterbarkeit und Anpassung
Viele Keycloak-Projekte gehen über den Standard hinaus: Custom Themes, eigene Authentifizierungs-Flows, spezielle Login-Mechanismen, Social Login-Provider oder benutzerdefinierte SPIs. Nicht jedes Deployment-Modell unterstützt solche Anpassungen gleichermaßen. On-Prem bietet hier deutlich mehr Freiheit.
Verfügbarkeit und Redundanz
Ein IAM-System muss immer verfügbar sein – andernfalls können sich Benutzer nicht mehr anmelden oder auf Systeme zugreifen. Ob man sich auf die Verfügbarkeit eines externen Dienstleisters verlässt oder selbst Hochverfügbarkeit plant, ist eine zentrale Architekturfrage.
Fazit
Die Frage „Managed oder On-Prem?“ lässt sich nicht pauschal beantworten – vor allem nicht im Kontext von IAM-Systemen wie Keycloak. Allgemeine Kriterien wie Kosten, Betrieb und Flexibilität spielen eine wichtige Rolle. Bei Keycloak kommen jedoch zusätzliche Faktoren ins Spiel, etwa Sicherheit, Compliance und tiefgreifende Integrationen, die besonders sorgfältig betrachtet werden sollten.
Wer vor dieser Entscheidung steht, sollte nicht nur den kurzfristigen Aufwand betrachten, sondern auch die langfristige Architekturstrategie im Blick behalten. Wenn du dabei Unterstützung brauchst – sei es bei der Bewertung, der Architektur oder dem operativen Setup – stehen wir gerne beratend zur Seite.