095 | Keycloak: un titán de código abierto en el mundo de la identidad

Keycloak: Código abierto y grandes ambiciones

Introducción

En un mundo en el que cada vez más servicios delegan la gestión de usuarios en terceros, Keycloak ofrece un camino distinto. Este proyecto no es solo un conjunto de APIs para el inicio de sesión. Es un servidor de autenticación completo y autosuficiente que promete librarte del dolor de cabeza de gestionar usuarios, protocolos y seguridad. Y, además, sigue siendo de código abierto. Suena a utopía, pero vamos a analizarlo.

La gran promesa

El mensaje de marketing de Keycloak es simple: “Olvida la lógica de autenticación en tu aplicación”. Promete convertirse en el punto de entrada centralizado para todos tus servicios, ofreciendo:

• Inicio de sesión único (SSO): El usuario inicia sesión una vez y obtiene acceso a todas tus aplicaciones.
• Protocolos modernos: Soporta de forma nativa OpenID Connect, OAuth 2.0 y SAML 2.0.
• Autenticación multifactor (MFA): Se puede configurar 2FA para aumentar la seguridad.
• Inicio de sesión social: Conectar el acceso mediante Google, GitHub y otros servicios.

Todo esto es gratuito, con control total sobre tus datos y posibilidad de personalización.

La realidad: Fortalezas y escollos

Ventajas:

• Funcionalidad potente: Keycloak no es un juguete. Puede cubrir el 99% de las necesidades de autenticación. Si necesitas acceso por roles avanzado (RBAC) o integración con LDAP, lo soporta.
• Código abierto: El código abierto permite auditar la seguridad y adaptarlo a tus necesidades.
• Personalización: Se pueden cambiar temas, crear proveedores de autenticación propios y ampliar la lógica mediante las Interfaces de Proveedor de Servicios (SPI).

Desventajas (que son la realidad):

• Complejidad de despliegue y mantenimiento: “Gratis” no significa “sin problemas”. Poner en marcha Keycloak es la mitad del trabajo. Mantenerlo actualizado, aplicar actualizaciones, monitorizarlo y configurarlo es un trabajo aparte que requiere cualificación.
• Exigente en recursos: Keycloak está escrito en Java y requiere recursos considerables. No es adecuado para desplegarse en el VPS más barato.
• Configuraciones no evidentes: Keycloak tiene muchos parámetros poco obvios que pueden causar problemas en producción. Trabajar con él exige profundizar en la documentación, que en ocasiones es incompleta.
• Dependencia: Cuando dependes completamente de Keycloak, se convierte en una pieza crítica de tu infraestructura. Cualquier problema con él puede paralizar todo tu negocio.

Para desarrolladores independientes y equipos pequeños

Keycloak es una excelente opción para quienes:

• Tienen experiencia en DevOps y administración de servidores.
• No quieren pagar por servicios externos, pero están dispuestos a invertir su tiempo.
• Planean escalar la aplicación y necesitan una solución fiable con configuración flexible.

Para equipos pequeños que solo quieren añadir rápidamente el inicio de sesión mediante Google y no dedicar tiempo a la administración, Keycloak puede ser excesivo y complejo. A veces las soluciones SaaS “listas para usar” pueden resultar más rentables si se tiene en cuenta el tiempo del desarrollador.

Veredicto irónico

Keycloak es como un servidor propio que montaste para no pagar por el hosting. Potente, flexible, gratuito, pero requiere que desempeñes los roles de arquitecto, administrador e ingeniero de sistemas. Si estás dispuesto a asumir ese papel, será tu fiel compañero. En caso contrario, es más sencillo ejecutar npm install para Auth0.