Okta vs Auth0 vs Managed Keycloak: IAM-Kostenvergleich
Identity and Access Management wird nach zwei Modellen berechnet: pro Nutzer (Okta, Auth0) oder zum Fixpreis (Keycloak). Der Unterschied wächst mit Ihrer Organisation.
Diese Seite vergleicht die drei Optionen, damit Sie die richtige IAM-Plattform für Ihr Budget und Ihre Anforderungen wählen.
Vergleich auf einen Blick
| Okta | Auth0 | VSHN Managed Keycloak | |
|---|---|---|---|
| Preismodell | Pro Nutzer/Monat | Pro monatlich aktivem Nutzer | Fixpreis monatlich |
| Einstiegspreis | $6/Nutzer/Monat | Gratis bis 7'500 MAU | CHF 360/Monat |
| 1'000 Nutzer | ~$6'000/Jahr | ~$840/Jahr | CHF 4'320/Jahr |
| 10'000 Nutzer | ~$60'000/Jahr | ~$8'400/Jahr | CHF 4'320/Jahr |
| 50'000 Nutzer | ~$300'000/Jahr | Individuell (ab $30K) | CHF 4'320/Jahr |
| Datenstandort | USA (AWS) | USA (AWS) | Frei wählbar (Schweizer Cloud, Azure, AWS, On-Premises) |
| Open Source | Nein | Nein | Ja (Apache 2.0) |
| Vendor Lock-in | Hoch | Hoch | Keines |
| SSO-Protokolle | SAML, OIDC | SAML, OIDC | SAML, OIDC, LDAP, Kerberos |
| Self-Hosted möglich | Nein | Nein | Ja (genau das ist es) |
Die Pro-Nutzer-Preisfalle
Okta und Auth0 berechnen pro Nutzer. Das funktioniert im Kleinen, wird aber zur Wachstumsbremse:
- Okta Workforce Identity startet bei $6/Nutzer/Monat (Starter Suite). Mit SSO, MFA und Lifecycle Management rechnen Sie mit $14-17/Nutzer/Monat (Essentials/Professional). Enterprise-Preise auf Anfrage.
- Auth0 berechnet pro monatlich aktivem Nutzer (MAU). Das Gratis-Tier umfasst 7'500 MAU. Darüber hinaus startet Essentials bei $35/Monat, Professional bei $240/Monat. Enterprise-Verträge beginnen bei rund $30'000/Jahr.
Managed Keycloak kostet CHF 360/Monat. Keine Nutzergebühren. Management, Support und Software bleiben gleich, ob Sie 100 oder 100'000 Nutzer haben. Bei steigendem Anfragevolumen kann zusätzliche Cloud-Infrastruktur nötig werden — VSHN übernimmt die Kapazitätsplanung, die Cloud-Ressourcen werden separat zum Einkaufspreis berechnet.
Kosten im Vergleich: 10'000 Mitarbeitende
| Lösung | Jahreskosten | Beinhaltet |
|---|---|---|
| Okta Essentials | ~$170'000 | SSO, MFA, Lifecycle, Cloud-Hosting |
| Auth0 Enterprise | ~$30'000+ | Individuelle Preise, Cloud-Hosting |
| VSHN Managed Keycloak (Best Effort) | CHF 4'320 | SSO, MFA, Federation, Schweizer Hosting, 24/7 Monitoring |
| VSHN Managed Keycloak (99.99% SLA) | CHF 18'000 | Alles oben + 24/7-Pikettdienst, SLA mit Service Credits |
Selbst mit dem 99.99%-SLA-Tier kostet Managed Keycloak einen Bruchteil von Okta. Die Differenz finanziert Ihr gesamtes IAM-Team.
Was Sie mit Keycloak aufgeben
Keycloak ist kein 1:1-Ersatz für alles, was Okta und Auth0 bieten:
- Kein integrierter Verzeichnisabgleich — Okta hat tiefe HR-System-Integrationen (Workday, BambooHR). Keycloak nutzt LDAP/AD-Federation oder eigene Provider.
- Kein vorgefertigter App-Katalog — Oktas Integration Network hat 7'000+ vorkonfigurierte Apps. Keycloak erfordert manuelle SAML/OIDC-Konfiguration pro App.
- Kein verwaltetes Passwordless im grossen Stil — Oktas FastPass und Auth0s Passkey-Support sind ausgereifter. Keycloak unterstützt WebAuthn, erfordert aber mehr Konfiguration.
- Self-Managed-Komplexität — ohne VSHN erfordert Keycloak im Produktionsbetrieb Kubernetes-Expertise, Datenbank-Management und Upgrade-Planung.
Hier kommt die Partnerschaft VSHN + Inventage ins Spiel: VSHN betreibt die Infrastruktur, Inventage bringt die Keycloak-Expertise — inklusive individueller Authentifizierungsflows, SSO-Integrationen und Theme-Entwicklung. Wenn Sie die Auth0-Actions-Anpassungen auch nicht selbst bauen würden, entwickelt Inventage das Pendant in Keycloak für Sie. Sie erhalten den Kostenvorteil von Open Source mit professionellem Support auf Plattform- und Applikationsebene.
Was Sie mit Keycloak gewinnen
- Digitale Souveränität — Identität ist die fundamentalste Schicht Ihrer IT. Sie verbindet jede Anwendung. Wenn Ihr Identity Provider nicht souverän ist, ist keine Ihrer Anwendungen souverän. Keycloak ist Apache 2.0 — Ihre Konfiguration, Themes und Extensions gehören Ihnen. Kein Anbieter kann die Konditionen ändern, Preise erhöhen oder Funktionen einschränken. Mehr in unserer Souveränitätsbewertung nach dem EU Cloud Sovereignty Framework.
- Ihre Infrastruktur, Ihre Regeln — VSHN betreibt Keycloak dort, wo Sie es brauchen: auf Schweizer Cloud (cloudscale.ch, Exoscale) für Datenhoheit, oder in Ihrem bestehenden Azure- oder AWS-Tenant, damit Identität neben Ihren Anwendungen läuft. In beiden Fällen gehört die Infrastruktur Ihnen und Sie kontrollieren den Zugang. Bei Okta oder Auth0 liegen Ihre Credentials auf deren AWS-Konto.
- Voller Funktionsumfang — kein Feature-Gating hinter teuren Stufen. SSO, MFA, feingranulare Autorisierung, User Federation, eigene Themes und SCIM sind inklusive.
- Unbegrenzte Nutzer — keine Nutzergebühren. Der Servicepreis ist fix; nur die Cloud-Infrastruktur skaliert mit der Last (und VSHN übernimmt die Kapazitätsplanung).
- FINMA-konform — ISO 27001 zertifizierter Betrieb, Schweizer Datenstandort, audit-fähige Dokumentation.
Managed Keycloak Preise
| Dienst | Monatspreis | Was Sie erhalten |
|---|---|---|
| Managed Keycloak (Best Effort) | CHF 360 | 1 Instanz, Monitoring, Backups, Upgrades, Support zu Bürozeiten |
| Managed Keycloak (99.99% SLA) | CHF 1'500 | 2 Instanzen (HA), 24/7-Pikettdienst, SLA mit Service Credits, Dev/Test-Instanz inklusive |
| Beratungspaket (Inventage) | CHF 8'000 | 5 Tage / 40 Stunden: Architektur, Auth-Flows, Integration, Anpassungen |
Cloud-Infrastrukturkosten (Compute, Storage) werden separat vom Anbieter berechnet.
Wann welche Option die richtige ist
Okta wählen, wenn: - Sie 7'000+ vorgefertigte App-Integrationen sofort benötigen - HR-System-Abgleich (Workday, BambooHR) geschäftskritisch ist - Sie Budget für Pro-Nutzer-Preise haben und kein schnelles Nutzerwachstum erwarten - US-Datenhosting akzeptabel ist
Auth0 wählen, wenn: - Sie Auth0s Actions-Pipeline für hochgradig individuelle Login-Flows benötigen (Progressive Profiling, Bot-Erkennung, Drittanbieter-Enrichment beim Login) — Keycloak hat Authentication Flows und SPIs, aber diese erfordern Java statt JavaScript - Sie ein verwaltetes B2B-Multi-Tenant-Setup mit Organisation-spezifischem Branding ab Werk wollen (Auth0 Organizations) — Keycloak kann das mit Realms, erfordert aber mehr Konfiguration - Ihre MAU-Anzahl planbar ist und in Auth0s Preisbereich fällt
VSHN Managed Keycloak wählen, wenn: - Ihre Daten in der Schweiz bleiben müssen (FINMA, Schweizer Datenschutz, interne Richtlinien) - Sie planbare Kosten wollen, die nicht mit der Nutzerzahl skalieren - Sie volle Kontrolle über Ihre IAM-Plattform ohne Vendor Lock-in brauchen - Sie Open-Source-Technologie mit professionellem Schweizer Betrieb wollen - Sie Okta oder Auth0 ablösen, um bei wachsender Nutzerzahl Kosten zu sparen
Nächste Schritte
Bereit, Keycloak für Ihre Organisation zu evaluieren? Buchen Sie ein kostenloses 15-Minuten-Gespräch. Wir prüfen Ihr aktuelles IAM-Setup und schätzen den Migrationsaufwand.