Authentik vs. Zitadel 2026: Open-Source Identity Provider im Vergleich
Wer eine Okta- oder Auth0-Alternative sucht, landet schnell bei zwei Open-Source-Projekten: Authentik und Zitadel. Beide lösen das gleiche Problem – zentrales Identity & Access Management – aber mit fundamental unterschiedlichen Ansätzen.
💡 Managed Authentik ab 34,90€/Mo – eigene Instanz, unbegrenzte User, gehostet in Deutschland. DSGVO-konform, 24/7 Monitoring. 7 Tage kostenlos testen →
In diesem Vergleich zeigen wir, worin sich beide unterscheiden und welcher Identity Provider zu welchem Einsatzszenario passt.
Weitere Ressourcen:
- → authhost.de – Managed Authentik ab 34,90€/Mo
- → Authentik Expertise bei WZ-IT
- → Keycloak Managed Hosting
Inhaltsverzeichnis
- Kurzüberblick
- Architektur und Technik
- Protokolle und Integrationen
- Multi-Tenancy
- Self-Hosting
- Lizenzierung
- Pricing
- Sicherheit und Compliance
- Community und Ökosystem
- Wann welcher Provider
- Unser Vorgehen bei WZ-IT
Kurzüberblick
| Authentik | Zitadel | |
|---|---|---|
| Sprache | Python + TypeScript | Go |
| Lizenz | MIT (Open Source) + Enterprise | AGPL 3.0 (seit 2025) |
| GitHub Stars | ~20.700 | ~13.400 |
| Docker Image | ~500 MB | ~50 MB |
| RAM (idle) | ~300 MB | ~100 MB |
| Datenbank | PostgreSQL | PostgreSQL oder CockroachDB |
| LDAP Server | Ja (vollständig) | Nein (nur als externe Quelle) |
| Proxy-Modus | Ja | Nein |
| Multi-Tenancy | Grundlegend | Erstklassig (Kernfeature) |
| RADIUS | Ja | Nein |
| Kerberos | Ja | Nein |
Architektur und Technik
Authentik: Python-Hybrid mit Flow Engine
Authentik ist in Python geschrieben (Backend) mit einem TypeScript-Frontend. Die Architektur besteht aus mehreren Services: Server, Worker und PostgreSQL. Redis wurde in Version 2025.10 entfernt und durch PostgreSQL-basierte Task-Verarbeitung ersetzt.
Das Herzstück ist die Flow Engine: Authentifizierungsprozesse werden als konfigurierbare Flows mit Stages, Policies und Providers modelliert. Das erlaubt extrem flexible Login-Prozesse – von einfachem Username/Password bis zu komplexen Conditional-Access-Szenarien.
Authentik kann als Identity Provider, als LDAP-Server und als Forward-Auth-Proxy gleichzeitig fungieren. Das macht es besonders wertvoll für Umgebungen mit Legacy-Anwendungen ohne native SSO-Unterstützung.
Zitadel: Go-Binary mit Event-Sourcing
Zitadel ist vollständig in Go geschrieben und läuft als einzelnes Binary. Die Architektur basiert auf Event-Sourcing mit einer relationalen Datenbank (PostgreSQL oder CockroachDB) als Backend.
Der Ansatz ist Cloud-native und Kubernetes-first: Horizontale Skalierung, gRPC-APIs und ein Kubernetes-Operator sind von Anfang an mitgedacht. Das macht Zitadel ideal für moderne Infrastrukturen, bringt aber eine HTTP/2-Anforderung für den Reverse Proxy mit sich – was bei Cloudflare Tunnels oder ähnlichen Setups problematisch sein kann.
Kernunterschied: Authentik ist flexibler und kann mehr Protokolle bedienen. Zitadel ist schlanker und skaliert besser horizontal.
Protokolle und Integrationen
| Protokoll | Authentik | Zitadel |
|---|---|---|
| OAuth 2.0 / OIDC | Vollstandig | Vollstandig |
| SAML 2.0 | Vollstandig | Vollstandig |
| LDAP | Server (kann AD ersetzen) | Nur als externe Quelle |
| RADIUS | Ja | Nein |
| Kerberos | Ja | Nein |
| SCIM 2.0 | Ja | Ja |
| WS-Federation | Ja (Enterprise) | Ja |
| Proxy-Modus | Ja | Nein |
| Social Login | 30+ Provider | Google, Apple, GitHub |
| Passkeys/FIDO2 | Ja | Ja |
Warum der Proxy-Modus entscheidend sein kann
Authentiks Proxy-Modus ist ein echtes Alleinstellungsmerkmal. Er erlaubt es, Anwendungen die kein OIDC oder SAML sprechen trotzdem hinter SSO zu stellen – per Forward-Auth oder Reverse-Proxy-Integration. Für Self-Hoster mit Tools wie Portainer, Grafana (ohne integriertes SSO), oder älteren Webanwendungen ist das Gold wert.
Zitadel bietet keinen Proxy-Modus. Anwendungen müssen OIDC oder SAML nativ unterstützen.
Multi-Tenancy
Hier trennen sich die Welten:
Zitadel wurde von Grund auf für Multi-Tenancy gebaut. Die Hierarchie ist: Instance > Organization > Project > Application. Jede Organisation kann eigenes Branding, eigene Security Policies, eigene Identity Provider und eigene Benutzerverwaltung haben. Das ist ideal für B2B-SaaS-Plattformen die Kundenorganisationen onboarden müssen.
Authentik kann Multi-Tenancy abbilden, aber es ist kein Kernfeature. Für einfache Szenarien reicht es, für komplexe Multi-Tenant-Setups mit strikter Isolation zwischen Mandanten ist Zitadel die bessere Wahl.
Self-Hosting
Authentik
# Docker Compose (3 Services)
docker compose up -d
# Server + Worker + PostgreSQL
- Deployment: Docker Compose oder Kubernetes (Helm Chart)
- Komplexität: Mittel (mehrere Services)
- Ressourcen: ~300 MB RAM idle, ~500 MB Docker Image
- Upgrades: Vorsicht geboten – Benutzer berichten von Breaking Changes bei Major-Upgrades (2025.4, 2025.12, 2026.2). Downgrades werden nicht unterstützt. Datenbank-Backup vor jedem Upgrade ist Pflicht.
Zitadel
# Einzelnes Binary
./zitadel start-from-init --masterkey "xxx" --tlsMode disabled
- Deployment: Single Binary, Docker Compose oder Kubernetes (Helm Chart + Operator)
- Komplexität: Niedrig (ein Binary + Datenbank)
- Ressourcen: ~100 MB RAM idle, ~50 MB Docker Image
- Caveat: Erfordert HTTP/2 auf dem Reverse Proxy für gRPC-APIs. Nicht alle Proxies/Tunnels unterstützen das out-of-the-box.
Lizenzierung
| Authentik | Zitadel | |
|---|---|---|
| Open Source Lizenz | MIT | AGPL 3.0 (seit März 2025) |
| Enterprise Lizenz | Separat (für erweiterte Features) | Separat (für proprietäre Nutzung) |
| Modifikationen teilen? | Nein (MIT erlaubt proprietäre Forks) | Ja (AGPL erfordert Offenlegung) |
Warum das wichtig ist: Für Unternehmen die den Identity Provider einbetten oder modifizieren wollen, ist Authentiks MIT-Lizenz deutlich permissiver. Zitadels AGPL 3.0 bedeutet: Wer den Code ändert und als Service anbietet, muss die Änderungen offenlegen – oder eine Enterprise-Lizenz kaufen.
Zitadel wechselte 2025 von Apache 2.0 zu AGPL 3.0, um kommerzielle Trittbrettfahrer zu unterbinden. Die APIs und SDKs bleiben unter Apache 2.0.
Pricing
Authentik
| Tier | Preis | Highlights |
|---|---|---|
| Open Source | Kostenlos | OIDC, SAML, LDAP, SCIM, RADIUS, Proxy, MFA, keine Userlimits |
| Enterprise | $5/User/Monat | Google Workspace & Entra ID, Device Trust, mTLS, Audit-Export |
| Enterprise Plus | Ab $20.000/Jahr | FIPS, Custom SLAs, dedizierter Support |
Zitadel
| Tier | Preis | Highlights |
|---|---|---|
| Free (Cloud) | $0 | 100 DAU, alle Security-Features |
| Pro (Cloud) | $100/Monat | 25.000 DAU, Custom Domain, 99,5% SLA |
| Enterprise | Individuell | Custom SLA, dedizierter Account Manager |
| Self-Hosted | Kostenlos (AGPL) | Voller Feature-Umfang, Community Support |
Fazit: Authentiks kostenlose Version hat keine Userlimits und enthalt fast alles. Zitadels kostenlose Cloud-Version begrenzt auf 100 Daily Active Users. Für Self-Hosting sind beide kostenlos.
Sicherheit und Compliance
| Feature | Authentik | Zitadel |
|---|---|---|
| MFA (TOTP, WebAuthn) | Ja | Ja |
| Passkeys/FIDO2 | Ja | Ja |
| Conditional Access | Ja (Flow Engine) | Ja |
| Device Trust | Enterprise | Ja |
| Audit Logging | Ja (CSV-Export in Enterprise) | Ja (SIEM-Export) |
| ISO 27001 | - | Zertifiziert |
| SOC 2 Type II | - | Zertifiziert |
| OIDC Certified | - | Ja |
Zitadel hat als Schweizer Unternehmen einen starken Fokus auf Compliance und ist ISO 27001 und SOC 2 zertifiziert. Authentik hat keine eigene Zertifizierung, lässt sich aber auf zertifizierter Infrastruktur betreiben.
Community und Ökosystem
Authentik hat die größere Community (~20.700 GitHub Stars) und mehr Integrationen. Die Dokumentation ist umfangreich und deckt viele Self-Hosting-Szenarien ab. Die Flow Engine erlaubt Anpassungen die bei anderen Providern nicht möglich sind.
Zitadel hat eine kleinere aber aktive Community (~13.400 Stars). Die API-Dokumentation ist exzellent, und der Terraform-Provider ist einer der besten im IAM-Bereich. Das Zitadel-Team (Schweiz) ist aktiv in Diskussionen und reagiert auf Feature-Requests.
Was die Community sagt
Aus einem populären Reddit-Thread (r/selfhosted):
"Zitadel ist definitiv besser in Sachen Multi-Tenancy. Die API ist deutlich geeigneter, inklusive Terraform-Provider. Bei Authentik brechen Upgrades gerne mal meine LDAP-Worker."
"Authentiks Proxy-Modus ist unersetzlich wenn man Apps ohne native SSO-Unterstützung hat."
Wann welcher Provider
Authentik wählen wenn:
- Legacy-Anwendungen ohne OIDC/SAML integriert werden müssen (Proxy-Modus)
- LDAP-Server-Funktionalität benötigt wird (z.B. als AD-Ersatz)
- RADIUS oder Kerberos benötigt werden
- Die permissivste Lizenz gewunscht ist (MIT)
- Maximale Flexibilitat bei Authentifizierungsflows gewunscht ist
- Ein Homelab oder mittelgrosses Self-Hosted-Setup betrieben wird
Zitadel wählen wenn:
- Eine B2B-SaaS-Plattform mit Multi-Tenant-Kundenonboarding gebaut wird
- Ein schlanker, Kubernetes-nativer Identity Server benötigt wird
- API-first Entwicklung priorisiert wird (Terraform, gRPC)
- Minimaler Ressourcenverbrauch wichtig ist
- Horizontale Skalierung für Millionen User geplant ist
- ISO 27001 / SOC 2 Zertifizierung des Providers relevant ist
Keycloak als Alternative wenn:
- Das ausgereifteste, kampferprobte Enterprise-IAM benötigt wird
- Java-EE-Ökosystem-Integration wichtig ist
- Maximale Protokollunterstutzung gebraucht wird
Managed Authentik mit authhost
Sie wollen Authentik nicht selbst betreiben? authhost ist unser Managed Hosting Service für Authentik – eigene Instanz, vollständig verwaltet, gehostet in Deutschland.
Was Sie bekommen:
- Dedizierte Authentik-Instanz in deutschen Rechenzentren
- SSO, MFA, LDAP, SCIM, RADIUS, Proxy – alles inklusive
- 24/7 Monitoring, automatische Updates und Security Patches
- Keine Per-User-Gebühren, keine Einrichtungsgebuhr
- 7 Tage kostenlos testen – ohne Kreditkarte
Weiterführende Guides
Häufig gestellte Fragen
Antworten auf wichtige Fragen zu diesem Thema
Authentik ist ein flexibler Identity Provider mit LDAP-Server, Proxy-Modus und MIT-Lizenz – ideal für Self-Hoster und Legacy-Integration. Zitadel ist ein schlanker, Go-basierter Identity Server mit erstklassiger Multi-Tenancy – ideal für B2B-SaaS und Kubernetes-Umgebungen.
Beide sind self-hostbar. Authentik benötigt Docker Compose mit mehreren Services (Server, Worker, PostgreSQL) und mehr Ressourcen (~300 MB RAM). Zitadel läuft als einzelnes Go-Binary mit PostgreSQL und braucht weniger Ressourcen (~100 MB RAM).
Ja, beide unterstützen OAuth 2.0, OpenID Connect und SAML 2.0 vollständig. Authentik bietet zusätzlich LDAP, RADIUS und Kerberos. Zitadel fokussiert sich auf OIDC/OAuth und bietet kein LDAP-Server oder RADIUS.
Authentik nutzt die MIT-Lizenz (sehr permissiv) mit separater Enterprise-Lizenz für erweiterte Features. Zitadel wechselte 2025 von Apache 2.0 zu AGPL 3.0 (Copyleft) – Modifikationen müssen offengelegt werden.
Ja, wir installieren, konfigurieren und betreiben sowohl Authentik als auch Zitadel als Managed Service – DSGVO-konform in deutschen Rechenzentren mit 24/7 Monitoring und Enterprise Support.
Geschrieben von
Timo Wevelsiep
Co-Founder & CEO
Co-Founder von WZ-IT. Spezialisiert auf Cloud-Infrastruktur, Open-Source-Plattformen und Managed Services für KMUs und Enterprise-Kunden weltweit.
LinkedInLassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee – wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Vertraut von führenden Unternehmen
Timo Wevelsiep & Robin Zins
Geschäftsführer