ZITADEL
API ファースト・イベントソーシングの ID / アクセス基盤。設計当初からマルチテナントで、Auth0 の開発者体験と Keycloak のセルフホスト自由度の中間に位置する。
- カテゴリ: Identity & Policy
- CNCF 成熟度: Independent (CNCF ホスト project ではない)
- 言語: Go (75.8%)、TypeScript (11.7%、console と login の UI)
- ライセンス: AGPL-3.0-only。ただし
proto/とapps/docs/は Apache-2.0、login アプリと client SDK は MIT - リポジトリ: zitadel/zitadel
- ドキュメント基準コミット:
10087e7(main、タグv4.15.2近傍、2026-06-17)
何をするものか
ZITADEL はセルフホスト可能な ID プロバイダ。OIDC・OAuth 2.0・SAML 2.0 のトークンを発行・検証し、ユーザーと認証要素を管理し、RBAC モデルで認可の問い合わせに答える。PostgreSQL を背後に持つ単一の Go バイナリとして配布され、ホスト型の ZITADEL Cloud とセルフホスト構成は同一のコードベースで動く。
従来型 IdP と決定的に違うのはストレージモデルだ。すべての状態変更は不変イベントとしてイベントストアへ書かれ、読み取りモデル (projection) はそのイベント列から構築される (README.md:65)。結果として、別建てのログではなくデータモデルの一部として完全な監査証跡が得られ、それを webhook で外部システムへ流せる。
対象は、マルチテナンシーを組み込みの概念として必要とするチーム。Instance・Organization・Project・Application の階層がイベント層に焼き込まれているため、テナント分離は上に重ねた約束事ではなくデータの性質になっている。
いつ使うか
- セルフホストの IdP で B2B マルチテナンシー (組織分離・委譲管理) が必要だが、その層を自作したくない。
- 一部の操作だけでなく、すべての ID 変更について改ざん検知可能で API からアクセスできる監査証跡が必要。
- セルフホストと SaaS を同等の機能で使い分けられる、単一のコードベースが欲しい。
- API 経由で統合する: ZITADEL は全リソースを単一のサービス定義から gRPC・connectRPC・HTTP/JSON で公開する。
向かない場合:
- ZITADEL を LDAP サーバや RADIUS エンドポイントとして使いたい場合。外部 LDAP を上流 IdP としてフェデレーションはできるが、自身は LDAP / RADIUS を提供しない。その用途は Keycloak や Authentik が適する。
- ベンダー中立なガバナンスを持つ CNCF project が欲しい場合。ZITADEL は商用主導の dual-license モデル。
このディープダイブの構成
- 歴史: 起源・マイルストーン・存在理由。
- アーキテクチャ: コンポーネントとリクエストの流れ。
- 採用事例・エコシステム: 誰が動かし、周囲に何があるか。
- 内部実装: ソースから読んだ重要なコードパス。
- はじめに: インストールと最初の動く構成。
出典
- zitadel/zitadel (GitHub)
- ADOPTERS.md
- LICENSING.md
- GitHub REST repo metadata
- About ZITADEL
- ZITADEL raises $9 million Series A
- ZITADEL v3 announcement
- Moving to AGPL 3.0
- Key Changes in Version 3 (discussion #9529)
- Open Source in the AI Era
- CNCF Landscape
- Open Source Authentication in 2026 (skycloak)
- State of Open-Source Identity 2025 (houseoffoss)
- ZITADEL API introduction
- Self-hosting deploy with Compose