Authentik vs. Zitadel 2026: Open-Source Identity Provider im Vergleich
Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.
Wer eine Okta- oder Auth0-Alternative sucht, landet schnell bei zwei Open-Source-Projekten: Authentik und Zitadel. Beide lösen das gleiche Problem – zentrales Identity & Access Management – aber mit fundamental unterschiedlichen Ansätzen.
💡 Managed Authentik ab 34,90€/Mo – eigene Instanz, unbegrenzte User, gehostet in Deutschland. DSGVO-konform, 24/7 Monitoring. 7 Tage kostenlos testen →
In diesem Vergleich zeigen wir, worin sich beide unterscheiden und welcher Identity Provider zu welchem Einsatzszenario passt.
Weitere Ressourcen:
- → authhost.de – Managed Authentik ab 34,90€/Mo
- → Authentik Expertise bei WZ-IT
- → Keycloak Managed Hosting
Inhaltsverzeichnis
- Kurzüberblick
- Architektur und Technik
- Protokolle und Integrationen
- Multi-Tenancy
- Self-Hosting
- Lizenzierung
- Pricing
- Sicherheit und Compliance
- Community und Ökosystem
- Wann welcher Provider
- Unser Vorgehen bei WZ-IT
Kurzüberblick
| Authentik | Zitadel | |
|---|---|---|
| Sprache | Python + TypeScript | Go |
| Lizenz | MIT (Open Source) + Enterprise | AGPL 3.0 (seit 2025) |
| GitHub Stars | ~20.700 | ~13.400 |
| Docker Image | ~500 MB | ~50 MB |
| RAM (idle) | ~300 MB | ~100 MB |
| Datenbank | PostgreSQL | PostgreSQL oder CockroachDB |
| LDAP Server | Ja (vollständig) | Nein (nur als externe Quelle) |
| Proxy-Modus | Ja | Nein |
| Multi-Tenancy | Grundlegend | Erstklassig (Kernfeature) |
| RADIUS | Ja | Nein |
| Kerberos | Ja | Nein |
Architektur und Technik
Authentik: Python-Hybrid mit Flow Engine
Authentik ist in Python geschrieben (Backend) mit einem TypeScript-Frontend. Die Architektur besteht aus mehreren Services: Server, Worker und PostgreSQL. Redis wurde in Version 2025.10 entfernt und durch PostgreSQL-basierte Task-Verarbeitung ersetzt.
Das Herzstück ist die Flow Engine: Authentifizierungsprozesse werden als konfigurierbare Flows mit Stages, Policies und Providers modelliert. Das erlaubt extrem flexible Login-Prozesse – von einfachem Username/Password bis zu komplexen Conditional-Access-Szenarien.
Authentik kann als Identity Provider, als LDAP-Server und als Forward-Auth-Proxy gleichzeitig fungieren. Das macht es besonders wertvoll für Umgebungen mit Legacy-Anwendungen ohne native SSO-Unterstützung.
Zitadel: Go-Binary mit Event-Sourcing
Zitadel ist vollständig in Go geschrieben und läuft als einzelnes Binary. Die Architektur basiert auf Event-Sourcing mit einer relationalen Datenbank (PostgreSQL oder CockroachDB) als Backend.
Der Ansatz ist Cloud-native und Kubernetes-first: Horizontale Skalierung, gRPC-APIs und ein Kubernetes-Operator sind von Anfang an mitgedacht. Das macht Zitadel ideal für moderne Infrastrukturen, bringt aber eine HTTP/2-Anforderung für den Reverse Proxy mit sich – was bei Cloudflare Tunnels oder ähnlichen Setups problematisch sein kann.
Kernunterschied: Authentik ist flexibler und kann mehr Protokolle bedienen. Zitadel ist schlanker und skaliert besser horizontal.
Protokolle und Integrationen
| Protokoll | Authentik | Zitadel |
|---|---|---|
| OAuth 2.0 / OIDC | Vollstandig | Vollstandig |
| SAML 2.0 | Vollstandig | Vollstandig |
| LDAP | Server (kann AD ersetzen) | Nur als externe Quelle |
| RADIUS | Ja | Nein |
| Kerberos | Ja | Nein |
| SCIM 2.0 | Ja | Ja |
| WS-Federation | Ja (Enterprise) | Ja |
| Proxy-Modus | Ja | Nein |
| Social Login | 30+ Provider | Google, Apple, GitHub |
| Passkeys/FIDO2 | Ja | Ja |
Warum der Proxy-Modus entscheidend sein kann
Authentiks Proxy-Modus ist ein echtes Alleinstellungsmerkmal. Er erlaubt es, Anwendungen die kein OIDC oder SAML sprechen trotzdem hinter SSO zu stellen – per Forward-Auth oder Reverse-Proxy-Integration. Für Self-Hoster mit Tools wie Portainer, Grafana (ohne integriertes SSO), oder älteren Webanwendungen ist das Gold wert.
Zitadel bietet keinen Proxy-Modus. Anwendungen müssen OIDC oder SAML nativ unterstützen.
Multi-Tenancy
Hier trennen sich die Welten:
Zitadel wurde von Grund auf für Multi-Tenancy gebaut. Die Hierarchie ist: Instance > Organization > Project > Application. Jede Organisation kann eigenes Branding, eigene Security Policies, eigene Identity Provider und eigene Benutzerverwaltung haben. Das ist ideal für B2B-SaaS-Plattformen die Kundenorganisationen onboarden müssen.
Authentik kann Multi-Tenancy abbilden, aber es ist kein Kernfeature. Für einfache Szenarien reicht es, für komplexe Multi-Tenant-Setups mit strikter Isolation zwischen Mandanten ist Zitadel die bessere Wahl.
Self-Hosting
Authentik
# Docker Compose (3 Services)
docker compose up -d
# Server + Worker + PostgreSQL
- Deployment: Docker Compose oder Kubernetes (Helm Chart)
- Komplexität: Mittel (mehrere Services)
- Ressourcen: ~300 MB RAM idle, ~500 MB Docker Image
- Upgrades: Vorsicht geboten – Benutzer berichten von Breaking Changes bei Major-Upgrades (2025.4, 2025.12, 2026.2). Downgrades werden nicht unterstützt. Datenbank-Backup vor jedem Upgrade ist Pflicht.
Zitadel
# Einzelnes Binary
./zitadel start-from-init --masterkey "xxx" --tlsMode disabled
- Deployment: Single Binary, Docker Compose oder Kubernetes (Helm Chart + Operator)
- Komplexität: Niedrig (ein Binary + Datenbank)
- Ressourcen: ~100 MB RAM idle, ~50 MB Docker Image
- Caveat: Erfordert HTTP/2 auf dem Reverse Proxy für gRPC-APIs. Nicht alle Proxies/Tunnels unterstützen das out-of-the-box.
Lizenzierung
| Authentik | Zitadel | |
|---|---|---|
| Open Source Lizenz | MIT | AGPL 3.0 (seit März 2025) |
| Enterprise Lizenz | Separat (für erweiterte Features) | Separat (für proprietäre Nutzung) |
| Modifikationen teilen? | Nein (MIT erlaubt proprietäre Forks) | Ja (AGPL erfordert Offenlegung) |
Warum das wichtig ist: Für Unternehmen die den Identity Provider einbetten oder modifizieren wollen, ist Authentiks MIT-Lizenz deutlich permissiver. Zitadels AGPL 3.0 bedeutet: Wer den Code ändert und als Service anbietet, muss die Änderungen offenlegen – oder eine Enterprise-Lizenz kaufen.
Zitadel wechselte 2025 von Apache 2.0 zu AGPL 3.0, um kommerzielle Trittbrettfahrer zu unterbinden. Die APIs und SDKs bleiben unter Apache 2.0.
Pricing
Authentik
| Tier | Preis | Highlights |
|---|---|---|
| Open Source | Kostenlos | OIDC, SAML, LDAP, SCIM, RADIUS, Proxy, MFA, keine Userlimits |
| Enterprise | $5/User/Monat | Google Workspace & Entra ID, Device Trust, mTLS, Audit-Export |
| Enterprise Plus | Ab $20.000/Jahr | FIPS, Custom SLAs, dedizierter Support |
Zitadel
| Tier | Preis | Highlights |
|---|---|---|
| Free (Cloud) | $0 | 100 DAU, alle Security-Features |
| Pro (Cloud) | $100/Monat | 25.000 DAU, Custom Domain, 99,5% SLA |
| Enterprise | Individuell | Custom SLA, dedizierter Account Manager |
| Self-Hosted | Kostenlos (AGPL) | Voller Feature-Umfang, Community Support |
Fazit: Authentiks kostenlose Version hat keine Userlimits und enthalt fast alles. Zitadels kostenlose Cloud-Version begrenzt auf 100 Daily Active Users. Für Self-Hosting sind beide kostenlos.
Sicherheit und Compliance
| Feature | Authentik | Zitadel |
|---|---|---|
| MFA (TOTP, WebAuthn) | Ja | Ja |
| Passkeys/FIDO2 | Ja | Ja |
| Conditional Access | Ja (Flow Engine) | Ja |
| Device Trust | Enterprise | Ja |
| Audit Logging | Ja (CSV-Export in Enterprise) | Ja (SIEM-Export) |
| ISO 27001 | - | Zertifiziert |
| SOC 2 Type II | - | Zertifiziert |
| OIDC Certified | - | Ja |
Zitadel hat als Schweizer Unternehmen einen starken Fokus auf Compliance und ist ISO 27001 und SOC 2 zertifiziert. Authentik hat keine eigene Zertifizierung, lässt sich aber auf zertifizierter Infrastruktur betreiben.
Community und Ökosystem
Authentik hat die größere Community (~20.700 GitHub Stars) und mehr Integrationen. Die Dokumentation ist umfangreich und deckt viele Self-Hosting-Szenarien ab. Die Flow Engine erlaubt Anpassungen die bei anderen Providern nicht möglich sind.
Zitadel hat eine kleinere aber aktive Community (~13.400 Stars). Die API-Dokumentation ist exzellent, und der Terraform-Provider ist einer der besten im IAM-Bereich. Das Zitadel-Team (Schweiz) ist aktiv in Diskussionen und reagiert auf Feature-Requests.
Was die Community sagt
Aus einem populären Reddit-Thread (r/selfhosted):
"Zitadel ist definitiv besser in Sachen Multi-Tenancy. Die API ist deutlich geeigneter, inklusive Terraform-Provider. Bei Authentik brechen Upgrades gerne mal meine LDAP-Worker."
"Authentiks Proxy-Modus ist unersetzlich wenn man Apps ohne native SSO-Unterstützung hat."
Wann welcher Provider
Authentik wählen wenn:
- Legacy-Anwendungen ohne OIDC/SAML integriert werden müssen (Proxy-Modus)
- LDAP-Server-Funktionalität benötigt wird (z.B. als AD-Ersatz)
- RADIUS oder Kerberos benötigt werden
- Die permissivste Lizenz gewunscht ist (MIT)
- Maximale Flexibilitat bei Authentifizierungsflows gewunscht ist
- Ein Homelab oder mittelgrosses Self-Hosted-Setup betrieben wird
Zitadel wählen wenn:
- Eine B2B-SaaS-Plattform mit Multi-Tenant-Kundenonboarding gebaut wird
- Ein schlanker, Kubernetes-nativer Identity Server benötigt wird
- API-first Entwicklung priorisiert wird (Terraform, gRPC)
- Minimaler Ressourcenverbrauch wichtig ist
- Horizontale Skalierung für Millionen User geplant ist
- ISO 27001 / SOC 2 Zertifizierung des Providers relevant ist
Keycloak als Alternative wenn:
- Das ausgereifteste, kampferprobte Enterprise-IAM benötigt wird
- Java-EE-Ökosystem-Integration wichtig ist
- Maximale Protokollunterstutzung gebraucht wird
Managed Authentik mit authhost
Sie wollen Authentik nicht selbst betreiben? authhost ist unser Managed Hosting Service für Authentik – eigene Instanz, vollständig verwaltet, gehostet in Deutschland.
Was Sie bekommen:
- Dedizierte Authentik-Instanz in deutschen Rechenzentren
- SSO, MFA, LDAP, SCIM, RADIUS, Proxy – alles inklusive
- 24/7 Monitoring, automatische Updates und Security Patches
- Keine Per-User-Gebühren, keine Einrichtungsgebuhr
- 7 Tage kostenlos testen – ohne Kreditkarte
Weiterführende Guides
Häufig gestellte Fragen
Antworten auf wichtige Fragen zu diesem Thema
Authentik ist ein flexibler Identity Provider mit LDAP-Server, Proxy-Modus und MIT-Lizenz – ideal für Self-Hoster und Legacy-Integration. Zitadel ist ein schlanker, Go-basierter Identity Server mit erstklassiger Multi-Tenancy – ideal für B2B-SaaS und Kubernetes-Umgebungen.
Beide sind self-hostbar. Authentik benötigt Docker Compose mit mehreren Services (Server, Worker, PostgreSQL) und mehr Ressourcen (~300 MB RAM). Zitadel läuft als einzelnes Go-Binary mit PostgreSQL und braucht weniger Ressourcen (~100 MB RAM).
Ja, beide unterstützen OAuth 2.0, OpenID Connect und SAML 2.0 vollständig. Authentik bietet zusätzlich LDAP, RADIUS und Kerberos. Zitadel fokussiert sich auf OIDC/OAuth und bietet kein LDAP-Server oder RADIUS.
Authentik nutzt die MIT-Lizenz (sehr permissiv) mit separater Enterprise-Lizenz für erweiterte Features. Zitadel wechselte 2025 von Apache 2.0 zu AGPL 3.0 (Copyleft) – Modifikationen müssen offengelegt werden.
Ja, wir installieren, konfigurieren und betreiben sowohl Authentik als auch Zitadel als Managed Service – DSGVO-konform in deutschen Rechenzentren mit 24/7 Monitoring und Enterprise Support.
Geschrieben von
Timo Wevelsiep
Co-Founder & CEO
Co-Founder von WZ-IT. Spezialisiert auf Cloud-Infrastruktur, Open-Source-Plattformen und Managed Services für KMUs und Enterprise-Kunden weltweit.
LinkedInLassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee – wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Vertraut von führenden Unternehmen
Timo Wevelsiep & Robin Zins
Geschäftsführer