Keycloak 26.6: Zero-Downtime-Patches werden GA

Veröffentlicht 10 Apr 2026, 03:03 Aktualisiert 31 Mai 2026, 09:58 3 Min. Lesezeit Talia Emily Rogic (Editor-in-Chief & Founder)

Keycloak 26.6 hebt frühere Preview-Funktionen in den unterstützten Status. Für Betreiber zählen vor allem Rolling Updates und föderierte Authentifizierung.

Keycloak 26.6.0 ist kein großer Versionssprung mit spektakulärer Oberfläche, aber für Betreiber produktiver Identitätsplattformen dennoch wichtig. Das Open-Source-IAM-System hebt mehrere Funktionen aus dem Preview-Status in den offiziell unterstützten Betrieb. Besonders relevant sind Zero-Downtime-Patch-Releases, Federated Client Authentication, der JWT Authorization Grant und die Workflows-Funktion.

Für Unternehmen, die Keycloak in Kubernetes-Umgebungen, Multi-Node-Clustern oder regulierten Infrastrukturen betreiben, geht es dabei weniger um neue Bedienung als um Wartbarkeit. Identitätsdienste sind kritische Infrastruktur. Wenn Login, Token-Ausstellung oder Client-Authentifizierung ausfallen, stehen oft viele interne und externe Anwendungen still.

Zero-Downtime-Patches werden unterstützt

Die praktisch wichtigste Änderung betrifft Patch-Releases innerhalb desselben Major-Minor-Zweigs. Keycloak 26.6 unterstützt Rolling Updates für solche Patch-Versionen, ohne den Dienst dafür vollständig herunterzufahren. Das reduziert Wartungsfenster und erleichtert schnelle Sicherheits- oder Stabilitätsupdates. Bei Nutzung des Keycloak Operators soll die Update-Strategie auf „Auto“ gesetzt werden, um davon zu profitieren.

Die Einschränkung bleibt wichtig: Es geht um Patch-Updates innerhalb desselben Versionsstroms, nicht um beliebige Major- oder Minor-Upgrades. Ein Wechsel auf eine neue Minor-Version kann weiterhin Planung, Tests und gegebenenfalls Ausfallfenster erfordern. Betreiber sollten daher nicht „Zero Downtime“ als pauschales Versprechen lesen, sondern die Release Notes und den Upgrade Guide genau prüfen.

Federated Client Authentication reduziert Secret-Verwaltung

Mit Federated Client Authentication können Clients vorhandene Vertrauensbeziehungen zu externen Ausstellern nutzen, statt für jede Anwendung eigene Secrets in Keycloak zu verwalten. Unterstützt werden unter anderem Client Assertions externer OpenID-Connect-Identity-Provider sowie Kubernetes Service Accounts. Für moderne Plattformteams ist das relevant, weil Microservice-Landschaften oft mit vielen rotierenden Secrets kämpfen.

Der Nutzen liegt nicht nur in Bequemlichkeit. Weniger manuell verwaltete Client-Secrets bedeuten auch weniger Rotationsaufwand, geringere Fehleranfälligkeit und bessere Integration in bestehende Identitäts- oder Plattformgrenzen. Gerade in Kubernetes-Umgebungen passt das Feature zur Richtung, Workload-Identitäten stärker über vertrauensbasierte Mechanismen abzubilden.

Workflows und JWT Authorization Grant werden stabiler

Auch der JWT Authorization Grant ist nun unterstützt. Er ermöglicht Szenarien, in denen extern signierte JWT Assertions genutzt werden, um OAuth-2.0-Access-Tokens zu erhalten. Das ist vor allem für föderierte oder serviceübergreifende Architekturen interessant, in denen Identität nicht immer aus einem einzelnen zentralen Secret stammt.

Die Workflows-Funktion bewegt Keycloak zugleich stärker in Richtung Identity Governance and Administration. Administratoren können Abläufe rund um Nutzer, Clients und Ereignisse besser automatisieren. Das ersetzt nicht jede IGA-Suite, zeigt aber, dass Keycloak über klassische Login- und Token-Funktionen hinauswächst.

26.6.1 gehört bereits zur Planung

Wer 26.6 einführt, sollte auch die unmittelbar danach erschienene Version 26.6.1 beachten. Das Projekt veröffentlichte Mitte April ein Folge-Release mit Sicherheitskorrekturen und weiteren Verbesserungen. Für produktive Betreiber ist deshalb nicht nur die Frage, ob 26.6.0 neue unterstützte Funktionen bringt, sondern welche konkrete Patch-Version im eigenen Wartungsfenster ausgerollt werden soll.

Die richtige Reihenfolge lautet: Release Notes lesen, Upgrade Guide prüfen, Testcluster aktualisieren, Rollback-Pfad klären und erst dann produktiv rollen. Gerade bei Identitätssystemen ist eine formal unterstützte Funktion nur ein Teil der Entscheidung; entscheidend ist, wie sie sich mit der eigenen Datenbank, Operator-Konfiguration, Infinispan-Topologie und Hochverfügbarkeitsstrategie verhält.

Was Betreiber mitnehmen sollten

Keycloak 26.6 ist vor allem ein Betriebs-Release. Es macht bestehende Preview-Funktionen verlässlicher und nimmt Themen auf, die in realen Plattformumgebungen seit Jahren wichtig sind: weniger Downtime, weniger Secret-Verwaltung und bessere Automatisierung. Wer Keycloak nur lokal testet, wird die Änderungen kaum spüren. Wer Keycloak als zentralen Identitätsdienst betreibt, sollte sie ernst nehmen und die Aktualisierung sauber planen.