最佳自託管 SSO 平台比較：Authgear vs Keycloak vs Authentik

越來越多組織需要自託管單一登入（SSO）平台，以便掌控身分資料、降低成本不確定性，並滿足合規要求。選對自託管身分供應商，會直接影響安全、使用體驗與長期維運成本。

本文比較三個主流自託管 SSO 平台：Authgear、Keycloak、Authentik，協助你選出最適合組織的方案。

為什麼要選擇自託管 SSO 平台？

相較純雲端身分服務，自託管有幾個明確優勢：

資料主權：使用者憑證、session 與驗證日誌都留在你的基礎設施，第三方供應商無法直接接觸你的身分資料。

成本可預測：不會因使用者數上升而出現難預期的計價波動。

完整控制權：更新時機、設定方式與部署位置都由你決定。

合規彈性：對受監管產業而言，自託管讓你掌控整個驗證堆疊，通常更容易完成稽核與法規遵循。

功能比較

Authgear 是現代開源身分平台，支援 OIDC、OAuth 2.0、SAML。MFA 方式包含 SMS OTP、WhatsApp OTP、email 登入、TOTP（含 recovery code）、Passkeys（FIDO2）與生物辨識。它同時提供自託管與託管部署，且有預建 UI 可減少團隊維護自訂登入表單。內建安全功能包含鎖帳、bot 偵測與速率限制。

Keycloak 支援 OIDC、OAuth 2.0、SAML 2.0，提供 MFA 與 RBAC。電話驗證通常需額外設定。它具備 LDAP/AD 原生整合、identity brokering 與 realms 多租戶能力。管理介面功能完整但相對傳統。由 Red Hat 推動，在企業環境相當普及。

Authentik 支援 OIDC、OAuth 2.0、SAML 2.0 與 MFA。它的 flow-based 設計讓驗證流程客製不必過度依賴底層程式碼，並提供較現代的視覺化管理介面。部署上對 Kubernetes 友善，也有商業支援可選。

Authgear

Authgear 是完整開源身分平台，適合希望在不增加過多複雜度下導入完整驗證能力的組織。

核心能力

• 現代驗證：原生支援 Passkeys（FIDO2/WebAuthn）、生物辨識與無密碼流程
• 預建 UI：可直接使用的登入表單，節省開發與維護時間
• 完整 MFA：SMS OTP、WhatsApp OTP、email 登入、TOTP + recovery code、Passkeys、生物辨識
• 內建安全：鎖帳、bot 偵測、速率限制預設可用
• 部署彈性：同時提供自託管與託管雲

最適合的場景

前線員工、合作夥伴、承包商與客戶型應用。也適合需要在規模化下維持安全且快速登入的 SaaS 團隊，以及希望避免企業 IAM 蔓延與 MAU 成本波動的組織。

Keycloak

Keycloak 是最成熟的開源 IAM 平台之一，由 Red Hat 推動，廣泛落地在企業場景。

核心能力

• 功能完整，涵蓋 SSO、identity brokering 與 user federation
• 原生 LDAP 與 AD federation 支援
• 社群龐大、文件完整
• Red Hat 背書，具企業採購可信度

注意事項

• 需要自行維運基礎設施
• 客製流程常需 Java 能力
• 管理介面偏功能導向，現代化體驗較弱

最適合的場景

具專職基礎設施團隊、複雜 federation 需求、且已有目錄服務（AD/LDAP）基礎的大型企業。

Authentik

Authentik 是現代化、政策導向的開源身分供應商，強調易用性與彈性。

核心能力

• 可視化 flow builder，方便客製驗證流程
• 現代、直覺的管理介面
• Kubernetes 友善部署
• 開發活躍、發布頻繁

注意事項

• 生態規模相對 Keycloak 較小
• 企業級大型案例較少

最適合的場景

需要現代驗證流程且要自託管給企業客戶的 SaaS 團隊，特別是 Kubernetes 為核心的部署環境。

該選哪個平台？

如果符合以下條件，選 Authgear：

• 你想要 Passkeys、生物辨識等現代驗證，且希望低設定成本
• 你同時在意雲端與自託管部署彈性
• 你的場景包含前線工作者驗證
• 你希望用預建 UI 取代長期維護客製登入表單

如果符合以下條件，選 Keycloak：

• 你需要跨多系統的複雜身分 federation
• 組織已經有 AD/LDAP 基礎設施
• 你有專職 IAM 團隊可長期維運
• 採購上重視 Red Hat 的企業支援體系

如果符合以下條件，選 Authentik：

• 團隊偏好可視化流程設定
• 需要 Kubernetes 友善部署
• 重視較現代的管理體驗

依使用情境給建議

• 現代驗證（Passkeys、生物辨識）：Authgear
• 無企業 email 的前線場景：Authgear
• 中型公司追求低複雜度：Authgear
• 既有 AD/LDAP 的大型企業：Keycloak
• Kubernetes 原生組織：Authentik

遷移考量

三者都支援標準協定（OIDC、SAML），對平台切換相容性有幫助。但實際遷移成本仍取決於應用對平台特有功能的耦合程度。每個應用都需重設 client ID、redirect URI 與 token 驗證邏輯。使用者資料遷移則需匯出、映射到新 schema，並檢查密碼雜湊差異；某些情況下使用者需重設密碼。

結論

選擇自託管 SSO 平台，關鍵是你的需求、團隊能力與基礎設施現況。

Authgear 提供現代驗證、預建 UI、雲端與自託管雙模式，適合希望完整能力但不想引入過多複雜度的組織。

Keycloak 提供最成熟、最完整的企業級能力，適合有專職身分團隊的大型組織。

Authentik 以現代 UX 與可視化配置見長，適合 Kubernetes 導向團隊。

準備評估 Authgear 作為你的 SSO 方案？ 預約 Demo 討論你的需求。

特定部署情境下的自託管 SSO

替換純雲端身分服務

許多組織起步用純雲身分平台（如 Auth0、Firebase Auth、Cognito），但隨成長會遇到資料落地、成本擴張或合規缺口。像 Auth0 這類 MAU 計價模式，對大規模 SaaS 常變得難以預測。開源方案如 Authgear 可自託管，讓你掌控資料落地與基礎設施合規，同時避免 MAU 成本不確定性。Authgear 也支援 OAuth 2.0、OIDC、SAML，滿足企業 SSO 常見協定需求。

混合式 on-prem + cloud 部署

很多組織會在開發與測試環境使用託管雲，正式環境為合規需求部署在本地。Authgear 同時支援自託管與託管，可讓團隊按需求切換部署模型。

高合規內部系統

金融、醫療、政府承包等受監管場景，需要可稽核且可控的身分基礎設施。Authgear 提供稽核日誌與開源自託管能力，讓團隊可直接落實與稽核政策，不必完全依賴外部供應商。對內部 MFA，支援 TOTP 與 Passkeys（FIDO2/WebAuthn）。在敏感操作上，通常應優先以 WebAuthn/Passkeys 作為 step-up，SMS 則較適合低風險場景。

Web 與 Mobile 的 2FA / Passkeys 場景

現代應用通常同時涵蓋 Web 與 Mobile。Authgear 支援 Passkeys（FIDO2/WebAuthn）、生物辨識、SMS OTP、WhatsApp OTP 與 email 登入，可滿足跨端驗證需求，且同時具備自託管與託管部署選項。

FAQs

Authgear 與其他自託管選項最大的差異是什麼？

Authgear 同時提供託管雲與自託管，並把 Passkeys、生物辨識等現代驗證能力做成核心能力；再加上預建 UI，可顯著降低開發與維護成本。

平台間可以互相遷移嗎？

可以。三者都支援 OIDC、SAML 等標準協定，能降低相容性風險。但應用仍需重設 client ID、redirect URI 與 token 驗證邏輯。使用者資料遷移需做欄位映射，密碼雜湊差異則可能使部分使用者需要重設密碼。

自託管 SSO 值得承擔維運成本嗎？

若你的重點是資料主權、成本可預測性或合規要求，通常值得。若團隊缺乏基礎設施經驗，託管雲可能更簡單。Authgear 提供兩種模式，可讓你按階段調整。