Keycloak 26.6 y passkeys: federar identidad sin pagar Entra por usuario
La versión estable de passkeys, federated client authentication y la cuenta económica real frente a Microsoft Entra ID P1 para organizaciones de 200 a 500 usuarios.
Silvana es coordinadora de IT en una cooperativa eléctrica del sur mendocino: 230 usuarios internos, 14 sistemas que piden login distinto y una factura trimestral de Microsoft Entra ID P1 que pasó de US$ 4.140 a US$ 4.680 en el último ajuste. El CFO le pregunta si esa plata paga seguridad real o paga la comodidad de no migrar. Silvana empieza a mirar Keycloak la semana en que sale la versión 26.6 con passkeys completos.
Qué cuesta tener identidad centralizada en Argentina en 2026
Microsoft Entra ID P1 cuesta US$ 6 por usuario por mes. P2, que agrega Identity Protection e Identity Governance, cuesta US$ 9. Para una organización de 230 usuarios, una compra razonable es P1 generalizado más 15 licencias P2 para administradores: US$ 16.560 + US$ 1.620 = US$ 18.180 al año. A eso se suma Authenticator, conectores SCIM y el costo de dependencia: cada vez que hay que conectar un sistema no-Microsoft aparece un adapter o un conector que empuja a subir de tier.
Para cooperativas, municipios y colegios profesionales del interior, esa cifra es la mitad del presupuesto anual de IT. Y la decisión de irse es políticamente cara: un IT manager que propone bajar Entra y tiene una caída en el medio de una elección interna, vuela.
Por qué hasta hace dos años Keycloak no era respuesta para producción
El argumento histórico contra Keycloak fue la madurez de features que Microsoft cobra caro: federación multi-realm, passwordless real, identity governance, brokering de identidad externo, passkeys. Hace tres años, hacer todo eso en Keycloak exigía parches, extensiones SPI custom y un ingeniero dedicado a tiempo completo.
La versión 26.6, liberada en abril de 2026, cierra la mayor parte de esa brecha — y lo hace de una forma que no es marketing.
Qué cambió concretamente en Keycloak 26.6
Passkeys completos como feature estable. Ya no es preview: el flujo WebAuthn de passkeys — el mismo que deja entrar con Face ID al banco — está habilitado y configurable por realm. Un usuario con iPhone o Android moderno puede ingresar sin password. Para MFA corporativo serio, este es el cambio estructural del año.
Federated client authentication promovido a supported. Se pueden autenticar clientes OIDC contra proveedores externos — incluyendo Kubernetes Service Accounts — sin manejar client secrets locales. Esto baja la superficie de secretos filtrados en repos, que es uno de los vectores de ataque que más crece en 2026.
Identity Brokering API v2 (preview). Keycloak puede ahora guardar tokens que emiten los proveedores externos y exponerlos a las aplicaciones downstream. Caso concreto: un empleado de una cooperativa se loguea una sola vez y una app interna puede, con permiso, consultar Microsoft Graph o Google Workspace en su nombre sin pedirle otro login. Antes se resolvía con dos proxies y pegamento custom.
Organizations con jerarquía de grupos aislada. Cada organización dentro de un realm maneja sus propios departamentos sin conflictos de nombres. Mapeos automáticos desde el IdP externo asignan usuarios al grupo correcto según claims. Para un colegio profesional que federa con universidades provinciales, cambia la vida del sysadmin.
Workflows (preview). Automatización de tareas administrativas: aprobación de altas, baja automática post-desvinculación, revisiones periódicas de accesos. Es el primer paso serio de Keycloak hacia Identity Governance (IGA), que hasta ahora obligaba a pagar P2.
La cuenta real contra Entra P1
Hardware y mantenimiento estimados para 230 usuarios con Keycloak self-hosted en un cluster HA modesto: dos VPS de 8 GB de RAM más Postgres gestionada, alrededor de US$ 2.400 al año. Una jornada mensual de sysadmin — externa o interna — agrega US$ 300 a US$ 600. Total: US$ 6.000 a US$ 9.000 anuales. Ahorro frente a Entra: US$ 9.000 a US$ 12.000 anuales.
El cálculo no es "Keycloak es gratis". Es: se pasa de pagar por usuario (costo variable, creciente cada vez que se suma gente) a pagar por infraestructura (costo fijo y casi plano). Para organizaciones que crecen, la ecuación mejora cada año. Es el mismo razonamiento económico que convirtió a Keycloak en tema obligado del ecosistema cloud-native según CNCF.
Lo que hay que mirar antes de migrar
La operación sobre Postgres. Keycloak no es un contenedor que se levanta y se olvida. Su Postgres es crítico: backup point-in-time, upgrade planificado cada 6 a 9 meses, monitoreo de conexiones. Si no hay capacidad de operar Postgres en producción, Keycloak es peor que Entra — no mejor.
Soporte en horario local. La comunidad es activa pero asincrónica. Red Hat vende el Red Hat build of Keycloak con SLA, pero al precio de volver a modelo de suscripción. Una alternativa intermedia: contratar soporte con integradores regionales — UMSA es uno de ellos — que operan Keycloak para varios clientes y pueden dar respuesta en horario argentino.
Migración no es lift and shift. Cada aplicación conectada a Entra vía SAML o OIDC hay que reconectar: metadata, firmas, atributos claim-by-claim. Planear 3 a 6 meses para una organización mediana, con un período de doble IdP para no romper logins en producción.