Das 2-tägige Format behandelt browserbasierte und programmatische Zugriffe ohne lokal installierten Netzwerkclient nach dem BeyondCorp-Prinzip. Der Schwerpunkt liegt auf nachvollziehbaren Arbeitsschritten, kontrollierten Tests und einer Konfiguration, die sich in betrieblichen Umgebungen reproduzieren lässt.
Inhaltsverzeichnis
- Zielsetzung
- Seminarinhalte
- BeyondCorp-Modell und clientloser Zugriffspfad
- Web-Service und Identity-Aware Proxy
- Browseranmeldung, Redirect und Sitzung
- OAuth-2.0-Client-Credentials für Workloads
- Bearer-Zugriff und Tokenvalidierung
- Kontextbezogene Policies für Web und API
- Session-Laufzeit, Logout und Widerruf
- Reverse-Proxy-Header und Backend-Vertrauen
- Diagnose von Redirect-, Token- und Policy-Fehlern
- Praxisübungen
- Zielgruppe
- Voraussetzungen
- Methodik
Zielsetzung
Webanwendungen, APIs und Workloads über clientlose Zugriffswege absichern, Authentisierung sauber integrieren und Sitzungen kontrolliert verwalten.
Seminarinhalte
Modul 1: BeyondCorp-Modell und clientloser Zugriffspfad
Dieses Modul erschließt BeyondCorp-Modell und clientloser Zugriffspfad. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Ausgangslage, Schutzbedarf und beteiligte Akteure für „BeyondCorp-Modell und clientloser Zugriffspfad“ erfassen.
- Schritt 2: Komponenten, Vertrauensgrenzen und Datenflüsse in einem nachvollziehbaren Zielbild zuordnen.
- Schritt 3: einen zulässigen und einen unzulässigen Zugriffspfad anhand des Zielbilds durchspielen.
- Schritt 4: Annahmen, offene Risiken und technische Entscheidungen in einer belastbaren Architekturunterlage festhalten.
Modul 2: Web-Service und Identity-Aware Proxy
Dieses Modul erschließt Web-Service und Identity-Aware Proxy. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Backend, Protokoll, Namensraum, Erreichbarkeit und Schutzbedarf für „Web-Service und Identity-Aware Proxy“ aufnehmen.
- Schritt 2: Namespace, Service und Weiterleitungsparameter deklarativ anlegen und die Auflösung kontrollieren.
- Schritt 3: Zugriff über den vorgesehenen Client- oder clientlosen Pfad mit passenden Identitäten durchführen.
- Schritt 4: Routing, Richtlinienentscheidung und Dienstprotokollierung prüfen sowie Fehlkonfigurationen korrigieren.
Modul 3: Browseranmeldung, Redirect und Sitzung
Dieses Modul erschließt Browseranmeldung, Redirect und Sitzung. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Identitätstypen, Attribute, Gruppenbezüge und Authentisierungsanforderungen für „Browseranmeldung, Redirect und Sitzung“ festlegen.
- Schritt 2: Identitätsressourcen und Anmeldeverfahren konfigurieren sowie erforderliche Claims zuordnen.
- Schritt 3: Anmeldung und Sitzungsaufbau mit regulären und abweichenden Identitätsmerkmalen testen.
- Schritt 4: Claims, Gerätebezug, Sitzung und Richtlinienentscheidung prüfen und sicherheitsrelevante Befunde dokumentieren.
Modul 4: OAuth-2.0-Client-Credentials für Workloads
Dieses Modul erschließt OAuth-2.0-Client-Credentials für Workloads. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Identitätstypen, Attribute, Gruppenbezüge und Authentisierungsanforderungen für „OAuth-2.0-Client-Credentials für Workloads“ festlegen.
- Schritt 2: Identitätsressourcen und Anmeldeverfahren konfigurieren sowie erforderliche Claims zuordnen.
- Schritt 3: Anmeldung und Sitzungsaufbau mit regulären und abweichenden Identitätsmerkmalen testen.
- Schritt 4: Claims, Gerätebezug, Sitzung und Richtlinienentscheidung prüfen und sicherheitsrelevante Befunde dokumentieren.
Modul 5: Bearer-Zugriff und Tokenvalidierung
Dieses Modul erschließt Bearer-Zugriff und Tokenvalidierung. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Bedrohungen, Angriffsflächen, Vertrauensgrenzen und Missbrauchsszenarien für „Bearer-Zugriff und Tokenvalidierung“ modellieren.
- Schritt 2: präventive Kontrollen, minimale Berechtigungen und sichere Standardwerte in der Konfiguration umsetzen.
- Schritt 3: Umgehungs-, Fehlbedienungs- und Rechteausweitungsszenarien kontrolliert testen.
- Schritt 4: Befunde bewerten, Härtungsmaßnahmen priorisieren und die Wirksamkeit durch erneute Tests belegen.
Modul 6: Kontextbezogene Policies für Web und API
Dieses Modul erschließt Kontextbezogene Policies für Web und API. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „Kontextbezogene Policies für Web und API“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 7: Session-Laufzeit, Logout und Widerruf
Dieses Modul erschließt Session-Laufzeit, Logout und Widerruf. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Identitätstypen, Attribute, Gruppenbezüge und Authentisierungsanforderungen für „Session-Laufzeit, Logout und Widerruf“ festlegen.
- Schritt 2: Identitätsressourcen und Anmeldeverfahren konfigurieren sowie erforderliche Claims zuordnen.
- Schritt 3: Anmeldung und Sitzungsaufbau mit regulären und abweichenden Identitätsmerkmalen testen.
- Schritt 4: Claims, Gerätebezug, Sitzung und Richtlinienentscheidung prüfen und sicherheitsrelevante Befunde dokumentieren.
Modul 8: Reverse-Proxy-Header und Backend-Vertrauen
Dieses Modul erschließt Reverse-Proxy-Header und Backend-Vertrauen. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Bedrohungen, Angriffsflächen, Vertrauensgrenzen und Missbrauchsszenarien für „Reverse-Proxy-Header und Backend-Vertrauen“ modellieren.
- Schritt 2: präventive Kontrollen, minimale Berechtigungen und sichere Standardwerte in der Konfiguration umsetzen.
- Schritt 3: Umgehungs-, Fehlbedienungs- und Rechteausweitungsszenarien kontrolliert testen.
- Schritt 4: Befunde bewerten, Härtungsmaßnahmen priorisieren und die Wirksamkeit durch erneute Tests belegen.
Modul 9: Diagnose von Redirect-, Token- und Policy-Fehlern
Dieses Modul erschließt Diagnose von Redirect-, Token- und Policy-Fehlern. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Normalzustand, Service-Level, Abhängigkeiten und relevante Zustandsindikatoren für „Diagnose von Redirect-, Token- und Policy-Fehlern“ festlegen.
- Schritt 2: Cluster-, Komponenten- und Ressourcenstatus systematisch erfassen und eine belastbare Baseline bilden.
- Schritt 3: ein typisches Fehlerbild kontrolliert erzeugen und anhand von Logs, Metriken und Zustandsdaten eingrenzen.
- Schritt 4: Störung beheben, Wirksamkeit nachweisen und die Arbeitsschritte als Runbook dokumentieren.
Praxisübungen
- eine interne Webanwendung clientlos veröffentlichen.
- Browser- und Workloadzugriff mit getrennten Identitäten konfigurieren.
- Token- und Sitzungslaufzeiten sowie Widerruf praktisch prüfen.
- Redirect-Schleifen, ungültige Claims und verweigerte API-Aufrufe diagnostizieren.
Zielgruppe
Web- und API-Plattformteams, IAM-Fachkräfte, Entwickler, Sicherheitsarchitekten und Anwendungsbetreiber.
Voraussetzungen
Grundkenntnisse in HTTP, TLS, Cookies, OAuth 2.0, OIDC und Zero-Trust-Konzepten.
Methodik
Zwei Tage sind erforderlich, weil Browser-Sitzungen, Redirect-Flows, OAuth-Client-Credentials, Bearer-Zugriffe und Richtlinienwirkungen getrennt aufgebaut und anschließend in einem durchgängigen Anwendungsszenario verbunden werden. Die Durchführung kombiniert fachliche Einordnung, Demonstration, angeleitete Konfiguration, eigenständige Laborphasen, Positiv- und Negativtests sowie eine strukturierte Fehleranalyse. Jeder Themenblock endet mit einer prüfbaren Konfiguration und einer dokumentierten Kontrollliste.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung und Ansprechpersonen
-

Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de
Seminardetails
| Dauer: | 2 Tage, ca. 6 Stunden pro Tag; Beginn am 1. Tag 10:00 Uhr, am 2. Tag 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: € 1.198 zzgl. MwSt. Inhaus: € 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | mindestens 2, höchstens 8 |
| Zielgruppe: | Web- und API-Plattformteams, IAM-Fachkräfte, Entwickler, Sicherheitsarchitekten und Anwendungsbetreiber |
| Voraussetzungen: | Grundkenntnisse in HTTP, TLS, Cookies, OAuth 2.0, OIDC und Zero-Trust-Konzepten |
| Durchführung: | Praxisorientiertes Präsenz- oder Live-Online-Seminar mit Laborübungen |
| Inhouse: | auf Anfrage |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
