Skip to main content
Cloud NativeCybersecurity

Keycloak: cos’è e perché è diventato lo standard per l’Identity & Access Management

Paolo Varalta16 Giugno 202611 min di lettura

Indice dei contenuti
  1. Cos’è Keycloak e come funziona
  2. Keycloak come Identity Provider: SSO, MFA e federazione delle identità
  3. Perché Keycloak è una scelta enterprise
  4. Keycloak nei contesti regolamentati: NIS2 e DORA
  5. Keycloak nelle architetture cloud-native
  6. Funzionalità avanzate e integrazioni
  7. Limiti e complessità di Keycloak: cosa considerare
  8. Da Keycloak a un IAM completo: quando serve un servizio gestito
  9. FAQ

In un contesto in cui la gestione delle identità digitali è diventata un tema centrale di governance, le organizzazioni si trovano ad affrontare una sfida concreta: controllare in modo strutturato chi accede a cosa, quando e con quali privilegi.

Le normative europee, come NIS2 e DORA, richiedono oggi non solo di proteggere i sistemi, ma di dimostrare che ogni accesso sia tracciabile, verificabile e conforme. In questo scenario, l’Identity & Access Management (IAM) diventa un elemento indispensabile per la sicurezza e la resilienza operativa.

Ma per rendere questo modello realmente implementabile, serve una piattaforma tecnologica in grado di gestire identità, autenticazione e autorizzazioni in modo centralizzato, scalabile e interoperabile.

Keycloak Identity Provider nasce esattamente per questo.

Cos’è Keycloak e come funziona

In qualsiasi organizzazione digitalmente strutturata, ogni accesso a un sistema, che si tratti di una web application, di un servizio interno o di una API, presuppone una risposta a due domande fondamentali: chi sei? e cosa puoi fare? Rispondere a queste domande in modo coerente, sicuro e scalabile è il compito dell’Identity & Access Management.

Keycloak è una piattaforma open source, sviluppata dalla comunità Red Hat e distribuita con licenza Apache 2.0, progettata esattamente per questo scopo: centralizzare la gestione delle identità digitali e governare gli accessi alle applicazioni aziendali.

In termini tecnici, Keycloak agisce da Identity Provider (IdP): è il sistema che conosce le identità degli utenti, ne verifica le credenziali e rilascia ai sistemi le informazioni necessarie per stabilire chi può accedere a cosa.

La distinzione tra autenticazione e autorizzazione è qui cruciale:

  • Autenticazione → risponde alla domanda “chi sei?” e verifica l’identità
  • Autorizzazione → risponde a “cosa puoi fare?” e stabilisce i permessi

Keycloak gestisce entrambe le fasi attraverso standard aperti e ampiamente riconosciuti, garantendo interoperabilità con l’ecosistema applicativo esistente.


Keycloak non è un semplice sistema di login: è un’infrastruttura di identità che governa ogni punto di accesso dell’organizzazione, dagli utenti umani alle comunicazioni machine-to-machine.

TECHNOLOGIES

Scopri come Keycloak abilita un IAM sicuro in ambienti cloud-native

SCOPRI LA TECNOLOGIA

Keycloak come Identity Provider: SSO, MFA e federazione delle identità

Il caso d’uso più immediato di Keycloak è il Single Sign-On (SSO): un utente si autentica una sola volta e accede a tutte le applicazioni abilitate, senza dover reinserire le proprie credenziali.

In ambienti enterprise con decine di applicazioni (ERP, CRM, portali interni, strumenti di collaboration), questo si traduce in:

  • un’esperienza utente più fluida e uniforme
  • una riduzione della superficie di attacco legata alla proliferazione di credenziali

Keycloak supporta nativamente il Multi-Factor Authentication (MFA), aggiungendo un secondo livello di verifica (TOTP, WebAuthn, email/SMS OTP), configurabile per utenti specifici, ruoli o applicazioni.

In ambienti regolamentati, l’MFA non è una scelta opzionale: è un requisito normativo e una misura di baseline della sicurezza.

Sul fronte degli standard, Keycloak implementa in modo nativo OpenID Connect (OIDC), OAuth 2.0 e SAML 2.0. Questo significa che può integrarsi con qualsiasi applicazione moderna o legacy che supporti questi protocolli.

La federazione delle identità, ovvero la possibilità di collegare directory esterne come Active Directory, LDAP o provider esterni, consente di non dover ricreare da zero il patrimonio identitario esistente, ma di estenderlo e governarlo centralmente.

Perché Keycloak è una scelta enterprise

La scelta di adottare Keycloak in contesti enterprise non è principalmente una questione di costo, sebbene l’assenza di licenze sia un vantaggio concreto, ma di strategia tecnologica e controllo.

Le soluzioni IAM SaaS di mercato offrono rapidità di adozione, ma introducono due vincoli strutturali:

  • dipendenza da un fornitore (vendor lock-in)
  • perdita di sovranità sul dato

In settori come il bancario, l’assicurativo o la pubblica amministrazione, la gestione dell’identità non è delegabile a infrastrutture esterne senza un’attenta valutazione della catena di responsabilità e dei requisiti di residenza del dato.

Keycloak risponde a questo scenario con un modello diverso: il software è open source, il deployment avviene on-premise o su cloud privato controllato dall’organizzazione, e la comunità di sviluppo, supportata da Red Hat/IBM, garantisce continuità evolutiva senza dipendere da un vendor unico.

La flessibilità di integrazione è un altro fattore chiave. Keycloak si adatta all’architettura esistente, non viceversa:

1

può operare come Identity Provider principale
2

può fungere da ponte verso provider esterni
3

può essere integrato in architetture zero-trust


In ambito enterprise, l’identità è un asset critico. Scegliere Keycloak significa mantenere il controllo di questo asset all’interno del proprio perimetro tecnologico e regolatorio

SERVIZIO GESTITO

QUIIAM è il servizio di Identity and Access Management

Basato su Keycloak, progettato per ambienti regolamentati e integrato con i sistemi di logging e audit

SCOPRI IL SERVIZIO

Keycloak nei contesti regolamentati: NIS2 e DORA

L’entrata in vigore della Direttiva NIS2 (recepita in Italia con D.Lgs. 138/2024) e del Regolamento DORA ha trasformato la governance degli accessi da best practice a obbligo normativo. Entrambe le normative richiedono alle organizzazioni di poter dimostrare, non solo garantire, che l’accesso ai sistemi informativi avvenga in modo controllato, tracciabile e conforme.

In questo contesto, un Identity Provider come Keycloak diventa un abilitatore di compliance. Le sue funzionalità native di audit logging consentono di tracciare ogni evento di autenticazione e autorizzazione: chi ha effettuato l’accesso, quando, da dove, a quale applicazione. Queste informazioni sono la materia prima per i report di conformità e per la risposta agli incidenti.

NIS2 introduce in modo esplicito la responsabilità degli organi di amministrazione sulla gestione del rischio cyber, incluso il controllo degli accessi privilegiati. DORA, d’altra parte, richiede che le istituzioni finanziarie gestiscano con rigore il ciclo di vita delle identità digitali, con particolare attenzione ai diritti di accesso degli utenti tecnici e alle terze parti.

Keycloak supporta questi requisiti attraverso la gestione granulare dei ruoli, la definizione di policy di accesso per contesto, e la possibilità di integrare i log con stack di monitoraggio e SIEM aziendali.

Keycloak nelle architetture cloud-native

Le architetture applicative moderne, basate su microservizi, container e ambienti Kubernetes, hanno frammentato il concetto tradizionale di perimetro di sicurezza. In un ambiente cloud-native, non esiste un confine fisico oltre il quale l’utente è automaticamente trusted: ogni richiesta deve essere verificata, ogni servizio deve poter attestare la propria identità.

Keycloak è nato in questo ecosistema e vi si integra nativamente. Distribuisce token JWT (JSON Web Token) firmati che i microservizi possono verificare in modo autonomo senza centralizzare ogni controllo. Si integra con i meccanismi di service mesh come Istio per estendere la governance delle identità al traffico machine-to-machine. Supporta la federazione tra ambienti eterogenei, on-premise, cloud pubblico, multi-cloud, consentendo una visione unificata dell’identità anche in presenza di infrastrutture ibride.

Il paradigma “identity as the new perimeter” è oggi una realtà operativa: Keycloak ne è un’implementazione concreta, scalabile e testata in produzione da migliaia di organizzazioni a livello globale.

Funzionalità avanzate e integrazioni

La profondità tecnica di Keycloak va ben oltre il login federato. La piattaforma espone un’ampia gamma di funzionalità avanzate che ne fanno un substrato IAM completo per architetture enterprise complesse.

Sul fronte della personalizzazione, Keycloak consente di modellare il flusso di autenticazione in modo granulare, definire le informazioni da includere nei token di accesso e le logiche di trasformazione delle identità. La gestione della navigazione post-autenticazione e dei punti di ingresso delle applicazioni è configurabile in modo preciso per soddisfare requisiti applicativi specifici.

L’ecosistema di integrazione copre sia il mondo dell’infrastruttura, con supporto a tool di provisioning e Infrastructure-as-Code come Terraform e Ansible per il deployment e la gestione dichiarativa della configurazione, sia l’ecosistema applicativo, attraverso adapter nativi per le principali piattaforme Java, Node.js, .NET e mobile.

La gestione dei client (le applicazioni che si affidano a Keycloak per l’autenticazione) avviene tramite una console amministrativa centralizzata, con supporto a policy di accesso condizionale, scoped tokens e fine-grained authorization per scenari di controllo degli accessi articolati.

Limiti e complessità di Keycloak: cosa considerare

Keycloak è uno strumento potente, ma la potenza ha un costo: la complessità di configurazione e gestione è significativa. Adottare Keycloak non è come attivare un servizio SaaS: richiede competenze specialistiche in ambito IAM, una progettazione architetturale attenta e una governance continuativa nel tempo.

I principali fattori di complessità includono:

La gestione dell’infrastruttura sottostante (alta disponibilità, backup, patching, aggiornamenti di versione)
La modellazione iniziale di realm, client, ruoli e flussi di autenticazione, che richiede una comprensione profonda dei requisiti applicativi e organizzativi
L’integrazione con sistemi legacy o applicazioni non standard, che può richiedere sviluppo custom
Il monitoraggio continuo: un IdP è un componente critico e la sua indisponibilità impatta l’accesso a tutti i sistemi federati

La distinzione che conta non è tra “Keycloak funziona o non funziona”, ma tra “usare uno strumento” e “avere una soluzione IAM”. La seconda include governance, monitoraggio, aggiornamenti, incident response e allineamento normativo nel tempo.

Quando scegliere Keycloak (e quando no)

Keycloak è la scelta naturale in scenari caratterizzati da complessità identitaria, requisiti di sovranità del dato o obblighi normativi stringenti.

Il confronto evidenzia come la scelta tra Keycloak e soluzioni SaaS dipenda dal livello di complessità, controllo e responsabilità che l’organizzazione è in grado — e intende — gestire.

Il criterio decisionale non è puramente tecnico: è organizzativo. Keycloak è uno strumento per chi vuole, e può permettersi, di governare la propria infrastruttura identitaria in modo autonomo e consapevole.

Da Keycloak a un IAM completo: quando serve un servizio gestito

Keycloak è la base tecnologica di una soluzione IAM enterprise. Ma la tecnologia da sola non costituisce una soluzione: una piattaforma IAM in produzione richiede progettazione iniziale, configurazione, integrazione con i sistemi esistenti, monitoraggio continuo, gestione degli aggiornamenti e risposta agli incidenti.

Questa è la ragione per cui molte organizzazioni che riconoscono il valore di Keycloak scelgono di affidarsi a un servizio gestito: per ottenere i benefici di una piattaforma open source enterprise-grade senza dover costruire internamente le competenze e i processi necessari a gestirla nel tempo.

QuiIAM di Intesys Networking nasce esattamente da questa esigenza: portare Keycloak in produzione come un servizio completo, con SLA definiti, governance dei flussi di autenticazione, integrazione con l’ecosistema IT del cliente e allineamento ai requisiti normativi NIS2 e DORA.

La vera domanda non è “possiamo usare Keycloak?”. È “siamo pronti a gestire un’infrastruttura IAM in produzione, con tutto ciò che comporta?”. QuiIAM risponde a questa domanda con un servizio, non con uno strumento. .

Valutiamo insieme come implementare Keycloak nella tua architettura, nel rispetto dei requisiti normativi e operativi.

CHIEDI ASSESSMENT GRATUITO

FAQ

Che cos’è l’Identity and Access Management (IAM) e perché oggi è fondamentale per le aziende?

L’Identity and Access Management (IAM) è l’insieme di processi, policy e tecnologie che governano l’intero ciclo di vita delle identità digitali e regolano chi può accedere a quali risorse, in quali condizioni e con quali privilegi.
Oggi l’IAM è fondamentale perché la maggior parte degli incidenti cyber sfrutta credenziali valide e accessi legittimi. Senza un presidio strutturato delle identità, non è possibile garantire sicurezza, auditabilità e continuità operativa, soprattutto in ambienti cloud e multifornitore.

Qual è la differenza tra IAM, autenticazione e Single Sign‑On (SSO)?

Autenticazione e Single Sign‑On (SSO) sono componenti dell’IAM, ma non coincidenti con esso.
L’autenticazione verifica l’identità di un utente, mentre l’SSO semplifica l’accesso permettendo di usare un’unica sessione per più applicazioni.
L’IAM include anche autorizzazione, gestione dei privilegi, provisioning e deprovisioning degli utenti, audit degli accessi e governance complessiva delle identità. In altre parole, IAM non riguarda solo “come si accede”, ma perché, con quali responsabilità e per quanto tempo.

Perché l’Identity and Access Management è un requisito chiave per NIS2 e DORA?

Le normative NIS2 e DORA richiedono alle organizzazioni di dimostrare un controllo effettivo sugli accessi ai sistemi critici, la tracciabilità delle attività e la capacità di revocare rapidamente i privilegi in caso di incidente.
Un programma IAM strutturato consente di documentare chi ha accesso a cosa, con quali autorizzazioni e sulla base di quali regole, rendendo verificabili audit, controlli e responsabilità. Senza IAM, la compliance resta formale e non dimostrabile nel tempo.

Articoli correlati

Cloud Native Intesys Networking ottiene la certificazione ISO 9001 per la qualità dei servizi IT

Intesys Networking ottiene la certificazione ISO 9001 per la qualità dei servizi IT

Alessandro Caso
Alessandro Caso27 Maggio 2026
Cloud NativeCybersecurity Identity and Access Management nel 2026: governance, compliance e resilienza operativa

Identity and Access Management nel 2026: governance, compliance e resilienza operativa

Paolo Varalta
Paolo Varalta6 Maggio 2026
Cloud NativeCybersecurity Elasticsearch: la piattaforma per osservabilità, sicurezza e controllo dell’infrastruttura IT

Elasticsearch: la piattaforma per osservabilità, sicurezza e controllo dell’infrastruttura IT

Paolo Varalta
Paolo Varalta21 Aprile 2026
Paolo Varalta

Autore Paolo Varalta

Amo l'automazione, il monitoraggio e la documentazione. In Intesys Networking mi occupo di definire e implementare i vari servizi gestiti offerti dall'azienda e di aiutare le aziende ad approcciare il Cloud e le tematiche di sicurezza.

Altri post di Paolo Varalta
CONTATTACI