Microsoft Entra ID ist im Jahr 2026 der De-facto-Standard für das unternehmensweite Identitätsmanagement in der überwältigenden Mehrheit europäischer Unternehmen. In seinem Kern ist Entra ID ein äußerst robustes IdM-System — Authentifizierung (einschließlich erweitertem bedingtem Zugriff und risikobasierter Authentifizierung), SSO für Tausende von Anwendungen über SAML/OIDC, Benutzer-Lifecycle-Management sowie Governance (Berechtigungsmanagement, Zugriffsüberprüfungen). Auf diesem Kern aufbauend hat Microsoft schrittweise eine MDM-Schicht (durch Intune-Integration), B2B- und B2C-Erweiterungen sowie im Jahr 2025 eine KI-gestützte Bedrohungserkennung hinzugefügt.
Kernfrage: Welche dieser Funktionen ist wirklich einzigartig bei Entra ID, und was lässt sich durch europäische oder Open-Source-Alternativen abdecken?
Relevante europäische und Open-Source-Alternativen im Jahr 2026
- Authentik , Authentik documentation · link · archived (Deutschland, MIT-Lizenz + kommerzielle Enterprise-Erweiterungen) — moderne Architektur, sehr gute Benutzeroberfläche, flexible „Flow Engine" für benutzerdefinierte Authentifizierungsabläufe, Reverse-Proxy-Modus für Anwendungen ohne native SSO-Unterstützung. Geeignet für kleine bis mittelgroße Unternehmen.
- Keycloak , Keycloak documentation · link · archived (Red Hat, CNCF-Inkubationsprojekt, Apache 2.0) — eine bewährte Enterprise-Wahl, vollständige LDAP- und Active-Directory-Unterstützung, OAuth 2.0, OIDC, SAML 2.0. Java-basiert, produktionserprobt. Tiefe AD-Integration macht es zum Mittel der Wahl bei großen Enterprise-Migrationen.
- Zitadel , Zitadel documentation · link · archived (Schweiz, AGPL 3.0 + kommerzielle Lizenz) — API-first, Cloud-native, auf Event-Sourcing-Architektur aufgebaut. Starke Mandantenfähigkeit (B2B-SaaS). Kubernetes-natives Design.
- Hanko , Hanko documentation · link · archived (Deutschland, Open Source) — ein modernerer Ansatz mit Passkey-basiertem SSO, positioniert als Alternative zu Clerk, Auth0, Stytch.
Funktionaler Vergleich mit Entra ID
| Funktionsschicht | Entra ID | Europäische/Open-Source-Alternativen | Lücke |
|---|---|---|---|
| Authentifizierung (SAML, OIDC, OAuth 2.0) | Ja | Ja (alle) | Keine |
| Multi-Faktor-Authentifizierung (TOTP, WebAuthn, Hardware-Token, Push) | Ja | Ja (alle) | Keine |
| Single Sign-On für Tausende von SaaS-Anwendungen | Kuratierter Integrationskatalog | Typischerweise individuelle Konfiguration über OIDC/SAML | Integrationsaufwand bei Alternativen höher |
| Bedingter Zugriff (Kontext, Risiko, Standort) | Sehr ausgereift | Authentik Flow Engine, Keycloak-Authentifizierungsflows | Alternativen decken die Grundlagen ab; KI-gestützte Erkennung fehlt |
| Active-Directory-Integration | Nativ | Keycloak ausgezeichnet, Authentik gut | Keine wesentliche |
| Microsoft 365, SharePoint, Windows-Integration | Nativ, tiefgehend | Formal über SAML/OIDC, aber die Integrationserfahrung ist weniger reibungslos | Erheblich für Organisationen, die tief im Microsoft-Ökosystem verwurzelt sind |
| MDM (Endgeräteverwaltung) | Ja (über Intune) | Fehlt als integriertes Produkt | Lösung: separates MDM (Kandji für Mac, Headwind MDM für Android) |
| Governance (Zugriffsüberprüfungen, Berechtigungsmanagement) | Ausgereift | Authentik und Keycloak bieten die Grundlagen; geringerer Umfang | Mittel |
| KI-gestützte Bedrohungserkennung und Anomalieerkennung | Microsoft Entra ID Protection | Zitadel zeigt Ansätze in neueren Versionen; ansonsten fehlend | Mittel bis erheblich für große Unternehmen |
| Customer Identity and Access Management (B2C) | Entra External ID | Zitadel Mandantenfähigkeit ausgezeichnet, Keycloak Organizations, Hanko | Alternativen sind hochwertig |
Wo die Lücke tatsächlich liegt
Der IdM-Kern ist in den europäischen und Open-Source-Alternativen vollständig ausgereift und unternehmenstauglich. Der grundlegende Unterschied liegt in zwei peripheren Schichten:
- MDM (Mobile/Endpoint Device Management) — Entra ID + Intune ist eine integrierte Lösung. Ohne Microsoft muss eine Organisation MDM aus mehreren Komponenten je Endgeräteplattform zusammenstellen. Das ist nicht unmöglich (Jamf für Apple, Alternativen für Android), aber operativ komplexer.
- Tiefe der Integration mit dem Microsoft-Ökosystem — eine Organisation, deren Endanwender in Windows 11 + Microsoft 365 + Teams + SharePoint arbeiten, erhält durch Entra ID eine nahtlose Erfahrung, die ein alternatives IdP in gleichem Maße nicht bieten kann. Das liegt nicht daran, dass die Alternativen funktional unterlegen wären, sondern daran, dass Microsoft sein Ökosystem so gestaltet, dass Entra ID den Weg des geringsten Widerstands darstellt.
Praktische Konsequenz
Für eine Organisation, die von Microsoft 365 zu Nextcloud migriert (siehe das Kapitel zur Produktivität), ist eine IdM-Migration ein logisch folgender Schritt — der größte Teil der europäischen IdM-Arbeitslast wandert auf natürliche Weise mit, da auch der Grund für die tiefe Microsoft-Integration entfällt. Für eine Organisation, die auf der Endgeräteschicht im Microsoft-Ökosystem verbleibt, aber das IdM aus anderen Gründen diversifizieren möchte (Souveränität, Regulierung, Kosten), ist eine Migration von Entra ID möglich, aber der operative Nutzen ist geringer und das Risiko von Komplikationen höher. Aus der Perspektive der Operations-Roadmap bedeutet das: Die IdM-Migration sollte der Büro-Schicht-Migration auf natürliche Weise folgen, nicht ihr vorausgehen.