Einsatzfelder

Signando Keycloak schützt Identity-Infrastruktur in regulierten Branchen.

🏦

Banken & Finanzdienstleister

Strikte OIDC-Policies durchsetzen, ROPC-Grant-Types blockieren und Admin-API-Endpoints schützen. BAIT/VAIT-Anforderungen mit Audit-Logging und Compliance-Reporting erfüllen.

  • Clientspezifische Scope-Whitelists für PSD2-APIs
  • PKCE-Enforcement für Mobile-Banking-Apps
  • Admin-API-Read-Only-Modus für Produktionsumgebungen
  • Token-Lifetime-Enforcement (kurzlebige Tokens)
🏥

Gesundheitswesen

Patientenidentitätsdaten mit SAML-XXE-Prävention und strikter Redirect-URI-Validierung schützen.

  • SAML-Signature-Wrapping-Prävention
  • Claim-Leakage-Erkennung (PII in Tokens)
  • Redirect-URI-Whitelist für Patientenportale
  • Audit-Trail für alle Authentifizierungsereignisse
🏛️

Behörden & öffentlicher Sektor

BSI-IT-Grundschutz-konformer Keycloak-Schutz mit voller 4-Prozess-Isolation und starken Netzwerkgrenzen.

  • Full-Deployment-Modus mit 4 isolierten Netzwerken
  • Master-Realm-Schutz (unveränderlich)
  • Export-Prävention (keine Credential-Exfiltration)
  • BSI-Grundschutz-Compliance-Mapping
☁️

Multi-Tenant SaaS

Multi-Tenant-Keycloak-Deployments mit Realm-Isolation und clientspezifischen Policies absichern.

  • Realm-Whitelist-Durchsetzung
  • Clientspezifische Grant-Type- und Scope-Policies
  • Bulk-Operationserkennung
  • Rate-Limiting pro client_id

Energie & Kritische Infrastruktur

SCADA- und OT-System-Identity-Provider mit Defense-in-Depth schützen.

  • 4-Prozess-Isolation mit Air-Gapped-Netzwerken
  • Static-Binary-Deployment (minimale Angriffsfläche)
  • Keine Runtime-Abhängigkeiten (FROM scratch Container)
  • Konfigurierbare Timeouts für High-Latency-Netzwerke
🎓

Bildung & Forschung

Shibboleth-föderiertes Keycloak mit SAML-Sicherheit schützen.

  • SAML-XXE- und Signature-Wrapping-Prävention
  • Algorithmus-Enforcement (schwaches SHA-1 blockieren)
  • Assertion-Größenlimits
  • Free Tier für Evaluierung und Entwicklung