O sintoma é bastante simples: erro 403 - Forbidden, quando tentamos fazer login no servidor de desenvolvimento do App Engine, na URL /_ah/login.
No meu caso, demorei a lembrar que coloquei uma segurança contra ataques do tipo CSRF, através da tag:
<security:csrf />
Do Spring Security.
Pois bem, o resultado é que a página mock de login do App Engine não coloca um token CSRF (até porque essa página é gerada pelo App Engine, que é totalmente desacoplado do Spring Security) e, portanto, a autenticação não se completa, gerando um 403, que é a resposta padrão do Spring Security para quando o token anti-CSRF não está presente.
Para resolver de forma simples, desabilite a segurança contra CSRF no servidor de desenvolvimento. Não é o melhor cenário possível, mas acredito que o melhor custo x benefício.