Erfahrung mit Single Sign On und Identity and Access Management SW?

Um den Wildwuchs an Accounts zu reduzieren würde ich gerne ein FOSS Single Sign On (SSO) und Identity and Access Management (IAM) System einführen. Mir derzeit bekannte Anforderungen sind SAML2, OpenID, Kerberos, ggf. FIDO2/Passkey, MFA (mehr als nur TOTP & ohne Handy nutzbar), Selfservice – entweder jeweils native oder via Bridge/Plugin. Ich stolpere in dem Zusammenhang immer wieder über Keycloak, aber es gibt auch andere: https://www.dev-insider.de/5-freie-2fa-systeme-zum-nachruesten-a-9d6a62f608f67fc73bd4bc9d33e89eb0/
Hat da jemand Erfahrung? Freue mich über Austausch!