IDプロバイダーのOSS比較【2026年版】Keycloak・ZitadelでAWS Cognito代替をセルフホスト
オープンソースラボ編集部 ・ 2026年6月13日
Auth0($240/月〜)やAWS Cognito(従量課金)の代わりにOSSのIDプロバイダーをセルフホストすれば、認証・認可インフラを完全に自社管理できます。
IDプロバイダーが提供する機能
- シングルサインオン(SSO) — 一度のログインで複数アプリにアクセス
- OAuth2/OIDC — サードパーティアプリへの安全な認可
- ソーシャルログイン — Google・GitHub・SAML連携
- MFA(多要素認証) — TOTP・WebAuthnによる追加認証
- ユーザー管理 — 登録・プロフィール・パスワードリセット
- RBAC — ロールベースアクセス制御
OSS IDプロバイダー比較表
| ツール | SSO | MFA | マルチテナント | 特徴 |
|---|---|---|---|---|
| Keycloak | ✅ | ✅ | ✅ | 最も多機能・Red Hat製・SAML対応 |
| Zitadel | ✅ | ✅ | ✅ | 最新設計・Go製・クラウドネイティブ |
| Ory Hydra | ✅ | ❌ | ✅ | OAuth2特化・軽量・Go製 |
| SuperTokens | ✅ | ✅ | ✅ | 開発者フレンドリー・SDKが充実 |
Keycloak:最も多機能なOSS IDプロバイダー
Keycloak(公式サイト↗・GitHub↗)はRed Hatが開発するJava製のOSS IDプロバイダーです。OAuth2・OIDC・SAML2.0・LDAP/AD統合・MFA・ソーシャルログイン・フロー管理を全て標準搭載しています。エンタープライズでの採用実績が最多です。
docker run -p 8080:8080 \
-e KEYCLOAK_ADMIN=admin \
-e KEYCLOAK_ADMIN_PASSWORD=admin \
quay.io/keycloak/keycloak:latest \
start-dev
詳しくはKeycloak公式ドキュメント↗およびZitadel公式サイト↗を参照。
セキュリティ関連OSSはセキュリティカテゴリから。VPN・ゼロトラストとの組み合わせはDevOpsカテゴリも参照。
Zitadel:クラウドネイティブ設計の最新OSSIdP
Zitadel(公式サイト↗・GitHub↗)はGo製のOSS IDプロバイダーです。マルチテナント・サービスアカウント・アクションスクリプト・カスタムドメインを標準で持ち、Auth0に最も近い機能セットを持ちます。クラウドネイティブ設計でKubernetesへのデプロイが容易です。
選び方
| ユースケース | 推奨 |
|---|---|
| エンタープライズSSO・SAML | Keycloak |
| Auth0代替・マルチテナント | Zitadel |
| OAuth2特化・軽量 | Ory Hydra |
| 開発者体験重視 | SuperTokens |
まとめ
2026年のOSS IDプロバイダー:実績と多機能さならKeycloak、最新設計とAuth0代替ならZitadelが最有力です。
よくある質問(FAQ)
Q. 既存のActive Directory(AD)と統合できますか?
KeycloakはLDAP・Active Directoryとのフェデレーション(ユーザー同期)を標準サポートしています。既存のADユーザーでSSOを実現できます。
Q. セットアップが複雑に感じますが、簡単にはなりませんか?
SuperTokensは組み込み型SDKで最も開発者フレンドリーです。KeycloakはUIで設定できますが、エンタープライズ機能の分だけ複雑です。小規模ならSupabase AuthやNextAuth.jsで十分な場合もあります。
Q. パスキー(WebAuthn)に対応していますか?
Keycloak・Zitadel共にWebAuthn(パスキー)によるパスワードレス認証に対応しています。2026年はパスキー対応が標準になっています。