Souveräne Identität
CodeB Identity vs Okta, Auth0, Entra ID, Keycloak
Ein ehrlicher, marketingfreier Funktionsvergleich. Wir sagen offen, wo wir vorne liegen, wo Gleichstand herrscht und wo der Wettbewerb noch besser ist. Jede Zeile verweist auf eine RFC-Quelle oder öffentliche Hersteller-Dokumentation — keine Marketingflächen.
CodeB ist nicht „Okta vs Auth0“ oder „Teams vs Zoom“ — wir sind alle drei. Konferenz, Telefonie UND Identität in einem Produkt, auf Ihrer eigenen IIS. Die Matrix unten vergleicht uns mit der Identitätsschicht; die Konferenz- und Telefonieschicht (WebRTC-Meetings, SIP-Bridge, Voice-AI-Empfang, Outbound-AI-Kampagnen) läuft in derselben Installation. Kunden wählen CodeB, weil sie nicht drei Anbieter zusammenflicken wollen, um einen Workflow zu bekommen — siehe Vergleich vs Zoom/Teams für die Meeting-Seite.
Die Ein-Satz-Zusammenfassung. Wer einen souveränen, selbst gehosteten Identity Provider sucht, der auf einem bereits vorhandenen IIS-Server läuft, im gleichen Produkt WebRTC-Meetings, SIP-Telefonie und Voice-AI mitliefert und als einziger der genannten Anbieter heute schon Anmeldung mit der EU Digital Identity Wallet (EUDI) ermöglicht, wählt CodeB. Wer SAML, SCIM-Provisionierung, breite Social-Login-Auswahl oder ein gemanagtes SaaS braucht, ist bei den anderen aktuell besser bedient. Wir tun nicht so, als wäre das anders.
Funktionsmatrix
Stand 11. 06. 2026 gegen die jeweilige öffentliche Dokumentation. Leere Zellen bedeuten nicht zutreffend — nicht ein Fehlen.
| Funktion | CodeB Identity | Okta | Auth0 | Entra ID | Keycloak |
|---|---|---|---|---|---|
| Deployment & Souveränität | |||||
| Selbst gehostet auf Ihrem IIS Kein Java, kein Docker, kein Container-Orchestrator nötig. | Ja | NeinNur SaaS | NeinNur SaaS (Auth0 Private Cloud wird ebenfalls von Okta gehostet) | NeinNur Microsoft-Cloud | Selbst-HostJVM / WildFly |
| Souveräne Daten — Benutzerdaten verlassen Ihr Haus nie | Ja | Nein | Nein | Nein | Ja |
| EU Cyber Resilience Act (Verordnung 2024/2847) kompatibel On-Prem-Betrieb vermeidet vom Anbieter verwaltete Daten und damit Komplikationen. | Ja | Kommt drauf an | Kommt drauf an | Kommt drauf an | Ja |
| Standards-Konformität | |||||
| OpenID Connect (Core 1.0) Authorization Code + PKCE, RS256 ID-Token. | Ja | Ja | Ja | Ja | Ja |
| RP-Initiated Logout 1.0 | Ja | Ja | Ja | Ja | Ja |
| RFC 7662 Token-Introspection | Ja | Ja | Ja | Ja | Ja |
| RFC 7009 Token-Revocation | Ja | Ja | Ja | Ja | Ja |
| RFC 7523 JWT-Bearer-Grant | Ja | Ja | Ja | Ja | Ja |
| RFC 6749 OAuth-2.0-FrameworkAuthorization-Code + PKCE; Refresh-Tokens; client_credentials für vertrauliche Apps. | Yes | Yes | Yes | Yes | Yes |
| RFC 7636 PKCE (S256)Für jeden Public-Client zwingend. Codes tragen den gehashten Verifier. | Yes | Yes | Yes | Yes | Yes |
RFC 8414 Authorization-Server-Metadata/.well-known/openid-configuration + /.well-known/jwks.json. | Yes | Yes | Yes | Yes | Yes |
RFC 8176 amr-Werte in TokensWir setzen amr: ["pwd"] / ["hwk","user"] / ["user"] je Faktor; RPs können Step-up verlangen. | Yes | Yes | Yes | Yes | Yes |
RFC 9068 JWT-Profile für OAuth-2.0-Access-TokensAccess-Tokens sind RS256-signierte JWTs mit iss, sub, aud, scope, client_id. | Yes | Yes | Yes | Yes | Yes |
RFC 9101 JAR — JWT-Secured Authorization RequestIm EU-Wallet-Verifier-vp-request-Endpunkt verwendet: ES256-signierter JAR mit x5c-Kette. | Yes | Yes | Yes | Yes | Yes |
| Anmeldeverfahren | |||||
| Benutzername + Passwort (HA1, Server sieht nie Klartext) | Ja | Ja | Ja | Ja | Ja |
| Passkeys / FIDO2 / WebAuthn | JaTenant-spezifische RP-ID, COSE Public Key, Counter-Regression-Prüfung, attestation=none. | Ja | Ja | Ja | Ja |
| Magic-Link-Anmeldung (passwortlos per E-Mail) | JaReleased 11. 06. 2026. 15-Min-TTL, Single-Use-JTI, Non-Enumeration-Antwort. | Ja | Ja | Ja | Ja |
EU Digital Identity Wallet (EUDI) Anmeldung OID4VP 1.0, HAIP 1.0, SD-JWT VC, beide Client-Identifier-Prefixe x509_hash + x509_san_dns. |
Ja | NeinNoch nicht allgemein verfügbar | NeinNoch nicht allgemein verfügbar | VorschauEU-Wallet-Preview-Programm | Plug-inCommunity-Plug-ins; nicht aus erster Hand |
| Self-Service Passwort-Reset | JaNon-Enumeration-Antwort, Single-Use-JTI, Browser-seitige HA1. | Ja | Ja | Ja | Ja |
Authenticator-App (TOTP, RFC 6238) 6-stellig, 30-Sekunden-Fenster, ±1 Schritt Toleranz. Pro Tenant verschlüsseltes Secret, Recovery-Codes mit Einmal-Verwendung, audit-geloggt. E-Mail-Fallback für Nutzer, die ihr Gerät verloren haben. Admin-Reset in /register.html per Klick für den „alles weg“-Fall (audit-geloggt mit Admin und Ziel-Nutzer). Sitzungs-Brute-Force-Sperre: 5 falsche Codes vernichten die Sitzung. Aktivierung in /account.html. |
Ja | Ja | Ja | Ja | Ja |
Wallet-als-Passwort-Recovery RFC 7523 JWT-Bearer-Grant mit acr=eudi-wallet: einmal mit dem Wallet anmelden, das Wallet IST der Passwort-Reset-Nachweis. Keine E-Mail-Schleife. |
Ja | Nein | Nein | Nein | Nein |
Pro-Request-Client-Identifier-Prefix-Wahl x509_hash + x509_san_dns pro Anfrage per Query-Parameter wählbar. Pro Relying Party fixierbare Defaults, während die Wallets konvergieren. |
Ja | Nein | Nein | Nein | Nein |
Drei-Methoden-Picker auf einem Bildschirm Passwort + Passkey + EU-Wallet gleichberechtigt auf /login.html. Magic-Link-Anmeldung per E-Mail einen Klick darunter. Relying Parties deeplinken mit ?method=. Keine dritte Login-URL, die sich Endnutzer merken müssen. |
Ja | Nein | Nein | Nein | Nein |
| Betrieb & Ergonomie | |||||
Tenant-spezifische Signaturschlüssel, Hot Rotation (ohne Service-Restart) private-key.xml → private-key-previous.xml; JWKS veröffentlicht während Overlap beide. |
Ja | Ja | Ja | Ja | Ja |
| Mandantenfähig per Domain (eine IIS-Site pro Tenant, gemeinsame Codebasis) | Ja | JaHosted Multi-Tenant | JaHosted Multi-Tenant | JaHosted Multi-Tenant | JaRealms |
| Admin-UI mit dem Produkt mitgeliefert | Ja | Ja | Ja | Ja | Ja |
| Audit-Log-UI | JaPro-Tenant-Browser-UI — Filter nach Event / Nutzer / Zeitraum, farbcodierte Zeilen, Tail-Mode-Auto-Refresh, CSV-Export. App_Data/<tenant>/logs/ bleibt die Quelle der Wahrheit. |
Ja | Ja | Ja | Ja |
| Im Bundle mit WebRTC-Meetings, SIP-Bridge, Voice AI, Outbound-AI-Kampagnen | JaEin Produkt, ein Admin, eine Tenant-Konfiguration. | Nein | Nein | TeamsNur via separater M365-Subskription | Nein |
| Single-Process-Identität-+-Kommunikation Ein Windows-Prozess besitzt OIDC-IdP, WebRTC-Signalisierung, SIP-Bridge und Voice AI — keine prozessübergreifende Auth. | Ja | Nein | Nein | Nein | Nein |
| EU-Jurisdiktion Made in Malta. DSGVO, NIS2, DORA, EU Cyber Resilience Act (VO 2024/2847), eIDAS 2.0 nativ ausgerichtet. Keine transatlantischen Datenresidenz-Mitigationen nötig. | Ja | EU-RegionUS-Hauptsitz; EU-Datenresidenz verfügbar | EU-RegionUS-Hauptsitz; EU-Datenresidenz verfügbar | EU-RegionUS-Hauptsitz; EU-Datenresidenz verfügbar | JaRed Hat NL/EU-Präsenz; Projekt selbst jurisdiktionsneutral |
| Preismodell (öffentliche Liste, 2026) | |||||
| Preisstruktur | Einmal-Lizenz + WartungKeine Per-MAU-Gebühr. Siehe Preise. | Per-MAU SaaS | Per-MAU SaaS | Pro Benutzer, Premium-Tiers | Kostenlos (Sie betreiben) |
Wo CodeB Identity klar vorne liegt
EU-Wallet, schon live
OID4VP 1.0 + HAIP 1.0 Verifier liefert heute echte Wallet-Flows auf phone.codeb.io. Beide Client-Identifier-Prefixe (x509_hash, x509_san_dns) unterstützt. SD-JWT VC parse + Claim-Relay durch id_token + UserInfo. Die gehosteten IdPs sind hier weiterhin in Preview-Programmen.
IIS-nativ, ohne JVM
Läuft auf dem Windows-Server + IIS, den Sie ohnehin bezahlen. Kein Docker, kein Java, kein Kubernetes. ASP.NET-.ashx-Handler kompilieren beim ersten Request. Die Bridge ist ein einzelner .NET-Service.
Ein Produkt, drei Probleme
OIDC-IdP + WebRTC-Meetings + SIP-Bridge + Voice-AI-Empfang + Outbound-AI-Kampagnen + TURN-Server — eine Installation. Kein Drei-Anbieter-Integrationsprojekt.
Souverän by Design
Tenant-Daten liegen in App_Data/<tenant>/ auf Ihrer Festplatte. Keine Telemetrie nach außen. Kompatibel zu EU CRA, NIS2-Lieferkettenanforderungen und dem DSGVO-Grundsatz, unnötige Auftragsverarbeiter zu vermeiden.
Für wen CodeB Identity passt
- Sie betreiben bereits IIS und wollen Identity hinzufügen, ohne Java oder Container aufzusetzen.
- Sie brauchen EU-Wallet-(EUDI-)Anmeldung heute, nicht auf einer Preview-Warteliste eines Anbieters.
- Sie brauchen ebenfalls Meetings, SIP oder AI-Calls und hätten lieber ein Produkt als drei Subskriptionen.
- Datenherrschaft ist harte Pflicht (regulierter Sektor, öffentlicher Sektor, EU-CRA-Denke).
- Per-MAU-Preise eines gehosteten IdPs passen bei Ihrem Volumen nicht ins Budget.
Für wen die anderen passen
- Sie brauchen einen riesigen Katalog vorkonfektionierter Social- und Enterprise-Konnektoren.
- Sie wollen ausdrücklich, dass jemand anderes den IdP für Sie betreibt (CodeB ist ein Selbst-Hosting-Produkt).
- Sie sind tief in Microsoft 365 verankert und wollen native Entra-ID-Integration.
CodeB Identity ausprobieren?
Keine Registrierung nötig. Der Live-IdP läuft auf phone.codeb.io. Anmelden per Passkey, EU-Wallet oder Passwort.
Anmelden OIDC-Funktionen Preise KontaktMarkenrechte — Okta ist eine eingetragene Marke der Okta, Inc. Auth0 ist eine eingetragene Marke der Okta, Inc. Microsoft Entra ID ist eine eingetragene Marke der Microsoft Corporation. Keycloak ist ein Projekt der Red Hat, Inc. Erwähnung hier ausschließlich zu Beschreibungszwecken.