Za każdym razem, gdy pracownik klika „Zaloguj się przez Google" lub „Zaloguj się przez Microsoft", dzieje się coś małego, ale znaczącego: amerykańska firma dowiaduje się, kiedy, skąd i do jakiej usługi dana osoba się uwierzytelniła. <span class=“tt” data-tt="• „Zaloguj się przez Google" = Google wie o każdej usłudze, z której korzystasz i kiedy • Samodzielnie hostowana alternatywa: Keycloak (pełna kontrola) • Typowe protokoły: SAML, OpenID Connect, OAuth 2.0" data-gl=“idp”>Dostawca tożsamości — system potwierdzający „tak, ta osoba jest tym, za kogo się podaje" — siedzi w centrum każdej interakcji cyfrowej. Widzi wszystko.

W Europie infrastruktura tożsamości jest przytłaczająco amerykańska. Okta — największy dedykowany dostawca tożsamości — raportowała 2,61 mld USD przychodów za rok fiskalny 2025, obsługując 19 100 klientów. Microsoft Entra ID jest domyślnym dostawcą tożsamości dla setek milionów organizacji używających ekosystemu Microsoftu.

Kontrowersja DigiD: suwerenność w praktyce

DigiD to holenderski rządowy system tożsamości cyfrowej — z 16,5 mln zarejestrowanych użytkowników i ponad 500 mln logowań rocznie. Infrastruktura DigiD była obsługiwana przez Solvinity, holenderską firmę hostingową. W 2024 r. Kyndryl — były dział usług infrastrukturalnych IBM — przejął Solvinity. Z dnia na dzień firma obsługująca holenderską rządową infrastrukturę tożsamości znalazła się pod amerykańską kontrolą korporacyjną.

Holenderski Parlament zareagował ostro. Rząd zobowiązał się do nieodnawiania kontraktu z Solvinity/Kyndryl po 2028 r.

eIDAS 2.0: odpowiedź Europy

Odpowiedź UE na fragmentację tożsamości to eIDAS 2.0 (UE 2024/1183). Jego centralny element to Europejski Portfel Tożsamości Cyfrowej (EUDIW) — rządowy portfel cyfrowy, który każde państwo członkowskie musi oferować obywatelom do 2026 r.

FranceConnect: historia sukcesu

Francja nie czekała na UE. FranceConnect działa od 2016 r. i ma ponad 43 mln użytkowników. FranceConnect to dowód koncepcji, który eIDAS 2.0 chce zreplikować w całej Europie.

Keycloak i Authentik: suwerenna tożsamość dla organizacji

Dwa dostawcy tożsamości open source wyłonili się jako główne alternatywy dla Okta i Microsoft Entra ID:

Keycloak — ciężka waga. Rozwijany przez Red Hat (teraz IBM), projekt CNCF. Tysiące organizacji na całym świecie używa Keycloaka w produkcji. Obsługuje SSO via SAML 2.0, OpenID Connect i OAuth 2.0.

Authentik — nowsza alternatywa, łatwiejsze początkowe ustawienie, czystszy interfejs użytkownika.

FIDO2 i passkeys

FIDO2/WebAuthn zastępuje hasła kryptografią klucza publicznego. Phishing staje się praktycznie niemożliwy. Sprzętowe klucze FIDO2 (YubiKey, SoloKeys, Nitrokey) nie mają problemu synchronizacji z chmurą. Klucz prywatny nigdy nie opuszcza urządzenia fizycznego. Dla zastosowań wysokiego bezpieczeństwa — rząd, opieka zdrowotna, finanse — klucze sprzętowe pozostają złotym standardem.

Keycloak i Authentik obsługują zarówno FIDO2, jak i passkeys, umożliwiając budowę w pełni suwerennego stosu uwierzytelniania.

Co dalej

W tym miesiącu: Audytuj swój łańcuch dostaw tożsamości. Wiedz, gdzie żyją twoje dane tożsamości.

W tym kwartale: Wdróż FIDO2 dla użytkowników wysokiego bezpieczeństwa. YubiKey kosztuje 50 EUR; naruszenie danych uwierzytelniających kosztuje o rzędy wielkości więcej.

W tym roku: Oceń Keycloak lub Authentik dla aplikacji wewnętrznych. Roczne oszczędności (35 000–70 000 EUR dla 500-osobowej organizacji w porównaniu z Okta) finansują wysiłek migracyjny w ciągu 12 miesięcy.

Przed 2027: Przygotuj się na eIDAS 2.0. Każde państwo członkowskie UE musi oferować EUDIW do 2026 r.

Źródła

Przegląd tematyczny: Tożsamość i uwierzytelnianie