Auth0-alternativ for Europa: Self-hosted identitetshantering som uppfyller GDPR
Jämför Auth0-alternativ for europeiska företag. Zitadel, Keycloak, Authentik och fler. Self-hosted identitetsleverantörer som håller din data inom EU.
Auth0 var standardvalet för identitetshantering i åratal. Sedan köpte Okta upp det, prissättningen ändrades, och plötsligt började många europeiska företag ställa obekväma frågor om var deras användares data faktiskt lagras.
Problemet är detta: Auth0 är ett amerikanskt företag. Okta är ett amerikanskt företag. Enligt CLOUD Act kan amerikanska myndigheter tvinga amerikanska bolag att lämna ut data oavsett var den lagras. Du kan hosta din Auth0-tenant i EU hur mycket du vill. Den juridiska exponeringen kvarstår. För företag som hanterar känslig persondata under GDPR är detta inte en teoretisk risk. Det är ett compliance-gap.
Auth0:s prisproblem
Aven om du är bekvämd med dataresidensfrågan förtjänar Auth0:s prissättning granskning. Gratisnivån begränsar till 7 500 månatligt aktiva användare. Det låter generost tills din app växer. Därefter betalar du $35/månad för 500 machine-to-machine-tokens på Essentials-planen, och kostnaderna eskalerar snabbt därifrån. Enterprise-priser är medvetet otransparenta.
Self-hosted alternativ eliminerar prissättning per användare helt. Du betalar för servern, och det är allt. För ett växande europeiskt SaaS-företag kan skillnaden over 12 månader bli tusentals euro.
Alternativen, rankade
Vi har testat dessa i produktionsmiljöer. Här är vad som faktiskt spelar roll för varje alternativ.
1. Zitadel
RekommenderasSchweiziskt, open source och CNCF-medlem. Zitadel är vad Auth0 borde ha blivit. Det stödjer OIDC och SAML direkt, har inbyggd multi-tenancy (så du kan hantera flera organisationer från en instans) och kor på en lattvitkig Go-backend. Ingen JVM, ingen Python-runtime. Bara en enda binar.
Det som sarskiljer Zitadel är det managerade EU-molnalternativet. Om du inte vill self-hosta kan du kora på deras europeiska infrastruktur med fulla dataresidensgarantier. Schweizisk dataskyddslagstiftning är bland de striktaste i världen, och Zitadel har sitt huvudkontor i Schweiz. Ingen CLOUD Act-exponering.
Vi migrerar var egen infrastruktur till Zitadel på Bright Interaction. Efter att ha kort Authentik i over ett är overtygade Zitadels API-first-design, battre multi-tenant-stod och renare deploymentmodell oss.
Pris
Gratis self-hosted. Moln fran $100/man med EU-hosting.
Inställationssvarighetsgrad
Medel. Docker Compose eller enda binar. Bra dokumentation.
Protokoll
OIDC, SAML, JWT, API-nycklar
Utmärkande funktion
Inbyggd multi-tenancy med delegerad admin
2. Keycloak
Enterprisestandarden för self-hosted IAM. Red Hat backar det, stort community, battlad i produktion i stor skala. Om du jobbar i en Java-miljö eller behöver avancerade federationsfunktioner som identity brokering over flera externa IdP:er är Keycloak svarslagen.
Nackdelen är tyngden. Keycloak kor på JVM och kraver betydande resurser. Konfigurationen är kraftfull men komplex. Rakna med att lagga tid på theming, flodehanpassning och minnestrimning. För mindre team utan Java-kompetens kan det kanna overkill.
Pris
Gratis och open source. Red Hat SSO for betald support.
Inställationssvarighetsgrad
Hog. Java-ekosystemkunskap hjalper avsevart.
Protokoll
OIDC, SAML 2.0, LDAP, Kerberos
Utmärkande funktion
Identity brokering och användarfederation
3. Authentik
Python-baserat med ett genuint utmärkt admingranssnitt. Authentik är den enklaste self-hosted IdP:n att fa igang och hantera dagligen. Om du är ett litet team eller kor ett homelab ger Authentik dig en polerad upplevelse utan Keycloaks komplexitet.
Vi korde Authentik för vart eget SSO i over ett är. Det fungerar bra. Det flodesbaserade autentiseringssystemet är flexibelt, och proxy outpost låter dig skydda appar som inte nativt stödjer SSO. Dar det brister är multi-tenancy och API-first-arbetsfloden, vilket är anledningen till att vi flyttar till Zitadel.
Pris
Gratis och open source. Enterprise-support tillgänglig.
Inställationssvarighetsgrad
Lag. Docker Compose, fungerar inom en timme.
Protokoll
OIDC, SAML 2.0, LDAP, SCIM, proxy auth
Utmärkande funktion
Bästa admin-UI:t bland alla self-hosted IdP:er
4. Authelia
Lattviktig och fokuserad. Authelia är inte en fullständig identitetsleverantör. Det är ett autentiseringslager som sitter framfor din reverse proxy (NGINX, Traefik, Caddy) och skyddar webbapplikationer. Om allt du behöver är att lagga till inloggningsskydd för interna verktyg gör Authelia detta med minimal overhead.
Valj inte Authelia om du behöver SAML, multi-tenancy eller komplex användarhantering. Det är ett annat verktyg för ett annat problem. Men för det det gör, gör det det bra.
Pris
Gratis och open source.
Inställationssvarighetsgrad
Lag. YAML-konfiguration, paras med din befintliga proxy.
Protokoll
OIDC (grundläggande), forward auth headers
Utmärkande funktion
Minimalt fotavtryck, reverse proxy-nativ
5. Ory
API-first identitetsinfrastruktur för utvecklare som vill ha full kontroll. Ory är en svit av Go-mikrotjanster: Kratos (identitet), Hydra (OAuth2/OIDC), Oathkeeper (access proxy) och Keto (behorigher). Du komponerar exakt det du behöver.
Detta är det mest flexibla alternativet men ocksa det mest kravande. Det finns inget forbyggt admin-UI. Du bygger dina egna inloggningssidor. Avvagningen är total kontroll over varje aspekt av ditt auth-flode. Bast lampat för utvecklarteam som bygger produkter dar identitet är en karnfunktion, inte bara ett pahagg.
Pris
Gratis self-hosted. Ory Network-moln fran $29/man.
Inställationssvarighetsgrad
Hog. Flera tjanster, utvecklarorienterat.
Protokoll
OAuth2, OIDC, anpassade auth-floden
Utmärkande funktion
Modular mikrotjanstarkitektur
Jämförelsetabell
| Funktion | Auth0 | Zitadel | Keycloak | Authentik |
|---|---|---|---|---|
| Open source | Nej | Ja (Apache 2.0) | Ja (Apache 2.0) | Ja (anpassad) |
| Self-hosted | Nej | Ja | Ja | Ja |
| EU-datalagring | EU-tenant tillgänglig | Schweiziskt HQ + EU-moln | Self-host i EU | Self-host i EU |
| CLOUD Act-exponering | Ja (Okta, USA) | Nej (Schweiz) | Nej (self-hosted) | Nej (self-hosted) |
| OIDC | Ja | Ja | Ja | Ja |
| SAML | Ja | Ja | Ja | Ja |
| LDAP | Via tillagg | Nej | Ja (nativt) | Ja (outpost) |
| Multi-tenancy | Ja (Organizations) | Ja (inbyggt) | Ja (realms) | Begransat (tenants) |
| Gratisniva | 7 500 MAU | Obegransat (self-hosted) | Obegransat (self-hosted) | Obegransat (self-hosted) |
| Backend | Proprietart | Go | Java (Quarkus) | Python (Django) |
Därför valde vi Zitadel
Vi korde Authentik i produktion för var egen infrastruktur och för kundprojekt. Det tjanade oss val. Men nar vi tog oss an fler multi-tenant-projekt och behovde tatare API-integration med vara ändra verktyg blev luckorna tydliga.
Zitadel loste de specifika problem vi standig stotte på:
Vår rekommendation: Om du bygger en modern applikation som behöver OIDC/SAML med EU-datalagring, börja med Zitadel. Om du är i ett stort Java-företag som behöver LDAP och avancerad federation, gå med Keycloak. Om du bara behöver enkel SSO for interna verktyg med minimal inställning är Authentik fortfarande utmärkt.
GDPR-verklighetskontroll
Lat oss vara direkta om vad GDPR-compliance innebar för identitetsleverantörer.
Auth0:s position
Auth0 erbjuder EU-hostade tenants och har databehandlingsavtal (DPA) tillgängliga. De använder standardavtalsklausuler (SCC) för transatlantiska overfloringar. Juridiskt bockar de av rutorna. I praktiken är Okta ett amerikanskt bolag som lyder under amerikansk lag. Om en amerikansk domstol eller myndighet utfardar en stanning eller nationellt säkerhetsforelaggande maste Okta folja det oavsett var datan fysiskt lagras.
Self-hosted-positionen
Nar du self-hostar Zitadel, Keycloak eller Authentik på din egen EU-infrastruktur är datan din. Ingen tredjepartsbearbetare. Inga transatlantiska juridiska komplikationer. Ditt DPA är med din hostingleverantör, som kan vara ett EU-företag på EU-mark. Detta är den renaste GDPR-positionen möjlig.
Zitadel Clouds position
Om du använder Zitadels managerade moln bearbetas din data av ett schweiziskt företag under schweizisk dataskyddslagstiftning. Schweiz har ett adekvansbeslut från EU, vilket innebar att dataoverfloringar behandlas som likbartigå med intra-EU-overfloringar. Ingen CLOUD Act, inga Schrems II-huvudvarker.
Migrationsvag från Auth0
Att byta identitetsleverantör är inte trivialt. Här är ett realistiskt tillvagagangssatt:
Kor bada parallellt
Deploya din mal-IdP vid sidan av Auth0. Migrera nya applikationer till den nya leverantören medan befintliga fortsatter använda Auth0. Detta tar bort tidspressen.
Exportera användardata
Auth0:s Management API låter dig exportera användare. Losenord kan inte migreras direkt (hashar är inte exporterbara), så planera för ett losenordsaterstaallningsflode eller anvand Auth0:s automatiska migreringsfunktion under övergångsperioden.
Uppdatera applikationskonfigurationer
Om dina appar använder OIDC (de flesta moderna appar gör det) innebar migrering att byta issuer-URL och klient-credentials. Protokollet är standardiserat, så integrationskoden forblir i stort sett densamma.
Avveckla Auth0
Nar alla applikationer och användare är migrerade, stang ner Auth0-tenanten. Behold en backup av din Auth0-konfiguration som referens.
Gör bytet
Auth0 byggde en bra produkt. Men för europeiska företag 2026 gör kombinationen av amerikansk juridisk exponering, aggressiv prissättning och leverantörsinlasning det allt svarare att motivera. Open source-alternativ har kommit ikapp i funktioner och överträffat Auth0 på omraden som spelar roll för EU-compliance.
Zitadel är vart val för moderna applikationer. Keycloak för komplexa enterprisemiljöer. Authentik för team som vill ha den enklaste vagen till self-hosted SSO. Alla tre eliminerar CLOUD Act-problemet helt.
Vi migrerar var egen infrastruktur till Zitadel. Behover du hjalp med att satta upp self-hosted identitetshantering? Vi har gjort detta for oss själva och for kunder. Fran planering till deployment till applikationsintegration kan vi hjalpa dig bort fran Auth0 och over till något som faktiskt respekterar EU:s datasuveranitet. Boka ett gratis samtal →