Wer Keycloak einsetzt, bekommt ein Self-Service-Portal für Benutzer gleich mit dazu. Es ist funktional, schlicht – und ehrlich gesagt: keine große Überraschung.
Aber es erfüllt seinen Zweck.
In diesem Beitrag schauen wir uns an, was Nutzer:innen im Keycloak Account-Portal konkret machen können – und wo man vielleicht mehr erwartet, als tatsächlich geboten wird. Trotzdem: Für viele Szenarien reicht das aus – wenn man weiß, was drinsteckt (und was nicht).
1. Passwort ändern & zurücksetzen
Natürlich: Das Self-Service-Portal ermöglicht es, ein vergessenes Passwort zurückzusetzen – per E-Mail-Link oder Sicherheitsverfahren.
Aber auch das aktive Ändern des Passworts nach dem Login ist möglich, z. B. bei verdächtigen Aktivitäten oder nach Aufforderung durch die Admins.
2. Persönliche Benutzerdaten bearbeiten
Nutzer:innen können direkt ihre Profilinformationen ändern, darunter:
- Vor- und Nachname
- E-Mail-Adresse
- Benutzername (je nach Konfiguration)
- Weitere benutzerdefinierte Felder (mit etwas Konfiguration)
Das reduziert Rückfragen beim Support und sorgt dafür, dass Daten aktuell bleiben.
3. Zwei-Faktor-Authentifizierung (2FA) verwalten
Das Portal erlaubt die eigene Verwaltung von 2FA-Geräten:
- Einrichtung per TOTP (z. B. Google Authenticator)
- QR-Code scannen und direkt aktivieren
- Geräte entfernen oder neu hinzufügen
So wird der Zugang zusätzlich abgesichert – ohne Aufwand für den Admin.
4. Aktive Sitzungen & Geräte verwalten
Nutzer sehen, wo und wann sie eingeloggt sind:
- Übersicht über aktive Sessions (inkl. IP & Datum)
- Möglichkeit, gezielt oder global auszuloggen („Logout Everywhere“)
Gerade bei der Arbeit an verschiedenen Geräten oder unterwegs ist das ein wichtiges Sicherheitsfeature.
5. Verknüpfte Logins (Identitätsanbieter) verwalten
Wenn Social Logins (wie Google, GitHub, etc.) aktiviert sind, können Nutzer:
- Neue externe Konten verknüpfen
- Bestehende Verbindungen entfernen
- Zwischen verschiedenen Logins wechseln
Das erhöht den Komfort und ermöglicht flexible Authentifizierungswege.
6. Zustimmungen verwalten (OIDC-Consents)
Bei bestimmten Flows (z. B. mit Einwilligung in die Datenfreigabe) können Nutzer:innen ihre erteilten Berechtigungen einsehen und widerrufen.
Beispiel: Eine Web-App darf auf die E-Mail-Adresse zugreifen – diese Zustimmung kann rückgängig gemacht werden.
7. Sprache & Oberfläche anpassen
Das Portal unterstützt mehrere Sprachen – und die Nutzer:innen können die Sprache direkt selbst auswählen.
Mit eigenen Themes und Textanpassungen lässt sich das Design an das Corporate Design anpassen.
Kurzer Blick auf mögliche Verbesserungen
Keycloak bietet eine solide Self-Service-Basis – doch in der Praxis zeigen sich einige Lücken, die du als Unternehmen kennen solltest:
- Keine intuitive Verwaltung von FIDO2-Geräten (z. B. Sicherheitsschlüssel)
- Kein Feedback- oder Support-Formular direkt im Portal
- Limitierte Möglichkeiten für Benutzerdefinierte Felder mit Validierung
- Keine visuelle Anzeige von Aktivitäten oder Änderungen am Account
Für viele Anwendungsfälle reicht der Funktionsumfang aber völlig aus – und wer mehr will, kann Keycloak über Erweiterungen und Themes gezielt ausbauen.
Fazit
Der User Account Service von Keycloak ist mehr als ein Passwort-Reset-Tool.
Er gibt Nutzer:innen Kontrolle über ihre Identität – von 2FA über Logins bis zu Profilverwaltung.
Gerade in Self-Service-orientierten Unternehmen hilft das Portal, den Support zu entlasten und die Sicherheit zu erhöhen.
Mit etwas Feinschliff lässt sich daraus ein benutzerfreundliches, sicheres und anpassbares Zentrum für digitale Identitäten machen.