Integration von Keycloak und API-Gateway als Grundlage einer skalierbaren Identity- und Service-Architektur

Geschrieben von: Brainyoo Post Date: 09.03.2026

Integration von Keycloak und API-Gateway als Grundlage einer skalierbaren Identity- und Service-Architektur



Erkenntnisse aus dem BMBF-Projekt BRAINCON2

Im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Projekts BRAINCON2 wurde eine moderne Identity- und Access-Management-Architektur entwickelt und experimentell erprobt. Ziel war es, eine technische Grundlage zu schaffen, die Lernende, Lehrkräfte und Bildungseinrichtungen über eine einheitliche, sichere und skalierbare Infrastruktur mit digitalen Lernservices verbindet.

Dabei stand insbesondere die Frage im Mittelpunkt, wie sich bestehende EdTech-Systeme langfristig interoperabel in föderale Bildungsinfrastrukturen integrieren lassen. Viele digitale Lernplattformen sind historisch gewachsen und basieren auf monolithischen Architekturen oder proprietären Authentifizierungsmechanismen. Diese Strukturen erschweren sowohl die Integration externer Identitätsanbieter als auch die Skalierung bei steigenden Nutzerzahlen.

Das Projekt BRAINCON2 verfolgte daher einen experimentellen Ansatz, um zentrale Architekturbausteine moderner Lernplattformen neu zu denken. Die Kombination aus Keycloak als Identity- und Access-Management-System, einem API-Gateway als zentraler Zugriffsschicht sowie einer serviceorientierten Backend-Architektur bildet die Grundlage für eine langfristig skalierbare und wartbare Plattform. Gleichzeitig liefern die im Projekt gewonnenen Erfahrungen wertvolle Erkenntnisse für andere Anbieter digitaler Bildungsplattformen, die vor ähnlichen Herausforderungen stehen.

Ausgangslage: typische Architekturprobleme vieler EdTech-Systeme

Die ursprüngliche Systemlandschaft basierte auf proprietären Single-Sign-On-Implementierungen, die historisch gewachsen waren und sich in der Praxis als sicherheitstechnisch kritisch, schwer wartbar und nur begrenzt skalierbar erwiesen. Unterschiedliche Kundeninstallationen nutzten teilweise eigene Authentifizierungsmechanismen, wodurch ein konsistentes Sicherheitsniveau nicht gewährleistet werden konnte.

Diese Situation ist in der EdTech-Branche weit verbreitet. Viele Plattformen sind über Jahre organisch entstanden und wurden schrittweise erweitert. Mit zunehmender Nutzung digitaler Lernangebote treten jedoch strukturelle Grenzen solcher Architekturen deutlich hervor.

Gleichzeitig bestand die Anforderung, Schulen und Bildungseinrichtungen aus verschiedenen Bundesländern mit ihren jeweils heterogenen Identitätsmanagementsystemen anzubinden. Ohne standardisierte Authentifizierungsprotokolle war eine übergreifende Nutzung mit einem einheitlichen Login kaum möglich.

Auch die bestehende Backend-Architektur war stark monolithisch geprägt. Steigende Nutzerzahlen führten zu Skalierungsproblemen, und selbst kleinere funktionale Änderungen konnten umfangreiche Anpassungen am Gesamtsystem erforderlich machen. Zudem fehlte eine zentrale Einstiegsschicht, die Zugriffe auf Backend-Services vereinheitlicht und gleichzeitig eine klare Trennung zwischen Clients und interner Systemstruktur ermöglicht.

Vor diesem Hintergrund wurde im Projekt BRAINCON2 ein grundlegender Architekturwechsel vorbereitet und umgesetzt.

Umsetzung: moderne Identity- und Servicearchitektur

Einführung von Keycloak als Identity-Management-System

Als zentrale Maßnahme wurde Keycloak als Identity- und Access-Management-Plattform eingeführt. Dadurch konnten etablierte Standards wie OAuth2, OpenID Connect und SAML genutzt werden, um externe Identity Provider anzubinden und gleichzeitig die bisherigen proprietären SSO-Lösungen vollständig abzulösen.

Für EdTech-Anbieter ist die Unterstützung solcher offenen Authentifizierungsstandards von besonderer Bedeutung. Nur so können Plattformen langfristig mit föderalen Bildungsinfrastrukturen, institutionellen Identity-Systemen oder landesweiten Bildungsclouds interoperabel betrieben werden.

Statt individueller Loginlösungen innerhalb der Anwendung wurden Authentifizierungsprozesse vollständig in Keycloak integriert. Hierzu wurden angepasste Themes und Authentifizierungs-Workflows entwickelt, sodass Login, Registrierung inklusive AGB-Bestätigung, Passwort-Recovery und Captcha-Mechanismen zentral über die Identity-Plattform abgewickelt werden.

Skalierbare Nutzerverwaltung über User Federation

Um eine hohe Skalierbarkeit der Anmeldedienste zu gewährleisten, verbleibt die eigentliche Nutzerdatenhaltung weiterhin im Backend der Plattform. Die Keycloak-Instanzen greifen über das Feature der User Federation auf diese Daten zu.

Der Backend-Server wurde dafür um zusätzliche Endpunkte erweitert, sodass mehrere Keycloak-Instanzen parallel betrieben werden können, ohne redundante Benutzerverwaltung aufzubauen.

Dieser Ansatz erwies sich als besonders praktikabel. Bestehende Nutzerstrukturen konnten erhalten bleiben, während gleichzeitig moderne Identity-Management-Funktionen integriert wurden. Für Plattformanbieter mit großen Nutzerbeständen bietet dieses Modell einen realistischen Migrationspfad zu standardisierten Authentifizierungssystemen.

Einführung eines API-Gateways

Parallel zur IAM-Integration wurde ein API-Gateway eingeführt, das als zentrale Einstiegsschicht für alle Backend-Services fungiert. Die Umsetzung erfolgte mit Spring Cloud Gateway, da diese Technologie optimal in die bestehende Java- und Spring-basierte Systemlandschaft integriert werden konnte.

Das Gateway übernimmt zentrale Funktionen wie:

  • Routing von Serviceanfragen
  • Sicherheitsprüfungen
  • Lastverteilung
  • Monitoring und Logging

Durch diese zentrale Zugriffsschicht wird eine klare Trennung zwischen Clients und internen Services erreicht. Gleichzeitig erleichtert das Gateway die Integration zusätzlicher Dienste und APIs.

Refaktorierung der Backend-Architektur

Parallel dazu wurde die zuvor monolithische Serverarchitektur schrittweise in eine serviceorientierte, stateless ausgelegte Struktur überführt. Ressourcenintensive Funktionen wie Cronjobs oder PDF-Generierung wurden in eigenständige Services ausgelagert.

Diese Architektur ermöglicht eine horizontale Skalierung der Plattform sowie eine unabhängige Weiterentwicklung einzelner Komponenten. Für wachsende Lernplattformen ist dies eine entscheidende Voraussetzung, um neue Funktionen integrieren zu können, ohne die Stabilität des Gesamtsystems zu gefährden.

Integration interoperabler Lernstandards

Ergänzend wurde ein Service entwickelt, der Lernergebnisse wie Lernstatistiken, Zertifikate und Prüfungsergebnisse über den xAPI-Standard an das persönliche Wallet der Lernenden zurückspielen kann.

Dies erfolgt über einen Connector zu einem Learning Record Store. Lernende können ihre Nachweise dadurch selbstbestimmt speichern und bei Bedarf selektiv teilen, ohne dass persönliche Daten zentral an Dritte übertragen werden müssen.

Dieser Ansatz unterstützt langfristig Szenarien wie portable Bildungsnachweise oder institutionsübergreifende Lernbiografien.

Erkenntnisse für andere EdTech-Plattformen

Die im Projekt gewonnenen Erfahrungen zeigen mehrere zentrale Architekturprinzipien, die auch für andere Anbieter digitaler Lernplattformen relevant sein können.

Standardisierte Authentifizierungssysteme erleichtern Interoperabilität.
Der Einsatz von Lösungen wie Keycloak ermöglicht die Integration unterschiedlicher Identitätsanbieter und reduziert gleichzeitig Sicherheitsrisiken proprietärer SSO-Implementierungen.

API-Gateways schaffen klare Systemgrenzen.
Eine zentrale Zugriffsschicht vereinfacht Sicherheitsmechanismen, Monitoring und Lastverteilung und entkoppelt Clients von internen Servicearchitekturen.

Serviceorientierte Architekturen erleichtern Skalierung.
Durch die Aufteilung monolithischer Systeme in unabhängige Services lassen sich einzelne Funktionen gezielt erweitern oder skalieren.

Open-Source-Technologien können strategische Vorteile bieten.
Sie ermöglichen langfristige Kontrolle über Architekturentscheidungen und reduzieren Abhängigkeiten von proprietären Plattformlösungen.

Fazit

Durch die Einführung von Keycloak und eines API-Gateways konnte im Projekt BRAINCON2 eine einheitliche, sichere und skalierbare Zugriffsarchitektur geschaffen werden, die sowohl interne als auch externe Systeme integriert.

Die Ablösung proprietärer Authentifizierungslösungen reduziert Sicherheitsrisiken und Wartungsaufwand erheblich, während standardisierte Protokolle die Anbindung externer Identitätsanbieter erleichtern. Gleichzeitig schafft die neue Architektur eine klare Trennung zwischen Clients und Backend-Services und verbessert die Skalierbarkeit der Plattform.

Die im Projekt gewonnenen Erkenntnisse zeigen, dass experimentelle Architekturentwicklungen einen wichtigen Beitrag zur Weiterentwicklung des deutschen EdTech-Ökosystems leisten können. Die erprobten Konzepte bieten Orientierung für Plattformanbieter, die ihre Systeme in Richtung moderner, interoperabler und skalierbarer Lerninfrastrukturen weiterentwickeln möchten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Verwandte %1$sPosts%2$s

Import und Export Icon
05.11.2021 Von
Chinesisch lernen leicht gemacht

In fremden Kulturen wirkt vieles auf den ersten Blick ungewöhnlich: Andere Kleidung, andere Essgewohnheiten, andere Musik, eine andere Sprache. In vielen asiatischen Ländern kommt noch eine andere Sch...

Beispiel einer Matheaufgabe im Prüfungstool von Brainyoo
07.04.2022 Von
Lernstandserhebung und Vokabellernen mit BRAINYOO an der KGS Norderney

Lehrende und Lernende nutzen fachspezifisch unterschiedliche Funktionen der Lernplattform Die Kooperative Gesamtschule Norderney nutzt die Schulplattfor...

Eine Frau sitzt auf ihrem Bett und arbeitet an einem Laptop
17.02.2021 Von
BRAINYOO ist ab sofort über iServ anwendbar

Tolle Nachrichten: Ab sofort können alle Lehrkräfte sowie Schülerinnen und Schüler, die ans iServ-Netz angebunden sind, BRAINYOO als Zusatzmodul vollständig nutzen. Die vielfältige Lernsoftware lässt...

Ein Ausschnitt eines Laptops steht auf einem Heft und einem Kalender
25.01.2021 Von
Der perfekte Lernplan

Du möchtest stressfreier lernen und nicht nur wenige Tage vor der Klausur mit der Vorbereitung beginnen? – Mit dem perfekten Lernplan kannst du deine Aufgaben rechtzeitig und diszipliniert erledigen....

Startbildschirm der Android App mit Lernstatistikanzeige
05.11.2021 Von
Warum du mit digitalen Karteikarten besser lernst!

Karteikarten – Fast jeder Schüler hat sie benutzt. Ob aus Papier oder digital, ist doch das Gleiche, würde man sagen. Doch es gibt große Unterschiede zwischen dem digitalen und handschriftlichen Lerne...

Eine Frau hängt einen Bildrahmen mit einer Plakette für den ersten Platz auf.
17.02.2021 Von
BRAINYOO als beste allgemeine Lern-App ausgezeichnet

Lern-App gewählt! Es wurden die besten digitalen Bildungsanbieter im Rahmen des virtuellen Klassenzimmers ausgewählt. Die Bewertungen stammen direkt von den Nutzern und machen uns dadurch umso glückli...

Blog Banner für die Zusammenarbeit zwischen Fernuni Hagen und Brainyoo
26.07.2022 Von
FernUni Hagen setzt auf mobiles Lernen mit BRAINYOO!

Herzlich willkommen in der BRAINYOO-Familie! Die FernUniversität in Hagen hat im Februar dieses Jahres die Bereitstellung eines mobilen Lernsystems europawe...

20.01.2026 Von
BRAINCON2: Ein skalierbares, KI-gestütztes Lernsystem entsteht – Erfahrungen aus einem geförderten Bildungsprojekt

Wie wir ein mobiles, interoperables Lernsystem entwickelt haben – und was wir dabei gelernt haben Ein Erfahrungsbericht zur Umsetzung eines BMBF-Förderprojekts im Bildungsbereich  ...

Person hält ein Smartphone an der Hand, auf der eine Brainyoo Textaufgabe zu sehen ist.
05.11.2021 Von
Lernkarten online und mobil lernen

Karteikarten sind ideal für das Lernen von Fakten, Vokabeln oder Formeln. Umso wichtiger ist es, Zugang zu digitalen Lernkarteien zu haben, um Unabhängig von Standort und Zeit zu lernen. Die koste...

Zwei Schüler sind am lernen in der Klasse. Der Junge schreibt Notizen auf einen Block, während das Mädchen an einem Laptop
17.02.2021 Von
BRAINYOO als perfekte Ergänzung zum digitalen Unterricht

Mit dem Hintergrund der vielerorts noch zumindest größtenteils geschlossenen allgemein- und berufsbildenden Schulen sowie Universitäten, werden derzeit neue Wege der digitalen Bildung beschritten. Am...

Cookie Consent mit Real Cookie Banner