Es ist eines dieser Updates, die kein Marketing-Feuerwerk bekommen — aber für alle, die produktiv mit der Claude-Plattform bauen, ziemlich viel ändern. Anthropic hat Workload Identity Federation (WIF) allgemein verfügbar gemacht. Das Ziel: Du musst nie wieder einen statischen API-Key in deinem Code, deiner CI-Pipeline oder einem Secrets-Manager herumliegen haben.
Das Problem mit dem alten Key
Ein klassischer API-Key ist ein langlebiges Geheimnis. Du erstellst ihn einmal, kopierst ihn in eine .env-Datei oder eine GitHub-Action — und ab da musst du ihn schützen, rotieren und hoffen, dass er nicht aus Versehen in ein Log oder ein öffentliches Repo rutscht. Genau das geht erstaunlich oft schief.
WIF dreht das Prinzip um. Statt eines festen Schlüssels nutzt deine Anwendung die Identität, die sie ohnehin schon hat: eine AWS-IAM-Rolle, ein GCP- oder Kubernetes-Service-Account, eine Azure Managed Identity, ein GitHub-Actions-Token oder ein beliebiger OIDC-kompatibler Provider wie Okta. Die Claude-Plattform prüft das signierte Token, gleicht es gegen deine Federation-Regeln ab und stellt einen kurzlebigen Access-Token aus. Kein statisches Anthropic-Secret, das man erstellen, rotieren oder verlieren kann.
Service-Accounts und ein echter Audit-Trail
Der zweite Teil ist mindestens so wichtig: Anthropic führt Service-Accounts ein. Jeder Workload bekommt seine eigene Identität, eigene Rollen und einen eigenen Audit-Trail — statt dass sich ein halbes Team einen gemeinsamen Key teilt. Jeder Zugriff wird gegen diesen Account protokolliert. Wenn etwas schiefläuft, weißt du also, welcher Dienst was getan hat.
Über die Admin-API lässt sich das Ganze komplett programmatisch verwalten: Issuer, Service-Accounts und Federation-Regeln anlegen und aktualisieren. Für kleine Teams gibt es einen geführten Setup-Flow in der Konsole, der jeden Schritt validiert und am Ende mit einem Test-Befehl bestätigt, dass die Authentifizierung wirklich funktioniert. Und das Beste für die Migration: Alte API-Keys laufen parallel weiter. Du kannst Workload für Workload umstellen, ohne dass etwas bricht.
Meine Einordnung
WIF ist nicht das Feature, über das man auf Partys redet — aber es ist genau das, was eine Plattform erwachsen macht. Keylose Authentifizierung ist im Cloud-Umfeld längst Standard, und dass Claude jetzt nachzieht, ist ein klares Signal: Anthropic baut die Plattform für ernsthaften Enterprise-Betrieb, nicht nur für schnelle Prototypen. Für mich als jemand, der gerne mal eben einen Key in eine GitHub-Action wirft, ist die ehrlichste Botschaft: Das solltest du bald nicht mehr tun müssen. Und das ist gut so.
Quellen: Claude Blog: Workload Identity Federation, Releasebot: Claude