Keycloak self-hosted vs IAM gestito: TCO e rischi
Keycloak è un identity provider open-source maturo e capace, e per molti team è la scelta naturale per partire senza costi di licenza. Ma il prezzo del software è solo la punta dell'iceberg: gestirlo in produzione comporta un costo totale di possesso (TCO) e una serie di rischi che vanno valutati prima di decidere tra build e buy.
Build vs buy: il confronto non è sul prezzo di licenza
Keycloak è gratuito da scaricare, e questo spinge molte organizzazioni a considerarlo "a costo zero". Il confronto corretto, però, non è tra una licenza e un canone, ma tra il costo totale di un sistema che gestisci tu e quello di un servizio gestito. Quando includi infrastruttura, tempo del team, patch di sicurezza e responsabilità di compliance, il quadro cambia radicalmente.
Cosa significa davvero self-hostare Keycloak
Mettere Keycloak in produzione non è installare un container e dimenticarsene. Un'istanza affidabile per un'azienda richiede una lista di attività continuative, non una tantum:
- Alta disponibilità: cluster multi-nodo, bilanciamento e replica del database per evitare che l'identity provider diventi un single point of failure.
- Backup e disaster recovery testati: se perdi il database delle identità, blocchi l'accesso a tutte le applicazioni collegate.
- Patch e aggiornamenti: applicare tempestivamente le release di sicurezza e gestire le migrazioni tra versioni major, spesso non banali.
- Monitoraggio e logging: metriche, alerting e conservazione dei log di accesso per audit e indagini.
- Hardening e gestione dei segreti: configurazione sicura, rotazione di chiavi e certificati, protezione degli endpoint amministrativi.
Il TCO nascosto del self-hosting
Il costo dominante non è l'infrastruttura, ma il tempo di persone specializzate. Servono competenze su Keycloak, sul database, sulla rete e sulla sicurezza, e queste competenze devono restare disponibili nel tempo, ferie e turnover compresi. A questo si aggiunge il costo del rischio: ogni ora di downtime dell'identity provider è un'ora in cui nessuno accede ai sistemi.
- Personale: progettazione, esercizio (on-call) e manutenzione continuativa dell'infrastruttura di identità.
- Infrastruttura: nodi applicativi ridondati, database gestito, bilanciatori, ambienti di staging e DR.
- Sicurezza e compliance: hardening, gestione vulnerabilità, audit periodici e produzione delle evidenze per GDPR, NIS2 e ISO 27001.
- Rischio operativo: costo di downtime e incidenti, difficili da quantificare ma molto reali quando l'IdP è critico.
I rischi del self-hosting
Sicurezza e finestra di patch
L'identity provider è uno degli obiettivi più sensibili dell'intera infrastruttura: comprometterlo significa compromettere l'accesso a tutto. Con il self-hosting sei tu a dover applicare le patch entro la finestra giusta e a configurare correttamente ogni componente. Una vulnerabilità non corretta o una misconfigurazione dell'endpoint amministrativo possono esporre l'intera organizzazione.
Compliance e responsabilità del dato
Con Keycloak self-hosted i dati personali e le credenziali risiedono nella tua infrastruttura, e la responsabilità di proteggerli e di dimostrare la conformità (GDPR, NIS2, ISO 27001) è interamente tua. Produrre le evidenze per un audit richiede processi e documentazione che vanno costruiti e mantenuti.
Continuità e dipendenza dalle persone
La conoscenza di come è configurato e tenuto in piedi il cluster tende a concentrarsi in poche persone. Se se ne vanno, il rischio operativo aumenta proprio sul sistema più critico.
Quando Keycloak self-hosted ha senso
Il self-hosting resta una scelta legittima in scenari precisi: quando hai requisiti di personalizzazione estremi che richiedono il controllo totale del codice, vincoli che impongono di tenere tutto su infrastruttura proprietaria, e — soprattutto — un team dedicato con le competenze e la capacità di presidiare l'identity provider 24/7 nel tempo.
Quando conviene un IAM gestito
Per la maggior parte delle organizzazioni che vogliono concentrarsi sul proprio prodotto invece che sull'esercizio dell'infrastruttura di identità, un IAM gestito riduce il rischio e rende prevedibile il costo:
- Alta disponibilità, backup e disaster recovery sono responsabilità del provider.
- Patch di sicurezza e aggiornamenti applicati senza impegnare il tuo team.
- Compliance e certificazioni mantenute dal fornitore, con evidenze pronte per gli audit.
- Costo a canone prevedibile, senza picchi imprevisti legati a incidenti o migrazioni.
Tabella di confronto
| Aspetto | Keycloak self-hosted | IAM gestito |
|---|---|---|
| Costo di licenza | Nessuno (open source) | Canone prevedibile |
| Costo reale dominante | Personale e rischio operativo | Canone del servizio |
| Alta disponibilità e DR | A tuo carico | Inclusi nel servizio |
| Patch di sicurezza | Responsabilità tua | Gestite dal provider |
| Compliance e audit | Da costruire e mantenere | Mantenute dal fornitore |
| Personalizzazione | Massima | Ampia, entro la piattaforma |
| Time-to-value | Settimane/mesi di setup | Rapido |
LoginMaster: un IAM gestito europeo
Se stai valutando Keycloak ma vuoi evitare il carico operativo del self-hosting, LoginMaster offre un IAM gestito con architettura Tenant-Cloud in cui i dati personali non lasciano mai il tenant del cliente, e il cloud opera solo su dati cifrati e pseudonimizzati. La conformità a GDPR, NIS2 e ISO 27001 è integrata, e l'adozione si basa su standard aperti per evitare il lock-in.
- SSO con Google Workspace e Microsoft Entra ID, 2FA/TOTP e autenticazione a doppia firma.
- Integrazione tramite SDK TypeScript e .NET o REST API, senza gestire infrastruttura.
- Multi-tenant white-label ed esportazione degli eventi verso SIEM (Splunk, QRadar, Sentinel, Elastic).
- Alta disponibilità, patch e backup gestiti dal provider, con costo a canone prevedibile.
Per il confronto diretto vedi la pagina alternativa a Keycloak; per le fondamenta, cos'è l'IAM e la pagina sicurezza. Per valutare il tuo caso concreto, richiedi una demo.
Domande frequenti
Il software Keycloak è open source e gratuito da scaricare, ma il costo reale del self-hosting è dato da infrastruttura, tempo di personale specializzato, patch di sicurezza e responsabilità di compliance. Il confronto corretto è sul costo totale di possesso (TCO), non sul prezzo di licenza.
I rischi principali sono la sicurezza (applicare le patch entro la finestra giusta ed evitare misconfigurazioni dell'identity provider), la compliance (GDPR, NIS2 e ISO 27001 sono interamente a tuo carico) e la continuità operativa, spesso concentrata in poche persone con la conoscenza del cluster.
Un IAM gestito conviene quando vuoi un costo prevedibile e ridurre il rischio operativo, delegando alta disponibilità, backup, patch e compliance al provider. Il self-hosting ha senso con requisiti di personalizzazione estremi e un team dedicato in grado di presidiare l'IdP 24/7.
Sì. LoginMaster è un IAM gestito europeo con architettura Tenant-Cloud in cui i dati personali non lasciano il tenant del cliente, conforme a GDPR, NIS2 e ISO 27001, basato su standard aperti per evitare il lock-in e con costo a canone prevedibile.
Vuoi vedere LoginMaster in azione?
Richiedi una demo personalizzata e scopri come gestire identità e accessi in modo sicuro e conforme.