Azure-AD-B2C-Alternative: Für Teams, die ihren nächsten Schritt planen

Auf der Suche nach einer Azure-AD-B2C-Alternative? Logto gibt dir Enterprise SSO, Multi-Tenant-Organisationen und MFA ohne XML-Custom-Policies oder einen Neuaufbau nach dem Zeitplan eines anderen.

Warum Teams nach Azure AD B2C-Alternativen suchen

Azure AD B2C hat sich seinen Platz verdient: ein großzügiger kostenloser Plan, der Azure-Compliance-Schirm und ein SLA von 99.99%. Aber Microsoft hat es für Neukunden geschlossen und verweist CIAM-Projekte jetzt auf Microsoft Entra External ID, eine Next-Generation-Plattform, die die Custom Policies nicht ausführt, an denen Teams jahrelang gebaut haben. Wenn wir mit Teams sprechen, die B2C verlassen, geht es selten um einen einzelnen Bug. Es ist eine Plattform, die stehen geblieben ist, während ihr Produkt weiter gewachsen ist.

BeweggrundSo sieht es in der Praxis aus
Ein Produkt im AuslaufmodusSeit dem 1. Mai 2025 ist Azure AD B2C für Neukunden nicht mehr verfügbar, und die Premium-P2-Stufe wurde am 15. März 2026 eingestellt. Microsoft verpflichtet sich, bestehende Tenants "mindestens bis Mai 2030" zu unterstützen. Das lässt Zeit zum Planen, aber jede neue Funktion, die du auf B2C aufbaust, vertieft deine Investition in eine Plattform, an der Microsoft selbst schon vorbeigezogen ist.
Der Upgrade-Pfad ist kein direkter ErsatzEntra External ID verzichtet vollständig auf XML-Custom-Policies, und über Custom Policies konfigurierte Identitätsanbieter werden bei einer direkten Migration nicht unterstützt. Ein Wechsel dorthin bedeutet einen neuen Tenant, selbstgeschriebene Skripte zur Benutzermigration gegen die Graph API und eine App-für-App-Umstellung. Wenn das der Preis des Standard-Upgrades ist, ist es sinnvoll, stattdessen den gesamten Markt zu prüfen.
Custom Policies sind eine SackgasseFortgeschrittene B2C-Szenarien leben im Identity Experience Framework: mehrere XML-Dateien, die sich in einer Vererbungskette gegenseitig referenzieren, kein lokales Debugging und Fehlersuche über Application-Insights-Logs. Microsofts eigene FAQ räumt ein, dass Kunden Custom Policies "zu schwer zu bauen und zu verwalten" fanden. Dieses Know-how lässt sich nirgendwohin übertragen.
Enterprise SSO bedeutet XML von Hand bearbeitenIn B2C ist die Föderation eines SAML-Identitätsanbieters nur über Custom Policies möglich. Jeder Enterprise-Kunde, den du onboardest, bedeutet handgeschriebenes Claims-Provider-XML, Zertifikat-Uploads und manuell ausgetauschte Metadaten. Es gibt kein Self-Service-Portal und kein SSO-Modell pro Kunde, auf das du dich stützen kannst.

Wie unterscheidet sich Logto von Azure AD B2C?

Konfiguration statt XML-Engineering

Anmeldeerlebnis, MFA, Passkeys und Enterprise SSO werden in der Logto Console oder über die Management API konfiguriert. Branding, benutzerdefinierte JWT-Claims und Webhooks decken die Szenarien ab, die Teams früher in Policy-XML von Hand gebaut haben. Änderungen erfordern einen Umschalter oder einen API-Aufruf, keinen Policy-Upload und keine Application-Insights-Session.

Multi-Tenant-B2B von Haus aus

Logto-Organisationen geben jedem Geschäftskunden eigene Mitglieder, Rollen und eine eigene Enterprise-SSO-Verbindung, mit Just-in-time-Provisioning, sobald sich ihre Benutzer zum ersten Mal anmelden. Was B2C dich mit benutzerdefinierten Attributen von Hand modellieren lässt, ist in Logto eine erstklassige Produktfunktion.

Eine Plattform, auf der du nicht stranden kannst

Du hast gesehen, was passiert, wenn eine proprietäre Identitätsplattform das Ende des Verkaufs erreicht. Logto Cloud ist ein vollständig verwalteter Dienst und läuft auf derselben Codebasis wie die Open-Source-Version von Logto (13k+ GitHub-Sterne). Wenn Wirtschaftlichkeit oder Roadmap für dich irgendwann nicht mehr passen, kannst du selbst hosten und einfach weitermachen. Keine Erlaubnis nötig.

Ist Logto die richtige Azure AD B2C-Alternative für dich?

Wir glauben an ehrliche Positionierung. Logto ist nicht für jeden Azure AD B2C-Kunden die perfekte Wahl.

Wann du zu Logto wechseln solltest

  • Du startest ein neues CIAM-Projekt. Du kannst Azure AD B2C nicht mehr kaufen, also vergleichst du ohnehin Nachfolger. Der kostenlose Plan von Logto deckt bis zu 50K MAU ab, und Entwicklungs-Tenants enthalten jede Premium-Funktion kostenlos.
  • Deine Liste an Enterprise-SSO-Verbindungen wächst ständig. Das Onboarding des IdP jedes Kunden ist in Logto eine Konfiguration in der Konsole: SAML- oder OIDC-Verbindungen pro Organisation mit Just-in-time-Provisioning, kein XML.
  • Du bist fertig mit dem Identity Experience Framework. Die Abläufe, die du in Policy-XML von Hand gebaut hast, etwa gebrandete Anmeldung, MFA-Regeln und benutzerdefinierte Claims, sind in Logto Produktfunktionen.
  • Du willst nie wieder von einer Abkündigung im Stich gelassen werden. Nutze heute die Managed Cloud und behalte die Option, morgen dieselbe Open-Source-Codebasis selbst zu hosten.

Wann Azure AD B2C die bessere Wahl sein könnte

  • Du nutzt User Flows und bleibst unter 50K MAU. Wenn die eingebauten User Flows deinen Bedarf decken, bleibt B2C praktisch kostenlos und wird mindestens bis Mai 2030 unterstützt. Es gibt heute keinen Handlungszwang. Der Vollständigkeit halber: Der kostenlose Plan von Logto deckt ebenfalls 50K MAU ab.
  • Du setzt voll auf Microsoft. Wenn deine Belegschaft auf Microsoft Entra ID läuft und deine Compliance auf Azure aufbaut, hält dich der Wechsel zu Entra External ID innerhalb einer einzigen Anbieterbeziehung, und einfache User-Flow-Setups migrieren mit der geringsten Reibung.

Azure AD B2C vs. Logto: Direktvergleich

LogtoAzure AD B2C
Zentrale Unterschiede
ProduktlebenszyklusOb das Produkt für Neukunden offen ist und aktiv weiterentwickelt wirdAktiv weiterentwickelteine ProduktlinieFür Neukunden geschlossen seit Mai 2025neue Funktionen landen in einem separaten Produkt
Erweiterte AnpassungWie du über die eingebauten Anmelde-Flows hinausgehstKonsole und APIsbenutzerdefinierte JWT-Claims und WebhooksXML-Custom-Policies (Identity Experience Framework)
Enterprise SSOUnternehmenskunden melden sich mit ihrem eigenen Identitätsanbieter anSAML- und OIDC-Connectors in der Konsole konfiguriertSAML-Föderation erfordert Custom Policies
B2B / MandantenfähigkeitModelliere Geschäftskunden als Organisationen mit RollenUnbegrenzt*Organisationen mit Rollen und SSO pro OrganisationKein eingebautes Organisationsmodell
SPA-SessionsBenutzer von Single-Page-Apps angemeldet haltenRotierende Refresh-Token mit konfigurierbarer LebensdauerSPA-Refresh-Token auf 24 Stunden begrenzt
BereitstellungsoptionenWo der Auth-Dienst laufen kannCloud, Private Cloud oder selbst gehostetNur von Microsoft gehostet
Kostenloser PlanWas der kostenlose Plan enthältBis zu 50K MAU und 50K TokenErste 50K MAU kostenlos

Basierend auf öffentlich verfügbaren Informationen, Stand Juli 2026. Bitte prüfe die aktuellen Details beim jeweiligen Anbieter.

* "Unbegrenzt" bezieht sich auf Funktionen ohne feste Grenzen, unterliegt jedoch den Systemrichtlinien zur Gewährleistung einer fairen Nutzung, Sicherheit und optimalen Leistung.

Migration von Azure AD B2C: Was dich erwartet

Ehrlich gesagt: Azure AD B2C lässt dich keine Passwort-Hashes exportieren, also kann kein Anbieter eine Massenmigration versprechen, bei der jedes bestehende Passwort still und leise weiter funktioniert. Microsofts eigene External-ID-Anleitung umgeht dieselbe Einschränkung.

Alles andere lässt sich sauber übertragen. Exportiere Benutzerprofile über die Microsoft Graph API und importiere sie per Massenimport mit der Management API von Logto. Benutzer, die sich über Social-Anbieter oder passwortlose Methoden anmelden, bemerken den Wechsel überhaupt nicht.

Für Passwort-Benutzer plane entweder einen einmaligen Reset oder einen gestaffelten Rollout. Der richtige Ansatz hängt von deiner Benutzerbasis ab, also erzähl uns von deinem Setup, und wir helfen dir, die Umstellung zu planen.

Lies den Leitfaden zur Benutzermigration →

Jede Migration ist ein wenig anders. Wenn der Leitfaden deinen Fall nicht abdeckt, sprich mit uns und sag uns, was du brauchst.

Häufig gestellte Fragen

Ist Azure AD B2C veraltet?

Microsoft verwendet das Wort "veraltet" nicht, aber seit dem 1. Mai 2025 ist Azure AD B2C für Neukunden nicht mehr käuflich, und die Premium-P2-Stufe wurde am 15. März 2026 eingestellt. Microsoft erklärt, bestehende Tenants mindestens bis Mai 2030 weiter zu unterstützen.

Was ist der Unterschied zwischen Azure AD B2C und Microsoft Entra External ID?

Es sind separate Produkte, und Microsoft erklärt, dass External ID kein neuer Name für Azure AD B2C ist. External ID ist Microsofts Next-Generation-CIAM-Plattform, und ihre Migrationsanleitung verweist bestehende B2C-Kunden dorthin. Sie unterstützt keine XML-Custom-Policies; Microsoft hat einen Migrationspfad für bestehende Custom Policies versprochen, aber er ist mit Stand Juli 2026 noch nicht verfügbar.

Muss ich von Azure AD B2C weg migrieren?

Nicht sofort. Bestehende Tenants werden mindestens bis Mai 2030 unterstützt, und Microsofts erklärte Zusagen für B2C umfassen Sicherheit, Verfügbarkeit und Zuverlässigkeit. Die Arbeit an neuen Funktionen findet in Entra External ID statt. Da ein Wechsel dorthin selbst ein Migrationsprojekt ist, nehmen viele Teams dies zum Anlass, den gesamten CIAM-Markt zu prüfen, statt standardmäßig zum hauseigenen Upgrade zu greifen.

Was ist die beste Azure-AD-B2C-Alternative?

Microsofts eigener Nachfolger ist Entra External ID, was für Teams sinnvoll ist, die tief im Microsoft-Ökosystem verankert sind. Wenn du Multi-Tenant-B2B-Funktionen, Enterprise SSO ohne Custom Policies und die Option zum Selbsthosten willst, statt auf einen weiteren proprietären Lebenszyklus zu setzen, ist Logto eine starke Wahl. Auch Auth0 und andere CIAM-Anbieter sind eine Prüfung wert.

Microsoft, Azure und Microsoft Entra sind Marken der Microsoft-Unternehmensgruppe. Funktionsvergleiche basieren auf öffentlich verfügbaren Informationen, Stand Juli 2026. Bitte prüfe die aktuellen Details beim jeweiligen Anbieter.

Baue deine Projekte mit Logto Cloud