LB-09 – Managed Keycloak

Leistungsgegenstand

Der Auftragnehmer betreibt für den Auftraggeber eine Managed Keycloak Umgebung (Identity- und Access-Management, Single Sign-On) innerhalb der durch b'nerd bereitgestellten Systemumgebung. Die Leistung umfasst insbesondere: - Bereitstellung und Betrieb einer standardisierten Keycloak-Instanz - Betrieb der notwendigen Systemkomponenten und Basisdienste (u. a. Datenbank) - Bereitstellung der Protokoll-Endpunkte (OpenID Connect, OAuth2, SAML 2.0) - Monitoring, Incident-Handling und Wiederherstellung gemäß SLA - Einspielen sicherheitsrelevanter Updates sowie Minor- und Patch-Releases - Technischer Betrieb der Plattform einschließlich Basis-Backup und Wiederherstellbarkeit - Unterstützung bei allgemeinen Betriebsfragen im Rahmen des vereinbarten Supports

Der Schwerpunkt dieser Leistung liegt auf dem sicheren und stabilen Betrieb einer standardisierten Keycloak-Plattform.

Nicht Bestandteil dieser Leistungsbeschreibung sind insbesondere: - individuelle Anpassungen oder Sonderkonfigurationen außerhalb der Standardplattform - inhaltliche Konfiguration von Realms, Clients, Rollen, Gruppen und Nutzern - Einrichtung und Pflege von Identity-Federation (Anbindung externer Identity Provider) - Gestaltung von Login-Flows, Authentifizierungsrichtlinien und Theming - Anbindung kundenseitiger Anwendungen an Keycloak (Client-Integration) - Migrationen, größere Versionswechsel oder komplexe Integrationsprojekte - Verantwortung für die verwalteten Identitätsdaten und deren Rechtmäßigkeit

Kurzform: Der Auftragnehmer stellt den technischen Betrieb der Keycloak-Plattform sicher. Realm-, Client-, Rollen- und Nutzerkonfiguration, Identity-Federation und Anwendungsanbindung verbleiben im Verantwortungsbereich des Auftraggebers.

Technische Grundlage

Die Bereitstellung erfolgt innerhalb der b'nerd.cloud Systemumgebung gemäß: - Anlage LB-00 – Systemumgebung - Anlage LB-01 – Cloud & Storage Plattform - Anlage LB-02 – Managed Kubernetes

Die Keycloak-Umgebung wird standardisiert auf Basis der von b'nerd freigegebenen Architektur- und Betriebsmodelle betrieben. Der Auftragnehmer entscheidet über: - eingesetzte Basisarchitektur - Betriebs- und Deploymentmodell - Sicherheits- und Wartungsmechanismen - Monitoring- und Backup-Integration - technische Betriebsparameter der Plattform

Leistungsumfang

Standardbetrieb Der Auftragnehmer übernimmt: - Bereitstellung und Betrieb der Keycloak-Instanz - Betrieb der notwendigen Datenbank- und Storage-Komponenten - Verwaltung technischer Systemkonfigurationen - Bereitstellung und Betrieb der Authentifizierungs-Endpunkte (OIDC, OAuth2, SAML) - Überwachung des Plattformzustands - Incident-Handling gemäß SLA - Einspielen sicherheitsrelevanter Updates - Durchführung regulärer Minor- und Patch-Upgrades - Wiederherstellung der Betriebsfähigkeit im Störungsfall

Die Leistungen erfolgen innerhalb des standardisierten Betriebsmodells des Auftragnehmers.

Realm-, Client- und Nutzerverwaltung Der Auftraggeber verwaltet Realms, Clients, Rollen, Gruppen, Nutzer, Identity-Federation und Authentifizierungsrichtlinien grundsätzlich eigenständig innerhalb der bereitgestellten Keycloak-Umgebung. Der Auftragnehmer unterstützt bei technischen Problemen oder Plattformstörungen gemäß SLA. Nicht Bestandteil der Standardleistung sind: - Anlage und Pflege von Realms, Clients und Rollenmodellen - Konfiguration von Identity-Federation und externen Identity Providern - Gestaltung von Login-Flows, Passwort-/MFA-Richtlinien und Theming - Anbindung kundenseitiger Anwendungen (Client-Integration, Mapper, Scopes)

Updates und Versionsmanagement Sicherheitsupdates sowie Minor- und Patch-Releases werden vom Auftragnehmer im Rahmen regulärer Wartungsfenster durchgeführt. Major-Upgrades oder größere Architekturänderungen werden - vorab angekündigt - gemeinsam abgestimmt - gesondert geplant - nach Aufwand abgerechnet

Der Auftragnehmer informiert den Auftraggeber über mögliche Auswirkungen auf: - angebundene Anwendungen und Clients - Identity-Federation und SSO-Beziehungen - Token-/Session-Verhalten - API- und Admin-Zugriffe - kundenspezifische Erweiterungen (z. B. Custom Provider, Theming)

Die Analyse und Anpassung kundenspezifischer Konfigurationen liegt im Verantwortungsbereich des Auftraggebers.

Identity-Federation und Anwendungsanbindung Die Federations- und Integrationsfunktionen stehen im Rahmen der Standardplattform grundsätzlich zur Verfügung. Nicht Bestandteil dieser Leistung sind insbesondere: - Einrichtung und Pflege der Anbindung externer Identity Provider (SAML/OIDC/LDAP) - Integration und Konfiguration kundenseitiger Anwendungen (Clients) - Entwicklung kundenspezifischer Authenticator-, Mapper- oder Theme-Erweiterungen - Konzeption von Berechtigungs- und Rollenmodellen - Migration bestehender Identitätsbestände

Diese Leistungen können gesondert gemäß LB-06 „DevOps as a Service" bzw. als Setup-Leistung gemäß Preisliste beauftragt werden.

Backup & Wiederherstellbarkeit

Der Auftragnehmer integriert die Keycloak-Plattform in die standardisierten Backup- und Wiederherstellungsmechanismen gemäß Anlage LB-04. Dies umfasst insbesondere: - Sicherung der Keycloak-Systemdaten - Sicherung relevanter Persistenzdaten (Datenbank inkl. Realm-/Nutzerdaten) - technische Wiederherstellbarkeit der Plattform - regelmäßige Überwachung der Backup-Prozesse

Nicht Bestandteil dieser Leistung sind: - fachliche Validierung wiederhergestellter Daten - Wiederherstellung einzelner Realm-/Nutzerzustände ohne vorhandene Sicherung - Wiederherstellung versehentlich gelöschter Inhalte außerhalb vereinbarter Retention - Garantien für bestimmte RTO- oder RPO-Werte

Monitoring & Incident Handling

Der Auftragnehmer überwacht die Keycloak-Plattform im Rahmen des standardisierten Monitoring- und Alerting-Systems gemäß LB-05. Dies umfasst insbesondere: - Verfügbarkeitsüberwachung - Ressourcenüberwachung - Monitoring kritischer Plattformkomponenten (Keycloak, Datenbank) - Alarmierung bei technischen Störungen - Incident-Bearbeitung gemäß SLA

Nicht Bestandteil sind: - Analyse fehlgeschlagener Logins aus kundenspezifischer Realm-/Client-Konfiguration - inhaltliche Auswertung von Authentifizierungs-/Audit-Logs - Troubleshooting angebundener kundenseitiger Anwendungen

Nutzungsvoraussetzungen

Der Auftraggeber verpflichtet sich, die bereitgestellte Keycloak-Umgebung ausschließlich innerhalb des vorgesehenen Betriebsmodells zu verwenden. Nicht zulässig ohne vorherige Abstimmung sind insbesondere: - Eingriffe in System- oder Plattformkonfigurationen - Installation nicht freigegebener Erweiterungen oder Provider - Änderungen an Betriebs- oder Sicherheitsmechanismen - Umgehung definierter Backup-, Sicherheits- oder Betriebsprozesse

Eigene administrative Eingriffe dürfen ausschließlich nach Abstimmung und Freigabe durch den Auftragnehmer erfolgen.

Abgrenzung der Verantwortung

Bereich	b'nerd	Auftraggeber
Betrieb der Keycloak-Plattform	✔
Bereitstellung der Auth-Endpunkte (OIDC/OAuth2/SAML)	✔
Monitoring & Incident Response	✔
Sicherheitsupdates & Lifecycle	✔
Realm-, Client-, Rollen- & Nutzerverwaltung		✔
Identity-Federation & externe IdP-Anbindung		✔
Login-Flows, MFA-/Passwortrichtlinien, Theming		✔
Anbindung kundenseitiger Anwendungen (Clients)		✔
Identitätsdaten & deren Rechtmäßigkeit		✔

Kurzform: Realm-, Client-, Rollen- und Nutzerkonfiguration, Identity-Federation, Login-Flows und die Anbindung eigener Anwendungen verbleiben vollständig im Verantwortungsbereich des Auftraggebers. b'nerd übernimmt Betrieb, Wartung, Monitoring und Incident Response der Keycloak-Plattform selbst.

Zusatzleistungen / Abrechnung zusätzlicher Leistungen

Nicht Bestandteil des Standardbetriebs sind insbesondere: - größere Konfigurationsänderungen - Architektur- oder Prozessberatung (z. B. Berechtigungskonzepte) - Migrationen und Plattformumbauten - individuelle Integrationen (SSO-Anbindung, Identity-Federation, Custom Provider) - individuelle Sicherheits- oder Compliance-Anforderungen - Datenmigrationen bestehender Identitätsbestände - Betrieb individueller Sonderlösungen

Diese Leistungen werden ausschließlich nach gesonderter Beauftragung gemäß - Anlage LB-06 – DevOps as a Service - aktueller Preisliste (u. a. Setup-Positionen) nach Aufwand erbracht und abgerechnet.

Sicherheits- und Compliance-Hinweis

Der Auftragnehmer betreibt die Keycloak-Plattform nach allgemein anerkannten technischen Best Practices. Eine automatische Erfüllung regulatorischer Anforderungen wie beispielsweise - NIS2 - DORA - CRA - KRITIS - branchenspezifischer Compliance-Vorgaben ist nicht Bestandteil dieser Leistungsbeschreibung. Die Bewertung und Umsetzung regulatorischer Anforderungen verbleibt im Verantwortungsbereich des Auftraggebers und kann gesondert beauftragt werden.

Bezug zur Preisübersicht

Die Preise für Leistungen dieser Anlage ergeben sich aus „Anlage – Preisliste (2026)".