Granulare Zugriffskontrolle und dynamische Rollen in Multi-Tenant-SaaS-Anwendungen mit Keycloak

Das moderne SaaS-Dilemma: Mandanten, APIs und differenzierte Zugriffsmodelle

SaaS-Business boomt - aber wie gelingt es, Zugriffsrechte so zu steuern, dass Mandanten getrennt, Rollen flexibel und Sicherheitsstandards eingehalten werden? In einer Multi-Tenant-Plattform möchten Sie beispielsweise Folgendes abbilden:

• Jeder Mandant hat eigene Nutzer und Rollen
• Fein granulierte Rechte: Wer darf welche Reports sehen, Daten exportieren, Einstellungen verändern
• Mandantenspezifische Gruppen und Attribute zur feindosierten Zugriffskontrolle
• Unterschiedliche Zugriffsebenen für APIs, Portale und interne Dienste
• Selbständige Verwaltung der Rechte durch Mandanten-Admins möglich machen

Klassisches Rollenmanagement stößt hier schnell an Grenzen - Ad-hoc-Lösungen werden komplex, fehleranfällig und schwer wartbar.

Die Zielgruppe

• Product Owner und SaaS-Architekten
• Entwickler cloud-basierter Plattformen
• RBAC/ABAC-Designer und Security Engineers

Herausforderungen: Multi-Tenancy trifft auf rollenbasierte Sicherheit

Multi-Tenant-SaaS-Anwendungen müssen hochflexible Zugriffsmodelle bieten. Einzelne Mandanten (Kunden) verlangen isolierte Datenräume, individuelle Rollen, das Einbinden neuer Rechte, und granulare Steuerung von Aktionen.

Typische Fragen:

• Wie stelle ich sicher, dass Mandanten sauber voneinander getrennt bleiben?
• Wie realisiere ich dynamische Rollenzuweisung, z.B. für zeitlich oder attributbasierte Berechtigungen?
• Wie kann ich Rechte pro Mandant, Applikation und API-Endpunkt steuern?
• Was passiert, wenn sich Mandanten-Strukturen oder Rechte kurzfristig ändern?
• Wie bleibt mein System auditierbar und compliant?

Warum Keycloak? Die IAM-Plattform für flexible Access Control

Keycloak bringt als Open-Source IAM-Lösung alles mit, was moderne SaaS-Anbieter für differenziertes Rechtemanagement benötigen:

• Realms für Mandantentrennung (virtuelle Identitätsräume)
• Rollen- und Gruppenmodelle: Realm-Rollen, Client-Rollen, Composite Roles
• Attribute-basierte Berechtigungen (ABAC): Zugriff nicht nur nach Rolle, sondern auch nach User-Attributen, Kontext (z.B. Abteilung, Region)
• Dynamische Rollenzuweisung via Admin-API, Event-Listener, Custom Mappers
• Resource-basierte Policies (z.B. User Managed Access / UMA)
• Feingranulare APIs für Rechteabfragen (z.B. via Token Claims, Protocol Mappers)
• Self-Service Portale für Mandanten-Admins (delegierte Rechteverwaltung)
• Audit-Trails, Logging, Compliance-Features
• Skalierbarkeit und Mandantenverwaltung per API oder GUI

Mandantenfähige Architektur - Die Keycloak-Komponenten

1. Realms für Mandantentrennung

Ein Realm ist eine eigene Sicherheitsdomäne mit eigenen Nutzern, Rollen, Clients, Gruppen und Policies.

• Jeder Mandant bekommt einen eigenen Realm - maximale Isolation und eigenständiges Management
• Alternativ können große Mandanten als eigene Gruppen mit dedizierten Rollen im gemeinsamen Realm abgebildet werden (effizient bei vielen kleinen Mandanten)

2. Rollen- und Gruppen-Management

• Realm-Rollen: Global für alle Anwendungen innerhalb eines Realms
• Client-Rollen: Spezifisch für eine einzelne Anwendung/API
• Composite Roles: Bündeln mehrere (Client-)Rollen zu Meta-Rollen
• Gruppen: Nutzer lassen sich dynamisch in Gruppen organisieren (z. B. "Finance-Admins", "API-User", "Leser")
• Gruppen-, Rollen- und Attribut-Zuweisung direkt per Admin-API automatisierbar

3. Fine-grained Authorization (UMA, ABAC)

• User Managed Access (UMA): User oder Mandant können granulare Policies für Ressourcen selbst setzen
• Attribute-based Access Control (ABAC): Richtlinien, die nicht nur auf Rollen, sondern auf Benutzerattributen (z.B. Abteilung, Standort, Vertragsstatus) basieren

4. Mächtige Protokoll-Mapper für Tokenindividualisierung

• Dynamische Claims in ID/Access Tokens
• Attribut- und Rolleninformation direkt an die Anwendung übergeben (JWT, SAML Claims)
• Durch Protocol Mapper beliebige Properties und Policies im Token abbildbar

5. Self-Service und delegierte Rechteverwaltung

• Mandanten-Admins können Nutzer und Rollen in ihrem Scope selbst verwalten
• Delegation über Keycloak-Admin-Konsole oder eigene APIs

Praxisbeispiel: Granulare Steuerung in einer B2B-SaaS-Plattform

Ein SaaS-Anbieter betreibt eine Multi-Tenant-Platform für Personalmanagement:

• Mandanten sind eigenständige Firmen
• Jede Firma hat eigene Nutzer, Rollen ("Mitarbeiter", "Manager", "Payroll-Admin") und gruppenspezifische Policies
• Bestimmte Aktionen, wie das Exportieren sensibler Daten oder Gehälter, dürfen nur Finanzmanager des jeweiligen Mandanten durchführen
• Über Keycloak werden alle Zugriffsrechte, Gruppen und Attribute pro Mandant verwaltet - Änderungen können live oder via API vorgenommen werden
• Zugriffspolicies prüfen im Request-Flow: Ist Nutzer Mitglied der passenden Gruppe, trägt das richtige Attribut (z.B. "finance_manager": true) und hat die passende Rolle?
• Über Token-Mapping werden die Berechtigungen sicher an die Applikation übermittelt und dort validiert

Schritt-für-Schritt: Granulare Multi-Tenant-Access-Strategie mit Keycloak

1. Mandanten-Architektur wählen
   • Je Mandant ein Realm (Isolation) oder gemeinsame Realms mit Gruppentrennung
   • Naming, Domain, Lebenszyklus der Mandanten festlegen
2. Rollen- und Gruppenstruktur modellieren
   • Gemeinsame vs. mandantenspezifische Rollen
   • Composite Roles für Bündelberechtigungen
   • Gruppen nach Team, Abteilung, Geschäftseinheit anlegen
3. Attributbasierte Kontrolle einführen (ABAC)
   • User- und Gruppenattribute für Policies nutzen
   • Attribute (wie Standort, Costcenter) in Token Claims übergeben
4. Application und API-Integration
   • Keycloak als OIDC/SAML-Provider mit fein abgestimmten Client Scopes
   • Rollen und Attribute ins JWT/Access Token mappen
   • Applikationslogik: Rechte und Gruppenclaims zur Steuerung heranziehen
5. Delegierte Rechteverwaltung aufbauen
   • Mandanten-Admins in Keycloak einrichten, Self-Service mit nachgelagerten Approval-Prozessen
   • Automatisierung/Provisionierung via Admin-API und Event-Listener
6. Policies, Audits und Logging aktivieren
   • Resource Policies, Zeitbasierte Freigaben, Kontext-sensitive Rechte
   • Audit-Trails und zentrale Logging-Integration für Compliance

Best Practices & Tipps

• Konsequent API-driven: Rechte und Rollen automatisiert über CI/CD und Admin-APIs provisionieren
• Testing und Simulation: Prüfmechanismen und Rechte-Checks für jede Mandanten- und Rollenkombination aufsetzen
• Least-Privilege-Prinzip: Rollen und Policies regelmäßig überprüfen und verschlanken
• Attributbasierte Claims restriktiv steuern: Anwendung bekommt nur Claims, die sie tatsächlich braucht
• Mandanten-Lifecycle-Management: Klare Prozesse für Tenant-Onboarding und -Offboarding implementieren
• Rechte-Delegation dokumentieren und nachhalten: Übergabe von Admin- und Management-Rechten sauber nachvollziehbar machen

FAQ: Dynamische Rollen und Zugriffskontrolle mit Keycloak

Können Mandanten-Admins Nutzer und Rollen selbst verwalten?

Ja, mit spezifizierten Rechten im Realm oder via Admin-API kann Self-Service in Teilbereichen sicher umgesetzt werden.

Wie wird sichergestellt, dass Mandanten vollständig voneinander getrennt bleiben?

Nutzt man je Mandant einen eigenen Realm, gibt es Security-bedingt keinerlei Überschneidungen zwischen den Domains - Keycloak garantiert Isolation.

Unterstützt Keycloak auch Attribute-based Access Control (ABAC)?

Ja, Policies können auf jede beliebige Nutzerinformation (Custom Attributes oder Gruppen-Properties) zugreifen und im Token transportieren.

Wie werden Änderungen an Rollen und Policies automatisiert?

Über die Keycloak-Admin API, Event-Listener oder Integration in DevOps-Workflows (CI/CD) können Berechtigungen, Gruppen und Policies automatisch und konsistent provisioniert werden.

Was ist, wenn Mandanten oder Rollenhierarchien sich häufig ändern?

Dank API und Admin-Konsole können Strukturen jederzeit dynamisch angepasst werden - auch massenhaft. Composite Roles und Gruppen minimieren dabei den Pflegeaufwand.

Fazit & Empfehlung

Granulare Zugriffskontrolle und dynamisches Rollenmanagement sind zentrale Erfolgsfaktoren für Multi-Tenant-SaaS-Plattformen und moderne Cloud-Lösungen. Mit Keycloak können Sie diese Anforderungen sicher, flexibel und zukunftsfähig abbilden - von Mandantentrennung bis Policy Engine. Ob B2B-Plattform, APIs oder White-Label-SaaS: Skalieren Sie Ihre Rechteverwaltung, sorgen Sie für Compliance und erhöhen Sie Kundenzufriedenheit - alles zentral gesteuert, open source und mandantenfähig.

Sprechen Sie uns an - wir begleiten Sie von der Architektur bis zur Einführung einer schlanken, sicheren Multi-Tenant-Zugriffssteuerung mit Keycloak!