What Keycloak version do you use?

We deploy Keycloak 26.x (latest stable) for all new projects. For existing deployments, we offer migration paths from Keycloak 18+ (including the legacy WildFly-based versions) to the modern Quarkus-based distribution.

How long does a typical project take?

Simple implementations (passkeys, theming) take 5-10 business days. Multi-tenancy and HA clusters typically take 2-3 weeks. Full CIAM overhauls run 4-6 weeks. We provide exact timelines in our fixed-price proposals.

Can you migrate us from Okta, Auth0, or Firebase Auth?

Yes. We have battle-tested migration playbooks for Okta, Auth0, Firebase Auth, AWS Cognito, and Azure AD B2C. We handle user migration, session continuity, and social login re-linking with zero downtime.

What does 'fixed price' mean? Are there hidden costs?

Our quotes are all-inclusive. The price covers discovery, architecture, implementation, testing, deployment, documentation, and 30-day warranty support. Infrastructure costs (cloud hosting) are separate and transparently estimated upfront.

Do you offer ongoing managed services?

Yes. Our Managed Keycloak-as-a-Service starts at $1,800/month and includes 24/7 monitoring, patching, scaling, security updates, and incident response. Think of it as your dedicated Keycloak ops team without the hiring overhead.

Is Keycloak really enterprise-ready?

Absolutely. Keycloak is backed by Red Hat (IBM), powers thousands of enterprise deployments globally, and is the upstream for Red Hat SSO. It supports SAML 2.0, OIDC, LDAP/AD federation, and every enterprise SSO protocol you need.

What about vendor lock-in?

Zero. Keycloak is 100% open source (Apache 2.0). You own your deployment, your data, and your configuration. Everything we build is yours — full source code, Terraform configs, and documentation included in every project.

Do you work with our existing DevOps team?

Yes. We integrate seamlessly with your existing CI/CD pipelines, cloud infrastructure, and DevOps workflows. We provide Terraform/OpenTofu IaC, Helm charts, and comprehensive runbooks so your team can maintain the deployment independently.

الامتثال لقانون حماية البيانات الشخصية الإماراتي: متطلبات إدارة الهوية والوصول

الفجوة التوافقية التي كادت تُكلّف شركة دفع دبيّة رخصتها

سمع طارق الرشيدي، المدير التقني لمنصة مدفوعات مقرّها دبي، بقانون حماية البيانات الشخصية الإماراتي عند صدوره عام 2021. أحاله فريقه القانوني إلى ملف "مخاوف مستقبلية". كانت المنصة تنمو بوتيرة متسارعة: 80,000 مستخدم نشط، مرخّصة من مركز دبي المالي العالمي، وتعالج مدفوعات تجارية في جميع أنحاء دول الخليج.

في الربع الثالث من عام 2025، طلب مسؤول امتثال في مصرف الإمارات المركزي خلال تفتيش روتيني سجل معالجة البيانات الخاص بهم. تحديداً: مَن هم معالجو الطرف الثالث الذين يتعاملون مع البيانات الشخصية لمقيمي الإمارات، وأين تُخزَّن هذه البيانات؟

كان الجواب: Auth0، منطقة شرق الولايات المتحدة.

لم يكن رد مسؤول الامتثال غرامةً — ليس بعد. كان إشعار تصحيح يتطلب وثائق مقبولة لضمانات حماية البيانات عبر الحدود في غضون 90 يوماً.

قضى طارق تلك التسعين يوماً في إعادة بناء طبقة المصادقة بالكامل. استغرق الترحيل إلى Keycloak، المنشور على AWS البحرين (me-south-1)، ثمانية أسابيع. واستغرق إعداد حزمة وثائق الامتثال أسبوعين إضافيين. تكلّفت عملية الامتثال تحت ضغط تنظيمي ثلاثة أضعاف ما كانت ستكلّفه لو نُفِّذت على الوجه الصحيح في البداية.

الإطار الثلاثي لحماية البيانات في الإمارات

يستلزم فهم الامتثال لحماية البيانات الإماراتية استيعاب ثلاثة أنظمة متمايزة تعمل في آنٍ واحد — وقد تنطبق جميعها على عملك تبعاً لمكان تأسيسه والقطاعات التي تعمل فيها.

الطبقة الأولى: قانون حماية البيانات الشخصية الاتحادي (المرسوم بقانون الاتحادي رقم 45 لعام 2021)

يُطبَّق قانون حماية البيانات الشخصية الإماراتي — المعروف غالباً بالقانون الاتحادي لحماية البيانات — على معالجة البيانات الشخصية للأفراد في الإمارات من قِبل الكيانات العاملة في المناطق الحرة غير المالية والبرّ الرئيسي. دخل حيّز التنفيذ في 2 يناير 2022، مع منح مهلة 12 شهراً للامتثال.

الخصائص الرئيسية:

يُطبَّق على أي كيان يعالج البيانات الشخصية لمقيمي الإمارات، بصرف النظر عن مكان تأسيسه
يُلزم بالحصول على موافقة صريحة لمعالجة البيانات الحساسة
يفرض حقوق الوصول إلى البيانات وتصحيحها وحذفها
يضع قيوداً على نقل البيانات عبر الحدود إلى دول دون مستوى حماية كافٍ

الطبقة الثانية: مركز دبي المالي العالمي (DIFC) — قانون حماية البيانات لعام 2020

يملك مركز دبي المالي العالمي ولاية قضائية مستقلة بمعايير حماية بيانات خاصة به، وهي متوافقة مع اللائحة الأوروبية العامة لحماية البيانات (GDPR) وتُضاف إلى القانون الاتحادي. تنطبق هذه القواعد على الكيانات المرخّصة من DIFC وتُشترط لتبادل البيانات مع منطقة التجارة الحرة.

الطبقة الثالثة: سوق أبوظبي العالمي (ADGM) — نظام حماية البيانات لعام 2021

يطبّق سوق أبوظبي العالمي إطاراً مماثلاً للمنشآت المرخّصة لديه. تتمتع هذه المنطقة الحرة بسلطة تنظيمية مستقلة، ويُعدّ نظام حماية بياناتها متوافقاً مع GDPR أيضاً.

ما تعنيه هذه المتطلبات لبنية المصادقة

الموافقة المُوثَّقة على معالجة البيانات

يُلزم كلٌّ من القانون الاتحادي وقانون DIFC وقانون ADGM بالحصول على موافقة مستنيرة قبل معالجة البيانات الشخصية. من منظور المصادقة، يعني ذلك:

تسجيل موافقة المستخدم مع توثيق التاريخ والوقت عند التسجيل
الاحتفاظ بسجلات الموافقة طوال عمر الحساب
منح المستخدمين آلية لسحب الموافقة وحذف الحساب

تطبيق Keycloak: يدعم Keycloak سجلات الموافقة من خلال واجهة ConsentModel، التي تتيح تتبع موافقات المستخدمين الإلزامية لكل عميل.

قيود الإقامة الجغرافية للبيانات

لا تُلزم اللائحة الاتحادية صراحةً بإقامة البيانات داخل الإمارات، إلا أنها تفرض على الجهات المعالجة ضمان مستوى حماية كافٍ للبيانات المنقولة عبر الحدود. عملياً، أفضت تفسيرات الجهات التنظيمية إلى:

تفضيل بيانات DIFC وADGM لخوادم داخل الإمارات
متطلبات التوثيق للنقل إلى دول لا تنتمي إلى قائمة الدول ذات الحماية الكافية
التدقيق من قِبل مصرف الإمارات المركزي وهيئة الأوراق المالية على منصات معالجة البيانات الشخصية

خيارات النشر:

AWS Bahrain (me-south-1): أقرب منطقة AWS جغرافياً، مع خطوط نقل بيانات مباشرة إلى الإمارات
Azure UAE North (دبي): منطقة Azure المحلية في الإمارات — الخيار المفضّل لأعمال DIFC

حقوق صاحب البيانات — الوصول والتصحيح والحذف

يُلزم كلٌّ من PDPL وDIFC وADGM بدعم ما يلي:

الحق	المتطلب التقني	ميزة Keycloak
حق الوصول	تصدير بيانات الحساب	Admin REST API – `GET /users/{id}`
حق التصحيح	تحديث سمات الملف الشخصي	واجهة ضبط الحساب أو Admin API
حق الحذف	حذف الحساب مع إلغاء رموز التوكن	`DELETE /users/{id}` + إنهاء الجلسات
حق الاعتراض	تعليق معالجة البيانات	تعطيل الحساب + إبطال التوكن

إعداد Keycloak للامتثال الإماراتي

١. تفعيل سجل موافقة المستخدم

# Enable user consent at realm level
# Admin Console → Clients → [client-id] → Settings
# Enable "Consent Required"

# Or via Admin CLI
kcadm.sh update clients/<client-id> \
  -r <realm> \
  -s consentRequired=true

يُنشئ Keycloak سجلات موافقة محدودة بمدة زمنية لكل مستخدم وعميل، مُخزَّنة في جدول user_consent. سجِّل هذه البيانات أو صدِّرها دورياً لأغراض الامتثال.

٢. تهيئة ثيم Keycloak للغة العربية

# Configure timezone and locale settings in Keycloak
KC_SPI_THEME_DEFAULT=your-custom-theme \
KC_LOG_LEVEL=INFO

# In standalone.xml or quarkus properties:
keycloak.hostname=auth.yourdomain.ae

أضف ملفات الترجمة العربية إلى مجلد ثيم Keycloak لواجهة تسجيل الدخول العربية:

themes/your-theme/login/messages/
  messages_ar.properties

٣. ضبط حدود الاحتفاظ بالبيانات

# In keycloak.conf or standalone.xml
# Short event log retention period for compliance
spi-events-store-jpa-max-detail-length=1000
spi-events-store-jpa-expiration=7776000
# (90 days in seconds)

# Admin event retention
spi-admin-events-store-jpa-expiration=31536000
# (1 year)

٤. إعداد تسجيل الخروج عبر القنوات (Backchannel Logout)

يُلزم PDPL بإمكانية المستخدم إنهاء جميع الجلسات الفعّالة فور طلبه ذلك:

# Enable Backchannel Logout per client
kcadm.sh update clients/<client-id> \
  -r <realm> \
  -s 'attributes={"backchannel.logout.session.required":"true"}'

لوائح الامتثال الإضافية في القطاع المصرفي الإماراتي

إذا كانت منصتك مرخّصة من مصرف الإمارات المركزي، فأنت مُلزَم بالامتثال الإضافي لـ:

متطلبات مصرف الإمارات المركزي للأمن السيبراني (2023)

المصادقة متعددة العوامل: إلزامية لجميع الحسابات ذات الصلاحيات المميَّزة
توثيق إدارة الوصول: يجب توثيق سياسات التحكم في الوصول بشكل رسمي
مراجعات الوصول الدورية: مراجعة ربع سنوية للوصول المميّز

تطبيق MFA في Keycloak

// Realm-level security policy
// Admin Console → Authentication → Required Actions
// Enable "Configure OTP" or "WebAuthn Authenticator"

// Or via Admin API
fetch('/admin/realms/{realm}/authentication/required-actions', {
  method: 'POST',
  headers: {
    'Authorization': `Bearer ${adminToken}`,
    'Content-Type': 'application/json'
  },
  body: JSON.stringify({
    alias: 'CONFIGURE_TOTP',
    defaultAction: true,
    enabled: true
  })
});

قائمة التحقق للامتثال الإماراتي

المتطلب	تطبيق Keycloak	الأولوية
موافقة المستخدم الموثّقة	`consentRequired=true`	عالية
إقامة البيانات / نقلها	النشر في me-south-1 أو UAE North	عالية
تصدير بيانات المستخدم	Admin API + Cloudflare Function	عالية
حذف الحساب	`DELETE /users/{id}` + إبطال التوكن	عالية
MFA للوصول الإداري	WebAuthn / TOTP مفعّل	عالية
سياسة الاحتفاظ بالأحداث	`expiration` مضبوط على 90 يوماً	متوسطة
سياسة كلمات المرور	8 أحرف كحد أدنى + تعقيد	متوسطة
تسجيل الدخول الموحَّد (SAML/OIDC)	بروتوكولات Keycloak القياسية	منخفضة
سجل أحداث المسؤول	تفعيل Admin Events	متوسطة
Backchannel Logout	`backchannel.logout.session.required`	متوسطة

ملاحظة ختامية

الامتثال لقانون حماية البيانات الشخصية الإماراتي لا يعني إعادة هيكلة منصتك بالكامل — بل يعني نشر مكوّنات المصادقة في البنية التحتية الصحيحة، مع تفعيل آليات تتبع بيانات الموافقة والأحداث التي يوفّرها Keycloak افتراضياً.

نحن في KeycloakPro متخصصون في عمليات نشر Keycloak في بيئات الإنتاج لشركات الخليج والشرق الأوسط. إذا كنت في مرحلة الترحيل أو تواجه ضغطاً تنظيمياً، تواصل معنا لحجز استشارة مجانية.