Microsoft Entra ID je v roce 2026 de facto standardem pro správu podnikových identit v převážné většině evropských firem. Ve svém jádru je Entra ID velmi robustní IdM systém — autentizace (včetně pokročilého podmíněného přístupu a autentizace na základě rizika), SSO pro tisíce aplikací přes SAML/OIDC, správa životního cyklu uživatelů, governance (správa oprávnění, přezkumy přístupu). Na toto jádro Microsoft postupně navrstvil vrstvu MDM (prostřednictvím integrace Intune), rozšíření pro B2B a B2C a v roce 2025 pokročilou detekci hrozeb řízenou umělou inteligencí.
Klíčová otázka: Co z této funkcionality je skutečně jedinečné pro Entra ID a co lze pokrýt evropskými nebo open-source alternativami?
Relevantní evropské a open-source alternativy v roce 2026
- Authentik , Authentik documentation · link · archived (Německo, licence MIT + komerční podnikové rozšíření) — moderní architektura, velmi dobré uživatelské rozhraní, flexibilní „flow engine" pro vlastní autentizační toky, režim reverzní proxy pro aplikace bez nativní podpory SSO. Vhodné pro malé a středně velké podniky.
- Keycloak , Keycloak documentation · link · archived (Red Hat, projekt v inkubaci CNCF, Apache 2.0) — osvědčená podniková volba, plná podpora LDAP a Active Directory, OAuth 2.0, OIDC, SAML 2.0. Postaveno na Javě, prověřeno v produkci. Hluboká integrace s AD z něj činí nástroj první volby při rozsáhlých podnikových migracích.
- Zitadel , Zitadel documentation · link · archived (Švýcarsko, AGPL 3.0 + komerční licence) — API-first, cloud-native, postaveno na architektuře event-sourcingu. Silné možnosti pro více nájemců (B2B SaaS). Nativní design pro Kubernetes.
- Hanko , Hanko documentation · link · archived (Německo, open source) — modernější přístup s SSO postaveným na passkeys, konkuruje Clerk, Auth0 a Stytch.
Funkční srovnání s Entra ID
| Funkční vrstva | Entra ID | Evropské/open-source alternativy | Mezera |
|---|---|---|---|
| Autentizace (SAML, OIDC, OAuth 2.0) | Ano | Ano (všechny) | Žádná |
| Vícefaktorová autentizace (TOTP, WebAuthn, hardwarové tokeny, push) | Ano | Ano (všechny) | Žádná |
| Single sign-on pro tisíce SaaS aplikací | Kurovaný katalog integrací | Zpravidla vlastní konfigurace přes OIDC/SAML | Integrační úsilí je u alternativ vyšší |
| Podmíněný přístup (kontext, riziko, lokace) | Velmi rozvinutý | Authentik Flow Engine, autentizační toky Keycloak | Alternativy pokrývají základy; detekce řízená AI chybí |
| Integrace Active Directory | Nativní | Keycloak výborně, Authentik dobře | Žádná podstatná |
| Integrace Microsoft 365, SharePoint, Windows | Nativní, hluboká | Formálně přes SAML/OIDC, ale integrační zkušenost je méně plynulá | Podstatná pro organizace hluboko v ekosystému Microsoftu |
| MDM (správa koncových zařízení) | Ano (přes Intune) | Chybí jako integrovaný produkt | Řešení: samostatné MDM (Kandji pro Mac, Headwind MDM pro Android) |
| Governance (přezkumy přístupu, správa oprávnění) | Rozvinutá | Authentik a Keycloak mají základy; rozsah menší | Střední |
| Detekce hrozeb a anomálií řízená AI | Microsoft Entra ID Protection | Zitadel má náznaky v posledních verzích; jinak chybí | Střední až podstatná pro velké podniky |
| Správa zákaznických identit a přístupu (B2C) | Entra External ID | Zitadel multi-tenant výborně, Keycloak Organizations, Hanko | Alternativy jsou na vysoké úrovni |
Kde mezera skutečně leží
Jádro IdM je v evropských a open-source alternativách plně vyspělé a připravené pro podnikové nasazení. Zásadní rozdíl spočívá ve dvou okrajových vrstvách:
- MDM (správa mobilních/koncových zařízení) — Entra ID + Intune tvoří jedno integrované řešení. Bez Microsoftu musí organizace skládat MDM z více komponent podle platformy koncového bodu. To není nemožné (Jamf pro Apple, alternativy pro Android), ale je to provozně složitější.
- Hloubka integrace s ekosystémem Microsoftu — organizace, jejíž koncoví uživatelé pracují ve Windows 11 + Microsoft 365 + Teams + SharePoint, získává od Entra ID bezešvou zkušenost, kterou alternativní IdP ve stejné míře neposkytne. Není to proto, že by alternativy byly funkčně horší, ale proto, že Microsoft navrhuje svůj ekosystém tak, aby Entra ID bylo cestou nejmenšího odporu.
Praktický důsledek
Pro organizaci migrující z Microsoft 365 na Nextcloud (viz kapitola o produktivitě) je migrace IdM logicky navazujícím krokem — většina evropské IdM zátěže se přesune přirozeně, protože zmizí i důvod pro hlubokou integraci s Microsoftem. Pro organizaci, která zůstává v ekosystému Microsoftu na vrstvě koncových bodů, ale chce diverzifikovat IdM z jiných důvodů (suverenita, regulace, náklady), je migrace z Entra ID možná, ale provozní přínos je menší a riziko komplikací vyšší. Z pohledu provozního plánu to znamená: migrace IdM by měla přirozeně navazovat na migraci kancelářské vrstvy, nikoli ji předcházet.