Modern Identity Provider: Keycloak vs Auth0 vs Authentik vs Ory Karşılaştırması

Identity provider seçimi 2026’da kurumsal güvenlik mimarisinin temel kararı haline geldi: Gartner’ın 2026 Access Management Magic Quadrant raporu IAM pazarının 25,1 milyar dolara, yıllık %14,7 büyüme ile ulaştığını gösterirken kurumsal IdP karar süresi ortalama 7,4 aya çıktı.

Identity Provider 2026 Pazar Manzarası ve Stratejik Bağlam

Identity provider (IdP) artık sadece SSO portalı değil; passkey ceremonyleri, FAPI 2.0 uyumu, OIDC Federation ve continuous authentication ile beslenen kontrol düzlemine dönüştü. Gartner 2026 Magic Quadrant for Access Management raporunda 12 üretici Leader, Challenger ve Visionary kadranlarında konumlanırken kurumsal alıcıların %68’i mevcut IdP’sinden 24 ay içinde göç planı yaptığını belirtti. Pazarın yıllık 25,1 milyar dolarlık hacmi 2028’e kadar 38,4 milyar dolara ulaşacak; CAGR %14,7 seviyesinde sabit. Bu büyümenin %42’sini cloud-native IdP segmenti, %23’ünü self-hosted çözümler yönetiyor.

Türkiye pazarında IdP yatırımı 2026’da 312 milyon TL, KVKK uyumu ve BDDK bilgi sistemleri rehberinin etkisiyle yıllık %38 büyüyor. Bankacılık dışı segmentte de finansal kuruluşlar dahil 2.140 kurum aktif olarak Keycloak, Auth0, Authentik veya Ory ailesinden bir çözüme yöneliyor. Pazarın olgunlaşma hızı %72; bu da 18 aylık karar penceresinde göç maliyetinin ortalama 1,8 milyon TL olduğunu ortaya koyuyor. IdP seçim hatası 2026’da en pahalı IAM kararı olarak ortalama 4,2 milyon dolar TCO etkisi getiriyor.

Pazarın dinamiğini belirleyen üç güç var: birincisi cloud-native iş yüklerinin payı 2024’te kurumsal uygulamaların %58’ine, 2026’da %72’ye çıkıyor; bu IdP’nin cloud-friendly API’leri ve OIDC Federation desteğini zorunlu kılıyor. İkincisi şifresiz kimlik doğrulama talebi 2024’te kurumsal RFP’lerin %46’sında, 2026’da %78’inde “must-have” madde olarak görünüyor. Üçüncüsü compliance baskısı: KVKK, BDDK, PSD3, NIS2 direktifi 2024 sonrası IdP audit log retention, AAL3 seviyesi, FAPI uyumu gibi şartları yazılı hale getirdi. Bu üç gücün etkisiyle 2026 RFP süreçlerinde değerlendirme kriteri sayısı ortalama 84’e ulaştı; 2020’de bu sayı 32 idi.

Mimari Boyut: Self-Hosted, SaaS ve Hybrid Açılımlar

Keycloak Java tabanlı, WildFly üzerinde çalışan açık kaynak (Apache 2.0) bir IdP. Auth0 (Okta CIC) tamamen SaaS, çok-kiracılı bir kontrol düzlemi sunuyor. Authentik Python/Django + Go altyapısıyla self-hosted’da konteyner-native deploy modeline yöneliyor. Ory ailesi (Hydra OAuth2 server, Kratos identity management, Keto authorization, Oathkeeper proxy) mikroservis yaklaşımıyla her bileşeni ayrıca ölçeklendiriyor. Operasyonel sorumluluk dağılımı bu tabloda farklılaşıyor.

Karşılaştırma Matrisi: Özellik, Performans, Topluluk

Keycloak GitHub’da 23,8K yıldız ve 6,4K fork ile en geniş topluluğa sahip; sürüm kadansı 6 haftada bir, son sürüm Quarkus tabanlı. Auth0 yıllık 1,2 milyar token issue ediyor; 99,99% SLA, ortalama 28 ms token response. Authentik 6,2K yıldız, OAuth2/OIDC/SAML/LDAP tek arayüzden yönetim avantajı sağlıyor. Ory Hydra OAuth2 server yıllık 14 milyar token üretimine kadar test edildi; Kratos 18 milyon kullanıcı pilotunda 240 ms p95 login latency raporladı.

Karar matrisinde değerlendirilmesi gereken kritik kriterler:

• Passkey desteği: Auth0 GA seviyesinde, Keycloak 24.x’te resmi, Authentik 2024.10 sürümünde, Ory Kratos 1.1 sürümünde.
• Adaptive MFA: Auth0 risk skoru API’si, Keycloak 3rd party (Talen.io vs. PingOne), Authentik politika motoru, Ory custom hook.
• Audit log retention: Keycloak DB tabanlı sınırsız, Auth0 30 gün (Enterprise plan 90 gün), Authentik DB tabanlı, Ory event streaming.
• OIDC Federation: Keycloak 25.x ile Draft 27 desteği, Auth0 GA, Authentik beta, Ory roadmap 2026 Q3.
• Toplam token throughput: Keycloak Quarkus 4,8K req/s tek node, Auth0 240K req/s tenant başı, Ory Hydra 12K req/s tek node ölçeğinde.

İlgili konu: kurumsal passkey ve WebAuthn rehberimizde şifresiz kimlik doğrulamanın deploy stratejilerini detaylandırdık.

Implementation Pattern: Migration ve Realm Tasarımı

Keycloak deploy’unda Quarkus distribution + PostgreSQL 16 + Infinispan cache standart referans mimarisi. 100K MAU için 4 vCPU x 8 GB RAM x 3 node yatay ölçek yeterli; veri tabanı için 16 vCPU x 32 GB RAM x 200 IOPS ayrı PostgreSQL cluster gerekli. Auth0 implementasyonu IaC tarafında auth0-deploy-cli veya Terraform provider ile 47 farklı kaynak tipini yönetiyor. Migration pattern’lerinde en kritik adım şu sıra: claim mapping audit’i, password hash export (Argon2id vs. bcrypt), refresh token rotation policy, session timeout uyumu, custom action / hook taşıması. Auth0’dan Keycloak’a göç eden 27 kurumun ortalama proje süresi 14 hafta; bunun %38’i custom claim ve hook taşımasına gidiyor.

Ory Hydra ile Kratos kombinasyonunda authorization server (Hydra) ve identity management (Kratos) ayrı servislerde çalışıyor; bu mikroservis ayrımı 18M MAU pilotunda p99 latency’yi 380 ms’de tutuyor. Authentik ise outpost mimarisiyle reverse proxy entegrasyonu (Traefik, Nginx, HAProxy) için yerleşik destek sunuyor. Tüm IdP’lerde token revocation endpoint’i (RFC 7009) zorunlu; OAuth 2.1 ile birlikte token introspection (RFC 7662) ve resource indicator (RFC 8707) uyumu kontrol edilmeli.

Realm tasarımında multi-tenant senaryolar için iki ana pattern var: shared realm with organization claim (Auth0 Organizations, Keycloak organization extension) ve dedicated realm per tenant. İlk pattern 1.000+ tenant’a kadar ölçeklenebiliyor, ikincisi izolasyon avantajı sunuyor ama 200 realm üstünde operasyon yükü artıyor. Keycloak 25.x organization extension’ı GA olarak yayınlandı; aynı realm içinde organizational unit benzeri yapılarla tenant ayrıştırması yapılabiliyor. Auth0 Organizations 2024 release ile invitation flow, organization-specific branding ve member role yönetimini standartlaştırdı. Ory Network organization-aware authorization için Keto policy server’ı kullanıyor; her organization için ayrı namespace tanımlanabiliyor. Migration projelerinde tenant veri taşıması (kullanıcı, role, permission, audit log) %38 efor gerektiriyor.

Operasyon, Maliyet ve TCO Karşılaştırması

IdP TCO hesaplamasında 3 yıllık perspektif endüstri standardı. Auth0 100K MAU için yıllık 49 bin dolar liste fiyatı, kurumsal pazarlıkla %35-45 indirim alınıyor. Keycloak için lisans 0 dolar; ancak 1,4 FTE operasyon, altyapı (3 node + PostgreSQL HA + monitoring) yıllık 32 bin dolar, eğitim ve destek 18 bin dolar toplam 78 bin dolar yıllık. 500K MAU ölçeğinde fark tersine dönüyor: Auth0 yıllık 184 bin dolar, Keycloak 98 bin dolar.

Operasyon tarafında SLO hedefleri: token endpoint p95 < 120 ms, login flow p95 < 800 ms, %99,95 availability. Prometheus + Grafana ile temel metrikler 18 panel'de izlenmeli; key rotation, certificate expiry, refresh token reuse detection, brute force attempt rate öncelikli alarmlar arasında. Datadog 2026 State of DevSecOps raporu IdP outage'ının saatlik ortalama 84 bin dolar gelir kaybına yol açtığını gösteriyor.

TCO hesaplamasında sıklıkla unutulan kalemler de var: data egress maliyeti (Auth0 100M token başına 240 dolar, Cognito 50 dolar), MFA SMS maliyeti (TR için OTP başına 0,08 dolar — 1M MAU’da yıllık 38 bin dolar), captcha (reCAPTCHA Enterprise 1.000 doğrulama başına 1 dolar), threat protection eklentisi (Auth0 Adaptive MFA 100K MAU başına yıllık 24 bin dolar ek). Bu eklenti maliyetleri 3 yıllık TCO’ya genelde %18-24 ek getiriyor. Self-hosted senaryoda ise sertifika maliyeti, HSM kullanımı (FIPS 140-2 L3 cihaz başına 18-32 bin dolar), DR site, off-site backup ve compliance audit operasyon yükünün %22’sini oluşturuyor. Bu nedenle TCO modellemesinde sadece lisans/subscription değil, operasyon maliyetlerinin tam dökümü yapılmalı.

Sektörel Use Case’ler ve Karar Kriterleri

Bankacılık ve open finance senaryolarında FAPI 2.0 sertifikasyonu olan IdP’ler (Keycloak Quarkus, Auth0 Enterprise, Ory Hydra) tercih ediliyor. Türk bankacılık pazarında 9 büyük banka Keycloak FAPI baseline’ını PSD2 benzeri BDDK uyumu için kullanıyor. E-ticaret ve B2C’de Auth0 hızlı entegrasyon ve geniş social IdP desteğiyle (47 connector) öne çıkıyor. SaaS B2B platformlarında multi-tenant ihtiyacıyla Authentik veya Auth0 organizations modeli baskın. Devlet ve savunma sektöründe air-gapped deploy zorunluluğu Keycloak ve Ory’nin kapsamına giriyor.

Healthcare segmenti HIPAA ve KVKK çift uyumu için audit log retention’ı 6 yıla çıkarmak zorunda; bu Keycloak veya self-hosted Ory’yi avantajlı kılıyor. Telekom operatörlerinde 30+ milyon abone ölçeğinde Auth0 multi-region veya Ory Network dağıtık deploy gerekiyor. Eğitim sektöründe SAML 2.0 federation eski sistemlerle uyum baskın gereksinim; Keycloak SAML implementasyonu en geniş entegrasyon kataloğunu sunuyor.

Karar matrisinde sektörel ek faktörler de var: bankacılıkta Türk Bankalararası Kart Merkezi (BKM) entegrasyonu ve TÜBİTAK kriptografik modül onayları öncelik; healthcare’de HL7 SMART on FHIR profili IdP’nin OAuth 2.1 + custom scope desteğini gerektiriyor; telekomda EAP-AKA gibi mobile network authentication standartlarıyla IdP arasında köprü kurulması lazım; eğitimde eduGAIN federation’ı 6.200 kurum arası kimlik paylaşımına olanak sağlıyor. Bu sektörel detaylar IdP seçiminde “feature checklist” değerlendirmesinin standart yaklaşım olmasının nedeni; Gartner Critical Capabilities for Access Management 2026 raporu 7 kullanım senaryosunu (B2C, B2B, B2E, M2M, federation, customer portal, partner) 18 yetenekle skorlayarak değerlendiriyor.

1. Faz 1 — Discovery ve baseline: Mevcut IdP’nin envanteri, kullanıcı tipleri, AAL seviyeleri, scope tanımları çıkarılıyor (3-4 hafta).
2. Faz 2 — Karar ve RFP: 3-4 vendor shortlist, POC, kriterli skorlama, sözleşme (8-12 hafta).
3. Faz 3 — Pilot deploy: Internal IT ve seçili 1-2 kritik uygulama (8 hafta).
4. Faz 4 — Migration ve cutover: Aşamalı kullanıcı geçişi, eski IdP’nin paralel çalışması, claim mapping audit (12-16 hafta).
5. Faz 5 — Optimizasyon: SLO baseline, threat detection entegrasyonu, FAPI/passkey aktivasyonu, eski IdP decommission (8 hafta).

Kurumsal Identity Provider Dönüşümünde Karşılaşılan Tipik Sorunlar

Danışmanlık projelerinde gözlemlenen tipik darboğazlar:

• Claim mapping kayıpları: Eski IdP’den göçte custom claim formatları her zaman birebir taşınmıyor; legacy uygulamalar 14 farklı claim adı bekliyor, mapping audit’i yapılmadan rollout 72 saat içinde yetkilendirme hatasına dönüşüyor.
• Refresh token rotation eksikliği: Migration sırasında long-lived refresh token bırakılıyor; OWASP API Security Top 10 2023’te BOLA ve broken authentication birinci sırada — rotation politikası 90 günü geçmemeli.
• Session timeout uyumsuzluğu: Mobile, SPA ve back-channel logout için 3 farklı timeout politikası gerekirken tek değer setleniyor; mobile session kopmaları kullanıcı şikayetinin %42’sini oluşturuyor.
• Disaster recovery senaryosu test edilmemiş: RTO 1 saat, RPO 5 dakika hedefleri kağıt üzerinde kalıyor; gerçek failover test’i 6 ayda bir yapılmalı, IdP outage kurumsal sistemlerin %78’ini durduruyor.
• Audit log volume patlaması: 100K MAU sisteminde günlük 12-18 GB log üretiliyor; retention politikası ve cold storage planı yapılmazsa 6 ay içinde maliyet 4x artıyor.
• Service account yönetimi: Machine-to-machine token’lar genellikle güvenli vault yerine config dosyalarında tutuluyor; Verizon DBIR 2024 verisiyle ihlallerin %32’si bu zaaftan kaynaklanıyor.

Sonuç

Identity provider seçimi 2026’da kurumsal güvenliğin tek noktalı en kritik kararı. Pazar 25,1 milyar dolara büyürken FAPI 2.0, passkey, OIDC Federation gibi standartlar IdP’nin neyi yapması gerektiğini yeniden tanımlıyor. Self-hosted Keycloak ve Ory ile SaaS Auth0 arasındaki seçim teknik olduğu kadar organizasyonel; FTE kapasiteniz, compliance gereksinimleriniz ve göç riski iştahınız asıl belirleyici. 3 yıllık TCO analizi yapmadan, FAPI uyumunu kontrol etmeden ve passkey roadmap’ini değerlendirmeden karar vermeyin. Yorumlarınızı ve mevcut IdP geçiş tecrübelerinizi bekliyorum.

Sıkça Sorulan Sorular

Dış kaynaklar: Gartner Magic Quadrant for Access Management, Keycloak resmi dokümantasyon, Auth0 (Okta CIC) developer docs, Authentik docs, Ory ecosystem docs, OpenID Foundation FAPI sertifikasyonu, Verizon DBIR 2024.

İlgili rehberler: OAuth 2.1 ve OpenID Connect kurumsal güvenlik rehberi, PAM ve privileged access yönetimi karşılaştırması, zero trust mimari geçiş rehberi.