Seminar API-Sicherheit mit OAuth 2.0, OpenID Connect, JWT und mTLS

Praxisorientierte Qualifizierung im Bereich Amplify und API Management. Das Security-Seminar verbindet die wichtigsten Authentifizierungs- und Autorisierungsverfahren für Unternehmens-APIs. Flows, Token, Claims, Zertifikate, Schlüssel, Trust und typische Angriffsbilder werden mit Gateway-Policies und Testfällen umgesetzt.

Teilnehmende können geeignete Verfahren auswählen, sichere Token- und Zertifikatsprüfungen konfigurieren, Fehlkonfigurationen erkennen und nachvollziehbare Sicherheitsentscheidungen dokumentieren.

Inhaltsübersicht

  1. Einordnung und Zielsetzung
  2. Lernziele
  3. Zielgruppe
  4. Voraussetzungen
  5. Seminarinhalte
  6. Praxis und Methodik
  7. Einordnung in den Lernpfad

Einordnung und Zielsetzung

Drei Tage sind erforderlich, um Protokollkonzepte, konkrete Gateway-Umsetzung, negative Sicherheitstests und ein kombiniertes End-to-End-Szenario abzudecken.

Die Inhalte werden nicht als isolierte Produktfunktionen behandelt. Ausgangspunkt sind reale Anforderungen, darauf folgen Architekturentscheidung, Konfiguration, Prüfung, Fehleranalyse und dokumentierte Betriebsübergabe.

Lernziele

  • die Architektur und die zentralen Betriebsobjekte im Bereich Amplify und API Management einordnen.
  • eine belastbare Referenzkonfiguration aus fachlichen Anforderungen ableiten.
  • Konfigurationen schrittweise erstellen, testen und nachvollziehbar dokumentieren.
  • Sicherheits-, Betriebs- und Governance-Anforderungen in der Umsetzung berücksichtigen.
  • Fehlerbilder systematisch analysieren und geeignete Korrekturmaßnahmen auswählen.

Zielgruppe

Security Architects, API Developers, Policy-Entwickler, IAM-Teams, Plattformbetreiber, Auditoren und technische Consultants.

Voraussetzungen

Solide HTTP- und API-Grundkenntnisse; Basiswissen zu TLS, Zertifikaten und Identitätsmanagement.

Seminarinhalte

Modul 1: Bedrohungsmodell für APIs

Der Themenblock verbindet Identitätsdiebstahl, Token-Missbrauch und Replay, unzulässige Datenzugriffe und fehlerhafte Autorisierung und Schutzziele, Vertrauensgrenzen und Nachweisführung zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.

  • Identitätsdiebstahl, Token-Missbrauch und Replay.
  • unzulässige Datenzugriffe und fehlerhafte Autorisierung.
  • Schutzziele, Vertrauensgrenzen und Nachweisführung.

Schritt für Schritt

  1. Identitätsdiebstahl, Token-Missbrauch und Replay erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
  2. unzulässige Datenzugriffe und fehlerhafte Autorisierung anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
  3. Schutzziele, Vertrauensgrenzen und Nachweisführung mit positiven, negativen und betrieblichen Testfällen prüfen.
  4. Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.

Modul 2: OAuth 2.0 Rollen und Flows

Der Themenblock verbindet Authorization Code mit PKCE und Client Credentials, Scopes, Audience und Resource Server und Flow-Auswahl, Risiken und sichere Parameter zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.

  • Authorization Code mit PKCE und Client Credentials.
  • Scopes, Audience und Resource Server.
  • Flow-Auswahl, Risiken und sichere Parameter.

Schritt für Schritt

  1. Authorization Code mit PKCE und Client Credentials erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
  2. Scopes, Audience und Resource Server anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
  3. Flow-Auswahl, Risiken und sichere Parameter mit positiven, negativen und betrieblichen Testfällen prüfen.
  4. Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.

Modul 3: OpenID Connect

Der Themenblock verbindet ID Token, UserInfo und Session-Bezug, Claims, Nonce und Authentication Context und Trennung von Authentifizierung und API-Autorisierung zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.

  • ID Token, UserInfo und Session-Bezug.
  • Claims, Nonce und Authentication Context.
  • Trennung von Authentifizierung und API-Autorisierung.

Schritt für Schritt

  1. ID Token, UserInfo und Session-Bezug erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
  2. Claims, Nonce und Authentication Context anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
  3. Trennung von Authentifizierung und API-Autorisierung mit positiven, negativen und betrieblichen Testfällen prüfen.
  4. Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.

Modul 4: JWT und Token-Prüfung

Der Themenblock verbindet Signatur, Algorithmus und Schlüsselbezug, Issuer, Audience, Zeitangaben und Claims und Key Rotation, JWKS und Fehlerbehandlung zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.

  • Signatur, Algorithmus und Schlüsselbezug.
  • Issuer, Audience, Zeitangaben und Claims.
  • Key Rotation, JWKS und Fehlerbehandlung.

Schritt für Schritt

  1. Signatur, Algorithmus und Schlüsselbezug erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
  2. Issuer, Audience, Zeitangaben und Claims anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
  3. Key Rotation, JWKS und Fehlerbehandlung mit positiven, negativen und betrieblichen Testfällen prüfen.
  4. Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.

Modul 5: mTLS und Zertifikatsidentitäten

Der Themenblock verbindet beidseitige TLS-Authentifizierung, Zertifikatsketten, Trust und Revocation und Bindung von Client, Anwendung und Token zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.

  • beidseitige TLS-Authentifizierung.
  • Zertifikatsketten, Trust und Revocation.
  • Bindung von Client, Anwendung und Token.

Schritt für Schritt

  1. beidseitige TLS-Authentifizierung erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
  2. Zertifikatsketten, Trust und Revocation anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
  3. Bindung von Client, Anwendung und Token mit positiven, negativen und betrieblichen Testfällen prüfen.
  4. Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.

Modul 6: Autorisierungsmodelle

Der Themenblock verbindet Scopes, Rollen, Attribute und Entitlements, Policy Enforcement und externe Entscheidungsdienste und Least Privilege, Deny-by-Default und Kontext zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.

  • Scopes, Rollen, Attribute und Entitlements.
  • Policy Enforcement und externe Entscheidungsdienste.
  • Least Privilege, Deny-by-Default und Kontext.

Schritt für Schritt

  1. Scopes, Rollen, Attribute und Entitlements erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
  2. Policy Enforcement und externe Entscheidungsdienste anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
  3. Least Privilege, Deny-by-Default und Kontext mit positiven, negativen und betrieblichen Testfällen prüfen.
  4. Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.

Modul 7: Gateway-Implementierung und Tests

Der Themenblock verbindet Policy-Reihenfolge und Fehlerantworten, positive, negative und Missbrauchstests und Logging ohne Preisgabe von Secrets oder Tokeninhalten zu einem durchgängigen Arbeitsmodell. Der Schwerpunkt liegt auf einer nachvollziehbaren Umsetzung, die technische Funktion, Sicherheit, Betriebsfähigkeit und spätere Änderungen gemeinsam berücksichtigt.

  • Policy-Reihenfolge und Fehlerantworten.
  • positive, negative und Missbrauchstests.
  • Logging ohne Preisgabe von Secrets oder Tokeninhalten.

Schritt für Schritt

  1. Policy-Reihenfolge und Fehlerantworten erfassen, abgrenzen und mit überprüfbaren Kriterien beschreiben.
  2. positive, negative und Missbrauchstests anhand einer Referenzkonfiguration umsetzen und die Abhängigkeiten dokumentieren.
  3. Logging ohne Preisgabe von Secrets oder Tokeninhalten mit positiven, negativen und betrieblichen Testfällen prüfen.
  4. Ergebnis, Abweichungen und erforderliche Betriebsmaßnahmen in einer kurzen Arbeitsdokumentation festhalten.

Praxis und Methodik

Jeder Themenblock wird durch Demonstration, geführte Konfiguration und eigenständige Übung vertieft. Die Arbeitsweise folgt einem festen Muster: Anforderung klären, Zielzustand festlegen, Umsetzung durchführen, Ergebnis prüfen, Fehler gezielt provozieren und die Wiederherstellung dokumentieren.

  • Konfiguration eines Client-Credentials-Flows.
  • Prüfung eines JWT gegen rotierende Schlüssel.
  • Umsetzung eines OIDC-basierten Benutzerzugriffs.
  • mTLS-Absicherung eines Backend- und Client-Pfads.
  • Negative Tests für Audience, Ablauf, Signatur und Berechtigung.

Einordnung in den Lernpfad

Nach API-Grundlagen und idealerweise Policy Studio. Ergänzt AI Gateway, API Manager und Portal sowie beide API-Management-Tracks.

Seminar und Anbieter vergleichen

Öffentliche Schulung

Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.

Mehr dazu...

Inhausschulung

Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.

Mehr dazu...

Webinar

Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.

Mehr dazu...

Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner

Seminardetails

   
Dauer: 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage: 09:00 Uhr
Preis: Öffentlich oder Live Stream: € 1.797 zzgl. MwSt.
Inhaus: € 5.100 zzgl. MwSt.
Teilnehmeranzahl: min. 2 - max. 8
Teilnehmer: Security Architects, API Developers, Policy-Entwickler, IAM-Teams, Plattformbetreiber, Auditoren und technische Consultants
Voraussetzungen: Solide HTTP- und API-Grundkenntnisse; Basiswissen zu TLS, Zertifikaten und Identitätsmanagement
Standorte: Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg
Methoden: Vortrag, Demonstrationen, geführte Konfiguration, praktische Übungen und strukturierte Fehleranalyse am System
Seminararten: Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht
Durchführungsgarantie: ja, ab 2 Teilnehmern
Sprache: Deutsch - bei Firmenseminaren ist auch Englisch möglich
Seminarunterlage: Ausführliche Dokumentation auf Datenträger oder als Download
Teilnahmezertifikat: ja, selbstverständlich
Verpflegung: Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch)
Support: 3 Anrufe im Seminarpreis enthalten
Barrierefreier Zugang: an den meisten Standorten verfügbar
  Weitere Informationen unter + 49 (221) 74740055

Seminartermine

Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.

Seminar Startdatum Enddatum Ort Dauer
Trier 3 Tage
Madgeburg 3 Tage
Regensburg 3 Tage
Jena 3 Tage
Ulm 3 Tage
München 3 Tage
Friedrichshafen 3 Tage
Kassel 3 Tage
Wuppertal 3 Tage
Münster 3 Tage
Nürnberg 3 Tage
Köln 3 Tage
Erfurt 3 Tage
Bremen 3 Tage
Berlin 3 Tage
Mainz 3 Tage
Essen 3 Tage
Darmstadt 3 Tage
Frankfurt 3 Tage
Paderborn 3 Tage
Flensburg 3 Tage
Konstanz 3 Tage
Freiburg 3 Tage
Potsdam 3 Tage
Hamburg 3 Tage
Leipzig 3 Tage
Hamm 3 Tage
Rostock 3 Tage
Dresden 3 Tage
Luxemburg 3 Tage
Hannover 3 Tage
Stuttgart 3 Tage
Madgeburg 3 Tage
Regensburg 3 Tage
Jena 3 Tage
Trier 3 Tage
München 3 Tage
Friedrichshafen 3 Tage
Kassel 3 Tage
Ulm 3 Tage
Nach oben
Seminare als Stream SRI zertifiziert
© 2026 www.seminar-experts.de All rights reserved. | Kontakt | Impressum | Nach oben