Im Rahmen eines innovativen Plattform Projektes im Energiesektor suchen wir im Auftrag unseres Kunden nach Unterstützung als Senior IAM Engineer (m/w/d) Keycloak, Vault & Devops Automation. Die Tätigkeit erfolgt weitestgehend Remote und nach Absprache ca. 1 mal im Monat für paar Tage am Stück in Frankfurt oder Berlin.

General Description

The IAM Service is responsible for the conception and designing of identity and access management (IAM) services for the platform. The primary goals are providing a scalable, secure, and federated access to applications, ensuring seamless integration across the hybrid cloud environment

Objective: Core Identity & Access Management (IAM).
Tasks:
• Implementierung von RBAC/ABAC-Richtlinien und Multi-Realm-Setups.
• Empfehlungen zur Zuordnung von Kerberos/IPA-Identitäten und Gruppen in Keycloak-Reiche, Rollen und Clients geben.
• Beratung zur Konfiguration von SSO-Flows, MFA und Identitätsföderation.

Objective 2: Keycloak Integration (On-Prem + GCP).
Tasks:
• Bereitstellung von Keycloak auf VMs, Docker oder Kubernetes (OpenShift oder Bare-Metal K8s).
• Konfiguration von Keycloak für OIDC, OAuth2, SAML, Kerberos/LDAP-Föderation.
• Bereitstellung der Integration mit IPA/LDAP/AD für Identitätssynchronisation und Föderation.
• Empfehlungen zur Sicherung von Keycloak mit TLS (Vault-ausgestellte oder Unternehmens-CA-Zertifikate) geben.
• Bereitstellung von Keycloak auf GKE mit Helm/Operators, Handling von Ingress, SSL-Terminierung und HA-Skalierung.
• Integration von Keycloak mit Google Identity als IdP oder Broker.
• Zuordnung von Keycloak-Rollen zu GCP IAM-Rollen für die Zugriffskontrolle von Workloads.
• Konfiguration von Multi-Realm-, Multi-Tenant-Setups für hybride Cloud- und On-Prem-Workloads.

Objective: Keycloak Hashicorp integration
Tasks:
• Konfiguration von Vault zur Sicherung der operativen Secrets von Keycloak (DB-Passwörter, Admin-Anmeldeinformationen, Dienstkonten).
• Implementierung von dynamischen Secrets für Keycloak-DB-Backends (z.B. Postgres über Vault).
• Integration von Vault-Agent oder Sidecar-Injektor für die Geheimnisinjektion in Keycloak-Pods (auf GKE oder K8s On-Prem).
• Anwendung von Rotationsrichtlinien zur Minimierung von Geheimnisverbreitung und menschlichem Fehler.

Objective: Vault Core & Infrastructure.
Tasks:
• Bereitstellung und Betrieb von Vault in der Produktion auf Linux-basierten Systemen.
• Arbeiten an Speicher-Backends (Integrierter Speicher, Consul) und Versiegelungsmechanismen (Shamir’s Secret Sharing, HSM-Auto-Unseal, Cloud-KMS-Integration).
• Arbeiten an Leistungstuning, Skalierung von Clustern und Handling von HA-Failover.
• Verwaltung der Vault-PKI-Operationen: Intermediates, Ausgabe-CA, Automatisierung.

Objective: PKI-Specific Expertise.
Tasks:
• Einrichtung der PKI-Secrets-Engine für interne CAs, Intermediates und Rollendefinitionen.
• Automatisierung der Zertifikatsausstellung (dynamische kurzlebige Zertifikate) und Widerruf.
• Integration von Vault PKI mit Unternehmensdiensten (Webserver, Ingress-Controller, Load-Balancer, VPNs).
• Verwaltung der Zertifikatverkettung, Vertrauensanker, CRL/OCSP-Integration und Fehlersuche bei Validierungsfehlern.
• Arbeiten mit PKCS-Standards und Grundlagen des TLS/SSL-Protokolls.
• Implementierung von ACME v2 (DNS-01 + EAB), EST für Geräte.
• Konfiguration von AIA/CRL/OCSP-Publishing und Stapeln.
• Anwendung von RFC 5280-Profilen, SAN-Codierung, RA-Delegation.
• Durchführung von DR/HA, Raft-Speicher, Backup/Wiederherstellungsübungen.

Objective: Automation & DevOps.
Tasks:
• Bereitstellung und Automatisierung von Keycloak und Vault mit Terraform, Helm oder Ansible.
• Verwendung der Keycloak-REST-API oder des Terraform-Anbieters zur Automatisierung der Realm/Client-Konfiguration.
• Schreiben von Automatisierungsskripten mit Terraform, Ansible oder Helm zur Bereitstellung/Verwaltung von Vault.
• Verwendung von Vault-Agent oder Envconsul zur automatischen Geheimnisinjektion in Anwendungen.
• Arbeiten an CI/CD-Integration (Jenkins, GitHub Actions, GitLab CI) für Zertifikat- und Geheimnisverteilung.
• Arbeiten an der Automatisierung der Geheimnisrotation für Datenbanken, PKI und Cloud-Anmeldeinformationen.
• Durchführung von PQC-Piloten in Nicht-Prod.
• Aufbau und Betrieb unter Verwendung von Infrastructure-as-Code und GitOps-Tools.

Objective: Troubleshooting & Monitoring.
Tasks:
• Fehlersuche bei Tokenflüssen, Föderationsfehlern und abgelaufenen Zertifikaten.
• Überwachung beider Plattformen mit Prometheus, Grafana.
• Management der Incident-Response: abgelaufene Zertifikate, Vault-Unseal-Fehler, Migrationsprobleme mit IPA.

Profile Requirements
Der Auftragnehmer muss ein Mid-Level-Ingenieur mit folgender Erfahrung sein:

Must-have experience
• Starke Kenntnisse der Auth-Protokolle (OIDC, OAuth2, SAML, Kerberos, LDAP).
• Expertise mit Keycloak-Deployment (VM, K8s, GCP optional).
• Erfahrung mit Vault-Integration für Secrets.
• Erfahrung mit Terraform/Helm/ArgoCD-Automatisierung.
• Expertise mit Troubleshooting hybrider IAM-Flows.
• Erfahrung mit Auth/Authz-Protokollen, grundlegenden Föderationsstrategien und Automatisierungstools.
• Vault-Grundlagen – Erfahrung mit dem Bereitstellen und Verwalten von Vault-Clustern in der Produktion (HA, Raft-Speicher), Konfiguration von Seal/Unseal (KMS/HSM). Erfahrung mit Vault PKI Secrets Engine-Operationen und HSM-Integration.
• PKI Secrets Engine – Erfahrung mit der Verwaltung von Intermediates, Rollendefinitionen, kurzlebiger Zertifikatsausstellung, CRLs und automatisierter Widerruf sowie die Fähigkeit, PKI mit Apps/Diensten zu integrieren.
• Zertifikatslebenszyklusmanagement – Erfahrung mit der Automatisierung von Ausstellung/Erneuerung über Vault-Agent, API oder CI/CD-Pipelines. Sollte auch in der Lage sein, Rotationsrichtlinien und Widerruf, Zertifikatspolitik und operationale SLOs zu behandeln.
• Integration – Erfahrung mit der Integration von PKI in Unternehmenssysteme (K8s Ingress, Load Balancer, VPN, S/MIME, DBs). ACME, EST, Widerrufsprotokolle, Terraform, OpenTofu, ArgoCD, Flux.
• Monitoring und Troubleshooting – gute Erfahrung mit dem Management von Metriken (Prometheus, Grafana), Troubleshooting von Unseal/Auth/CRL-Problemen, Durchführung von Backup- und Wiederherstellung.

Must-have language skills
• Sprache: Fließendes Englisch – C1

Preferred experience
• Erfahrung mit Cloud-Diensten und deren Konfiguration.
• Kenntnisse über IAM-Lösungen basierend auf OpenID Connect (OIDC), wie Keycloak, für Auth-Backends.
• Fließend in Deutsch.
• Arbeiten mit Scrum und allgemeine Erfahrung in agilen Rahmenwerken.