+49 173 5926916

info@mwolff.org

Butjadinger Straße 34a, 28197 Bremen

Manfred.Wolff

Vier Stunden für Keycloak: Wenn die Schätzungen aus der Vor-KI-Zeit nicht mehr stimmen

Ich hatte vorher noch nie etwas mit Keycloak gemacht. Null Erfahrung mit dem Identity-Management-System, das in vielen Unternehmen als zentrale Authentifizierungsinstanz läuft. Ich hatte mir vorgenommen, eine Anbindung einzurichten, und mich dabei von Claude Desktop begleiten zu lassen.

Vier Stunden später hatte ich eine funktionierende Integration.

Wer schon einmal mit Keycloak gearbeitet hat, weiß: Das ist erklärungsbedürftig. Klassische Schätzungen für eine produktionsreife Keycloak-Integration liegen bei zwei bis vier Wochen, selbst für erfahrene Entwickler. Drei Stunden klingt nach einem Fabelwert.

Warum es überhaupt so schnell ging

Ein erheblicher Anteil der typischen Integrationszeit geht für Dinge drauf, die mit der eigentlichen Logik wenig zu tun haben: Doku lesen, Beispiele suchen, Stack Overflow durchforsten, Trial and Error mit Konfigurationsoptionen, das richtige Pattern für den eigenen Stack finden, herausfinden, welche von drei plausibel klingenden Bibliotheken die richtige ist.

Genau dieser Teil kollabiert mit einem fähigen KI-Assistenten auf nahezu null. Was übrig bleibt, ist die fachliche Substanz: Was soll passieren, welche Rollen gibt es, wie sieht der Token-Flow aus? Das geht mit Klarheit im Kopf und einer guten KI an der Seite tatsächlich in Stunden.

So weit die schöne Geschichte.

Aber: Ich habe geschwitzt

Das war kein Selbstläufer. Es gab Fallstricke. Mehrere. Und ich habe sie nur lösen können, weil ich IT-affin bin.

Mein Setup ist nicht ganz trivial: Ich route von einer Subdomain (toolbox.mwolff.org) auf einen Server bei Hostinger. Genau diese Strecke war das erste Problem. Keycloak braucht eine eigene Subdomain (auth.toolbox.mwolff.org), und die war zunächst nicht Teil des Wildcard-Zertifikats. Klingt nach einer Kleinigkeit. Ist es auch. Aber wenn man nicht weiß, dass ein TLS-Zertifikat genau diesen Hostnamen abdecken muss, sitzt man stundenlang vor einer Fehlermeldung, die nach einem ganz anderen Problem aussieht.

Dann das Routing selbst: Reverse Proxy, Header-Weitergabe, X-Forwarded-Proto, das Standard-Repertoire. Jedes einzelne Detail trivial, in Summe genug Stolpersteine, um einen Tag zu verlieren. Hinzu kommen die typischen Keycloak-Eigenheiten: Konfigurationsoptionen, die in unterschiedlichen Versionen unterschiedlich heißen, was zu Anleitungen führt, die in sich plausibel klingen, in der konkreten Version aber ins Leere laufen.

In jedem dieser Momente musste ich Dinge tun, die ein Laie nicht kann:

  • Eine kryptische TLS-Fehlermeldung lesen und verstehen, dass sie eigentlich von einem fehlenden Subject Alternative Name kommt, nicht von Keycloak selbst.
  • Erkennen, dass die KI gerade einen falschen Pfad einschlägt, obwohl ihre Erklärung überzeugend klingt.
  • Die Architektur im Kopf haben und wissen, an welcher Stelle der Kette (DNS, Reverse Proxy, Zertifikat, Keycloak-Konfig, Client-Konfig) ein Problem überhaupt entstanden sein kann.
  • Sicherheitsrelevante Vorschläge hinterfragen, statt sie blind zu übernehmen.

Ohne dieses Fundament wäre ich gescheitert. Nicht weil die KI schlecht gewesen wäre, sondern weil die KI Vorschläge macht und nicht beurteilen kann, ob ich sie verstanden habe oder ob die Diagnose überhaupt zum echten Problem passt. Wenn sie die falsche Hypothese verfolgt, läuft man mit ihr gemeinsam in die Sackgasse, nur schneller.

Was das für die Debatte um Entwicklerproduktivität bedeutet

Es gibt gerade zwei Lager. Das eine ruft: KI ersetzt Entwickler. Das andere ruft: KI bringt nichts, der Code ist eh fehlerhaft. Beide Lager liegen daneben, und meine vier Stunden mit Keycloak zeigen, warum.

KI ersetzt nicht den Entwickler, sondern den Teil der Arbeit, der mit Wissensbeschaffung und Routine zu tun hat. Was sie nicht ersetzen kann, ist Urteilsvermögen. Die Fähigkeit zu erkennen, wann etwas zwar funktioniert, aber falsch ist. Die Fähigkeit, einen Vorschlag im Kontext der eigenen Architektur, der eigenen Sicherheitsanforderungen, der eigenen Betriebsrealität zu bewerten.

Vier Stunden für Keycloak ist also kein Beweis, dass jeder das jetzt kann. Es ist ein Beweis, dass jemand, der es kann, jetzt schneller ist als je zuvor.

Was ich mitnehme

Erstens: Faustregeln aus der Vor-KI-Zeit sind in Teilen schlicht überholt. Wer heute Entwicklungsaufwände schätzt, sollte sehr genau hinschauen, welcher Anteil der Schätzung aus Wissensbeschaffung besteht. Dieser Anteil schrumpft dramatisch.

Zweitens: Die Schere zwischen erfahrenen Entwicklern und Einsteigern wird durch KI nicht kleiner, sondern größer. Wer Urteilsvermögen mitbringt, gewinnt überproportional. Wer nur Anweisungen befolgen kann, läuft Gefahr, mit selbstbewusst falschen Vorschlägen in eine produktive Katastrophe zu rennen.

Drittens: Produktionsreif ist ein dehnbarer Begriff. Meine vier Stunden haben mir eine funktionierende Anbindung gebracht. Ob die einem ernsthaften Pentest oder einer User-Migration mit echten Daten standhält, ist eine andere Frage. Auch hier gilt: Wer das beurteilen kann, kommt mit KI weit. Wer es nicht beurteilen kann, weiß nicht einmal, dass die Frage existiert.

KI macht aus IT-Affinen Beschleunigte. Aus Laien macht sie keine Entwickler. Das ist keine schlechte Nachricht, im Gegenteil. Es bedeutet nur, dass die Kompetenz, die jetzt zählt, nicht mehr das Wissen ist, sondern das Urteil darüber, was mit diesem Wissen anzufangen ist.

Neue Beiträge als Mail

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.

← Zurück zur Beitragsliste

Vorhandene Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert