Im Rahmen eines innovativen Plattform Projektes im Energiesektor suchen wir im Auftrag unseres Kunden nach Unterstützung als Senior IAM Engineer (m/w/d) Keycloak, Vault & Devops Automation. Die Tätigkeit erfolgt weitestgehend Remote und nach Absprache ca. 1 mal im Monat für paar Tage am Stück in Frankfurt oder Berlin.

General Description

The IAM Service is responsible for the conception and designing of identity and access management (IAM) services for the platform. The primary goals are providing a scalable, secure, and federated access to applications, ensuring seamless integration across the hybrid cloud environment

Objective 1: Core Identity & Access Management (IAM).

Aufgaben:

• Implementierung von RBAC/ABAC-Richtlinien und Multi-Realm-Setups.

• Empfehlungen zur Zuordnung von Kerberos/IPA-Identitäten und Gruppen in Keycloak-Reiche, Rollen und Clients geben.

• Beratung zur Konfiguration von SSO-Flows, MFA und Identitätsföderation.

Objective 2: Keycloak Integration (On-Prem + GCP).

Aufgaben:

• Bereitstellung von Keycloak auf VMs, Docker oder Kubernetes (OpenShift oder Bare-Metal K8s).

• Konfiguration von Keycloak für OIDC, OAuth2, SAML, Kerberos/LDAP-Föderation.

• Bereitstellung der Integration mit IPA/LDAP/AD für Identitätssynchronisation und Föderation.

• Empfehlungen zur Sicherung von Keycloak mit TLS (Vault-ausgestellte oder Unternehmens-CA-Zertifikate) geben.

• Bereitstellung von Keycloak auf GKE mit Helm/Operators, Handling von Ingress, SSL-Terminierung und HA-Skalierung.

• Integration von Keycloak mit Google Identity als IdP oder Broker.

• Zuordnung von Keycloak-Rollen zu GCP IAM-Rollen für die Zugriffskontrolle von Workloads.

• Konfiguration von Multi-Realm-, Multi-Tenant-Setups für hybride Cloud- und On-Prem-Workloads.

Objective 3: Keycloak Hashicorp integration

Aufgaben:

• Konfiguration von Vault zur Sicherung der operationellen Secrets von Keycloak (DB-Passwörter, Admin-Anmeldeinformationen, Dienstkonten).

• Implementierung von dynamischen Secrets für Keycloak-DB-Backends (z.B. Postgres über Vault).

• Integration von Vault-Agent oder Sidecar-Injektor zur Geheimnisinjektion in Keycloak-Pods (auf GKE oder K8s On-Prem).

• Anwendung von Rotationsrichtlinien zur Minimierung von Geheimnisverbreitung und menschlichem Fehler.

Objective 4: Automation & DevOps.

Aufgaben:

• Bereitstellung und Automatisierung von Keycloak und Vault mit Terraform, Helm oder Ansible.

• Beratung zur Sicherung von Keycloak mit Vault-ausgestellten Zertifikaten und Secrets.

• Verwendung der Keycloak REST-API oder des Terraform-Providers zur Automatisierung der Realm-/Client-Konfiguration.

• Integration von IAM + Vault in CI/CD-Pipelines für konsistentes Anwendungs-Onboarding.

Objective 5: Troubleshooting & Monitoring.

Aufgaben:

• Troubleshooting von Token-Flows, Föderationsfehlern und abgelaufenen Zertifikaten.

• Überwachung beider Plattformen mit Prometheus, Grafana.

• Management der Incident-Response: abgelaufene Zertifikate, Vault-Unseal-Fehler, Migrationsprobleme mit IPA.

Profile Requirements

Der Auftragnehmer muss ein Mid-Level-Ingenieur mit folgender Erfahrung sein:

Must-have experience

• Starke Kenntnisse der Auth-Protokolle (OIDC, OAuth2, SAML, Kerberos, LDAP).

• Expertise mit Keycloak-Deployment (VM, K8s, GCP optional).

• Erfahrung mit Vault-Integration für Secrets.

• Erfahrung mit Terraform/Helm/ArgoCD-Automatisierung.

• Expertise mit Troubleshooting hybrider IAM-Flows.

• Erfahrung mit Auth/Authz-Protokollen, grundlegenden Föderationsstrategien und Automatisierungstools.

Must-have language skills

• Sprache: Fließendes Englisch – C1

Preferred experience

• Erfahrung mit Cloud-Diensten und deren Konfiguration.

• Kenntnisse über IAM-Lösungen basierend auf OpenID Connect (OIDC), wie Keycloak, für Auth-Backends.

• Fließend in Deutsch.

• Arbeiten mit Scrum und allgemeine Erfahrung in agilen Rahmenwerken.