Praxisorientierte Qualifizierung im Bereich Amplify und API Management. Das Security-Seminar verbindet die wichtigsten Authentifizierungs- und Autorisierungsverfahren für Unternehmens-APIs. Flows, Token, Claims, Zertifikate, Schlüssel, Trust und typische Angriffsbilder werden mit Gateway-Policies und Testfällen umgesetzt.
Teilnehmende können geeignete Verfahren auswählen, sichere Token- und Zertifikatsprüfungen konfigurieren, Fehlkonfigurationen erkennen und nachvollziehbare Sicherheitsentscheidungen dokumentieren.
Inhaltsübersicht
- Einordnung und Zielsetzung
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praxis und Methodik
- Einordnung in den Lernpfad
Einordnung und Zielsetzung
Drei Tage sind erforderlich, um Protokollkonzepte, konkrete Gateway-Umsetzung, negative Sicherheitstests und ein kombiniertes End-to-End-Szenario abzudecken.
Die Inhalte werden nicht als isolierte Produktfunktionen behandelt. Ausgangspunkt sind reale Anforderungen, darauf folgen Architekturentscheidung, Konfiguration, Prüfung, Fehleranalyse und dokumentierte Betriebsübergabe.
Lernziele
- die Architektur und die zentralen Betriebsobjekte im Bereich Amplify und API Management einordnen.
- eine belastbare Referenzkonfiguration aus fachlichen Anforderungen ableiten.
- Konfigurationen schrittweise erstellen, testen und nachvollziehbar dokumentieren.
- Sicherheits-, Betriebs- und Governance-Anforderungen in der Umsetzung berücksichtigen.
- Fehlerbilder systematisch analysieren und geeignete Korrekturmaßnahmen auswählen.
Zielgruppe
Security Architects, API Developers, Policy-Entwickler, IAM-Teams, Plattformbetreiber, Auditoren und technische Consultants.
Voraussetzungen
Solide HTTP- und API-Grundkenntnisse; Basiswissen zu TLS, Zertifikaten und Identitätsmanagement.
Seminarinhalte
Modul 1: Bedrohungsmodell für APIs
Der Themenblock verbindet Identitätsdiebstahl, Token-Missbrauch und Replay, unzulässige Datenzugriffe und fehlerhafte Autorisierung und Schutzziele, Vertrauensgrenzen und Nachweisführung zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.
- Identitätsdiebstahl, Token-Missbrauch und Replay.
- unzulässige Datenzugriffe und fehlerhafte Autorisierung.
- Schutzziele, Vertrauensgrenzen und Nachweisführung.
Schritt für Schritt
- Identitätsdiebstahl, Token-Missbrauch und Replay erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
- unzulässige Datenzugriffe und fehlerhafte Autorisierung anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
- Schutzziele, Vertrauensgrenzen und Nachweisführung mit positiven, negativen und betrieblichen Testfällen prüfen.
- Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.
Modul 2: OAuth 2.0 Rollen und Flows
Der Themenblock verbindet Authorization Code mit PKCE und Client Credentials, Scopes, Audience und Resource Server und Flow-Auswahl, Risiken und sichere Parameter zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.
- Authorization Code mit PKCE und Client Credentials.
- Scopes, Audience und Resource Server.
- Flow-Auswahl, Risiken und sichere Parameter.
Schritt für Schritt
- Authorization Code mit PKCE und Client Credentials erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
- Scopes, Audience und Resource Server anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
- Flow-Auswahl, Risiken und sichere Parameter mit positiven, negativen und betrieblichen Testfällen prüfen.
- Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.
Modul 3: OpenID Connect
Der Themenblock verbindet ID Token, UserInfo und Session-Bezug, Claims, Nonce und Authentication Context und Trennung von Authentifizierung und API-Autorisierung zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.
- ID Token, UserInfo und Session-Bezug.
- Claims, Nonce und Authentication Context.
- Trennung von Authentifizierung und API-Autorisierung.
Schritt für Schritt
- ID Token, UserInfo und Session-Bezug erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
- Claims, Nonce und Authentication Context anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
- Trennung von Authentifizierung und API-Autorisierung mit positiven, negativen und betrieblichen Testfällen prüfen.
- Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.
Modul 4: JWT und Token-Prüfung
Der Themenblock verbindet Signatur, Algorithmus und Schlüsselbezug, Issuer, Audience, Zeitangaben und Claims und Key Rotation, JWKS und Fehlerbehandlung zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.
- Signatur, Algorithmus und Schlüsselbezug.
- Issuer, Audience, Zeitangaben und Claims.
- Key Rotation, JWKS und Fehlerbehandlung.
Schritt für Schritt
- Signatur, Algorithmus und Schlüsselbezug erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
- Issuer, Audience, Zeitangaben und Claims anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
- Key Rotation, JWKS und Fehlerbehandlung mit positiven, negativen und betrieblichen Testfällen prüfen.
- Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.
Modul 5: mTLS und Zertifikatsidentitäten
Der Themenblock verbindet beidseitige TLS-Authentifizierung, Zertifikatsketten, Trust und Revocation und Bindung von Client, Anwendung und Token zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.
- beidseitige TLS-Authentifizierung.
- Zertifikatsketten, Trust und Revocation.
- Bindung von Client, Anwendung und Token.
Schritt für Schritt
- beidseitige TLS-Authentifizierung erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
- Zertifikatsketten, Trust und Revocation anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
- Bindung von Client, Anwendung und Token mit positiven, negativen und betrieblichen Testfällen prüfen.
- Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.
Modul 6: Autorisierungsmodelle
Der Themenblock verbindet Scopes, Rollen, Attribute und Entitlements, Policy Enforcement und externe Entscheidungsdienste und Least Privilege, Deny-by-Default und Kontext zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.
- Scopes, Rollen, Attribute und Entitlements.
- Policy Enforcement und externe Entscheidungsdienste.
- Least Privilege, Deny-by-Default und Kontext.
Schritt für Schritt
- Scopes, Rollen, Attribute und Entitlements erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
- Policy Enforcement und externe Entscheidungsdienste anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
- Least Privilege, Deny-by-Default und Kontext mit positiven, negativen und betrieblichen Testfällen prüfen.
- Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.
Modul 7: Gateway-Implementierung und Tests
Der Themenblock verbindet Policy-Reihenfolge und Fehlerantworten, positive, negative und Missbrauchstests und Logging ohne Preisgabe von Secrets oder Tokeninhalten zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.
- Policy-Reihenfolge und Fehlerantworten.
- positive, negative und Missbrauchstests.
- Logging ohne Preisgabe von Secrets oder Tokeninhalten.
Schritt für Schritt
- Policy-Reihenfolge und Fehlerantworten erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
- positive, negative und Missbrauchstests anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
- Logging ohne Preisgabe von Secrets oder Tokeninhalten mit positiven, negativen und betrieblichen Testfällen prüfen.
- Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.
Praxis und Methodik
Jeder Themenblock wird durch Demonstration, geführte Konfiguration und eigenständige Übung vertieft. Die Arbeitsweise folgt einem festen Muster: Anforderung klären, Zielzustand festlegen, Umsetzung durchführen, Ergebnis prüfen, Fehler gezielt provozieren und die Wiederherstellung dokumentieren.
- Konfiguration eines Client-Credentials-Flows.
- Prüfung eines JWT gegen rotierende Schlüssel.
- Umsetzung eines OIDC-basierten Benutzerzugriffs.
- mTLS-Absicherung eines Backend- und Client-Pfads.
- Negative Tests für Audience, Ablauf, Signatur und Berechtigung.
Einordnung in den Lernpfad
Nach API-Grundlagen und idealerweise Policy Studio. Ergänzt AI Gateway, API Manager und Portal sowie beide API-Management-Tracks.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage: 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.797 zzgl. MwSt. Inhaus: CHF 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Security Architects, API Developers, Policy-Entwickler, IAM-Teams, Plattformbetreiber, Auditoren und technische Consultants |
| Voraussetzungen: | Solide HTTP- und API-Grundkenntnisse; Basiswissen zu TLS, Zertifikaten und Identitätsmanagement |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, geführte Konfiguration, praktische Übungen und strukturierte Fehleranalyse am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Ausführliche Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
