ADFS-Schulungen: Workshop-Formate, Methodik und Lernpfade
Vier fokussierte Workshops — hands-on im Lab, kleine Gruppen, ohne MOC-FolienschlachtWorkshops, die nicht aus Microsoft-Folien recycelt sind, sondern aus der Federation-Praxis kommen. Vier fokussierte Formate, kleine Gruppen, viel Lab-Arbeit, eigene Werkzeuge — und ein Trainer, der das Thema aus der täglichen Beratung kennt, nicht aus dem letzten Train-the-Trainer-Lehrgang.
Methodik: So wird unterrichtet
ADFS lernt man nicht durch Zuhören. Man lernt es, indem man eine Token-Pipeline kaputtmacht und wieder zum Laufen bringt, indem man eine Claim Rule mehrfach umschreibt, bis sie das tut, was man will, und indem man bei einem WAP-Trust-Problem zum dritten Mal die richtige Suchstrategie wählt. Genau darauf sind diese Workshops zugeschnitten.
Hands-on, nicht hands-off
Mindestens 60 % der Workshop-Zeit ist Lab-Arbeit am eigenen System. In den Lab-Phasen löst jeder Teilnehmer die Aufgaben selbst. Der Trainer steht zur Verfügung, springt aber nicht sofort ein, wenn jemand stockt — der Frust am eigenen Problem ist Teil des Lernprozesses. Wer den nicht durchsteht, lernt im Job auch nichts.
Kleine Gruppen — vier bis acht Teilnehmer
Mehr geht in offenen Workshops nicht. Bei größeren Gruppen funktioniert die Lab-Betreuung nicht mehr — der Trainer kommt nicht hinterher, jemand bleibt zurück, das Tempo wird zur Lotterie. Bei Inhouse-Formaten kann die Gruppe größer sein, wenn ein zweiter Trainer dabei ist oder die Gruppe in zwei Durchgänge geteilt wird.
Realistische Szenarien, keine Lehrbuch-Beispiele
Die Lab-Übungen kommen aus realen Beratungsprojekten. Wenn du im Workshop einen WAP-Trust reparierst, dann ist das genau das Problem, das vor sechs Monaten bei einem Kunden auf dem Tisch lag. Wenn du eine Claim Rule debuggst, ist das eine, die so oder ähnlich wirklich produktiv im Einsatz war.
Drei Säulen pro Tag — Theorie, Lab, Reflexion
Jeder Workshop-Tag hat drei klar getrennte Phasen. Eine kompakte Theorie-Phase am Vormittag mit konzentrierten Inhalten und Live-Demo, eine ausgedehnte Lab-Phase als Hauptteil, und am Ende eine Gruppen-Reflexion mit Lessons Learned. Das ist nicht zufällig so — diese Reihenfolge ist didaktisch erprobt und sorgt dafür, dass das Wissen sitzt.
|
Info: Warum keine 30 Teilnehmer wie bei MOC-Schulungen Klassische Microsoft-Official-Curriculum-Schulungen funktionieren mit größeren Gruppen, weil sie hauptsächlich aus Vortrag plus geführten Lab-Anleitungen bestehen, die jeder im gleichen Tempo durcharbeitet. Das ist effizient für Massenausbildung, aber wenig wirksam für echtes Verständnis. Diese Workshops gehen einen anderen Weg: weniger Teilnehmer, mehr individuelle Betreuung, mehr offene Lab-Phasen, in denen Teilnehmer ihre eigenen Fragen mitbringen können. Das kostet pro Kopf mehr, bringt aber pro Kopf auch mehr. |
|---|
Die vier Workshop-Formate im Detail
Statt eines monolithischen Großkurses gibt es vier fokussierte Formate, die jeweils ein bis zwei Tage dauern. Du wählst das Format, das zu deiner Rolle und deinem aktuellen Wissensstand passt — oder kombinierst mehrere zu einem maßgeschneiderten Lernpfad.
Abb.: Die vier Workshop-Formate mit Voraussetzungen, Inhalten, Praxisanteil und Zielgruppe. Jedes Format steht für sich, kann aber auch kombiniert werden.
Grundlagen-Bootcamp — zwei Tage Einsteiger-Format
Für alle, die in Federation-Themen einsteigen oder nach Jahren wieder rein müssen. Voraussetzung ist solide Active-Directory-Erfahrung — den Rest bauen wir auf. Inhalte: Federation-Grundlagen, Claims-Konzept, ADFS-Architektur, erste Trusts einrichten, WAP konfigurieren, Eventlogs lesen, Token-Inspection. Praxisanteil: 60 % Lab, 40 % Theorie. Am Ende kannst du eine ADFS-Farm aufsetzen, Relying Parties konfigurieren und einfache Probleme selbst debuggen.
Claims Rules Deep-Dive — ein intensiver Tag
Der dickste Brocken im ADFS-Stoff verdient einen eigenen Workshop. Ein Tag, sehr fokussiert, mit hohem Praxisanteil von 80 %. Inhalte: Syntax und Grammatik der Claims Rules Language, Issuance vs. Authorization Rules, RegEx-Patterns für komplexe Bedingungen, Custom Claim Stores einbinden, Pipeline-Debugging, Konsolidierung gewachsener Regelwerke, Performance-Tuning. Voraussetzung: ADFS-Grundlagen müssen sitzen. Am Ende kannst du jede Claim Rule lesen, schreiben und debuggen.
Migration zu Entra ID — zwei Tage Projekt-Workshop
Das Format für alle, die einen konkreten Migrations-Auftrag haben. Inhalte: Inventarisierung der Relying Parties, Migrations-Wellenmodell, Conditional Access als Ablöse für Claim Rules, PHS und PTA einrichten, Pilot-Cutover proben, Rollback-Strategien, Dekommissionierungs-Plan. Praxisanteil: 70 % Lab, 30 % Theorie — mit echten Migrations-Übungen am Lab. Voraussetzung: ADFS-Betrieb erfahren. Am Ende kannst du eine Migration eigenständig planen und durchführen.
Sicherheit und Härtung — ein Tag Security-Fokus
Speziell für Security-Engineers, CISOs, Auditoren und Operations-Teams, die NIS2- oder BSI-Anforderungen umsetzen müssen. Inhalte: Tier-0-Konzept umsetzen, Token-Signing mit HSM, Golden-SAML-Schutz inklusive Live-Demo, Audit-Logging ins SIEM, Extranet Smart Lockout, NIS2-Konformität und Audit-Vorbereitung. Praxisanteil: 60 % Lab, 40 % Theorie. Voraussetzung: ADFS-Grundverständnis. Am Ende kannst du eine ADFS-Farm härten und Audit-fit machen.
Wie ein Workshop-Tag aussieht
Ein typischer Workshop-Tag dauert von 09:00 bis 17:30 — acht Stunden reine Lernzeit plus Pausen. Die Struktur ist über alle vier Formate hinweg gleich, damit du dich nicht jedes Mal neu orientieren musst.
Abb.: Ein Workshop-Tag in drei Säulen: kurzer Theorie-Block am Vormittag, längere Lab-Phasen am Tag, gemeinsame Reflexion und Q&A am Ende.
Der Tag beginnt um 09:00 mit 90 Minuten Theorie-Input und Live-Demo. Konzentriert, kompakt, ohne Folien-Karaoke. Danach 105 Minuten Lab-Übung 1 — selbst probieren, was vorher gezeigt wurde. Mittagspause. Am Nachmittag dann 120 Minuten Lab-Übung 2, komplexer und realistischer, mit dem Trainer als Ansprechpartner für Fragen. Am späten Nachmittag 45 Minuten Gruppen-Reflexion, in der Teilnehmer berichten, was gehakt hat und was funktioniert. Den Tag schließen wir um 16:30 mit einer offenen Q&A-Runde, in der Praxisfälle aus der laufenden Beratung diskutiert werden — dort gibt es oft die unbezahlbaren Anekdoten, die einen Workshop von einer Schulung unterscheiden.
|
Praxis-Tipp: So bereitest du dich vor Eine Woche vor dem Workshop bekommst du eine Checkliste. Darauf: ADFS-Grundbegriffe, die du nochmal durchsehen solltest, und zwei oder drei konkrete Fragen, die du mitbringen kannst. Wer mit eigenen Fragen ankommt, profitiert deutlich mehr — gerade in der Q&A am Ende lassen sich die persönlichen Themen oft besser klären als in einer offenen Beratung. Du musst keine perfekten Fragen formulieren, aber zwei, drei Stichpunkte zu eurer eigenen Umgebung helfen ungemein. |
|---|
Die Lab-Umgebung
Jeder Teilnehmer bekommt eine eigene, vollständig isolierte Lab-Umgebung mit sieben virtuellen Maschinen. Was die anderen Teilnehmer tun, hat keinen Einfluss auf dein Lab. Snapshots ermöglichen Rollback nach jeder Übung — niemand muss Angst haben, etwas kaputtzumachen.
Abb.: Die Lab-Architektur pro Teilnehmer: Domain Controller, zwei ADFS-Server, WAP, SQL, Test-Anwendungen, Client und Diagnose-Werkzeuge — vorpopuliert mit Beispieldaten.
Was im Lab steht
Domain Controller mit etwa 50 vorpopulierten User-Accounts und 12 Gruppen, zwei ADFS-Server (primär und sekundär für Hochverfügbarkeits-Übungen), ein WAP-Server in einer eigenen DMZ-Subnet, SQL Server als Konfigurations-Store, drei vorbereitete Test-Anwendungen (SAML und WS-Federation) für Trust-Übungen, eine Client-Workstation mit Windows 11 und allen relevanten Browsern, und ein Diagnose-Werkzeugkasten mit SAML-Tracer, Fiddler, Wireshark und dem ADFS-Diagnostiker. Pro Teilnehmer-Lab werden 32 GB RAM und 200 GB Storage bereitgestellt — realistisch dimensioniert.
Realistische Szenarien
Im Lab werden Szenarien durchgespielt, die so oder ähnlich aus echten Beratungsprojekten kommen: User-Anmeldung an Microsoft 365 simulieren, SharePoint-Trust einrichten, Token-Signing-Cert ohne Outage rotieren, Conditional Access als Ablöse einer Claim Rule, WAP-Trust reparieren, Token-Forging-Demo zum Verständnis von Golden-SAML-Schutz, App-Cutover von ADFS nach Entra ID, Performance-Analyse unter simulierter Last. Pro Workshop kommen nur die Szenarien zum Einsatz, die zum jeweiligen Format passen.
Wie das Lab bereitgestellt wird
Online-Format: Das Lab läuft in einer Azure-Subscription des Trainers. Teilnehmer erhalten Zugang per Bastion-Host oder RDP-Gateway, alles über den Browser oder einen lokalen RDP-Client. Kein VPN-Setup beim Kunden nötig, kein eigenes Equipment außer einer stabilen Internet-Verbindung. Inhouse-Format: Das Lab läuft auf mitgebrachter Hardware oder im Hyper-V- bzw. VMware-Setup des Kunden. Vorbereitung erfolgt durch den Trainer. In jedem Fall vollständig isoliert vom produktiven Kundennetz — keine Risiken für laufende Systeme.
Welche Workshops für welche Rolle
Die vier Workshop-Formate kannst du einzeln buchen, oder du kombinierst sie zu einem Lernpfad, der zu deiner Rolle passt. Vier typische Konstellationen mit empfohlener Reihenfolge:
Abb.: Vier typische Rollen mit ihren empfohlenen Workshop-Lernpfaden plus Kombi-Pakete für umfangreichere Wissens-Aufbau-Programme.
Neue ADFS-Admins
Wer das Thema neu übernommen hat — sei es nach einem Stellenwechsel oder weil das Identity-Team intern umstrukturiert wurde — startet mit dem Bootcamp. Das reicht oft für die ersten sechs Monate produktive Tätigkeit. Wenn nach einigen Monaten konkrete Fragen zu Claim Rules auftauchen, kann der Deep-Dive nachgelagert werden.
Erfahrene ADFS-Admins
Wer ADFS schon kennt, aber tiefer einsteigen will, kombiniert Claims Rules Deep-Dive mit dem Sicherheit-Workshop. Das ist die typische Fortbildung für jemanden, der ADFS seit Jahren betreibt und jetzt entweder die Claim Rules sauberer aufräumen will oder im Zuge eines Audits die Sicherheit dokumentieren muss.
Migrations-Projektleiter
Wer einen konkreten Migrations-Auftrag hat, braucht das Vollprogramm — Bootcamp als Auffrischung, Claims Rules Deep-Dive für die Konsolidierung, Migration-Workshop für den Umstieg selbst. Drei Workshops, die zusammen über fünf Tage gehen, idealerweise verteilt über mehrere Wochen begleitend zum laufenden Migrations-Projekt.
Security und Compliance
Security-Engineers, CISOs und Auditoren steigen direkt im Sicherheit-Workshop ein. Wer keine eigene ADFS-Verantwortung trägt, sondern „nur“ die Sicherheit bewerten muss, kommt mit diesem einen Tag oft schon weit. Bei tieferen Bewertungen lohnt sich zusätzlich der Migration-Workshop, weil viele Sicherheitsthemen heute über die Migration gelöst werden — nicht über die Härtung der bestehenden Farm.
|
Hinweis: Was Schulungen nicht ersetzen können Workshops vermitteln Wissen und Methodik. Was sie nicht ersetzen können: konkrete Architektur-Entscheidungen für deine spezifische Umgebung, sicherheitsrelevante Bewertungen unter NDA, oder Migrationspläne mit Verantwortungsübernahme. Für all das gibt es Beratung. Workshops und Beratung ergänzen sich gut — viele Kunden buchen einen Workshop als Wissens-Aufbau für das Team und parallel Beratung für das konkrete Projekt. Wer denkt, mit drei Tagen Workshop spart er sich den Berater, irrt sich oft. Wer beides kombiniert, profitiert doppelt. |
|---|
Inhouse-Workshops und Custom-Formate
Alle vier Workshops sind als Inhouse-Format buchbar — beim Kunden vor Ort oder als geschlossene Online-Veranstaltung. Inhouse hat Vorteile, die offene Workshops nicht bieten können:
- Eigene Umgebung als Lab-Basis: Statt eines generischen Schulungs-Labs kann das Lab so aufgebaut werden, dass es eurer Produktivumgebung ähnelt. Das macht den Praxis-Transfer deutlich leichter.
- Maßgeschneiderte Inhalte: Themen, die für euch besonders relevant sind, bekommen mehr Raum. Themen, die euch nicht betreffen, fallen weg. Pro Tag bleibt dann mehr Zeit für die wichtigen Punkte.
- Größere Gruppen möglich: Mit zwei Trainern oder durch Aufteilung in Gruppen können auch Teams mit 12, 15 oder 20 Mitgliedern geschult werden — für offene Workshops geht das nicht.
- Begleitend zur Beratung: Wenn parallel eine Beratung läuft, kann der Workshop zeitlich so eingetaktet werden, dass das Team genau dann das Wissen hat, wenn es im Projekt gebraucht wird.
Custom-Workshop-Formate
Über die vier Standardformate hinaus sind individuelle Workshop-Themen möglich. Typische Custom-Workshops, die in der Vergangenheit zustande kamen: ADFS-zu-Drittanbieter-Federation (Okta, Ping, Shibboleth), Hybrid-Identity-Architektur mit ADFS und Entra ID, Audit-Vorbereitung speziell für Krankenkassen oder Behörden, Tools-Workshop zum eigenen Aufbau von Diagnose-Skripten. Ein Custom-Workshop wird im Erstgespräch konzipiert und an die konkreten Lernziele des Teams angepasst.
Konditionen und Buchung
Workshops werden als Tagespauschalen angeboten. Pro Workshop-Tag fällt ein fester Tagessatz an, plus Reisekosten bei Inhouse-Formaten und Lab-Bereitstellungskosten bei Online-Formaten.
- Offene Workshops: Termin-basiert, mit fester Teilnehmerzahl. Anmeldung pro Person.
- Inhouse-Workshops: Tagessatz für den Trainer, plus Lab-Pauschale. Teilnehmerzahl flexibel im Rahmen der pädagogischen Sinnhaftigkeit.
- Online-Format: Lab-Bereitstellungskosten pro Teilnehmer. Reduzierter Tagessatz, weil keine Reisekosten anfallen.
- Kombi-Pakete: Mehrere Workshops über mehrere Wochen oder Monate buchbar, Rabatt im Paket.
Schulungsunterlagen, Lab-Skripte und PowerShell-Werkzeuge sind im Preis enthalten und dürfen intern weiterverbreitet werden. Externe Veröffentlichung oder Weitergabe an Dritte ist nicht zulässig — das ist Standard und in den AGB festgelegt.
Buchung und Ablauf
Erstgespräch zur Bedarfsklärung — kostenlos, etwa 30 Minuten. Anschließend Vorschlag mit Format, Termin und Kosten. Bei Inhouse-Formaten erfolgt parallel die Lab-Vorbereitung. Eine Woche vor dem Workshop bekommen die Teilnehmer Vorbereitungs-Material und die Lab-Zugänge. Während des Workshops Tagesprotokolle und Lab-Backups. Nach dem Workshop 30 Tage Nachfrage-Recht für kürzere Rückfragen per Mail — kostenlos, ohne Mindestumfang.
Kontakt
E-Mail genügt. Bitte kurz mit dabei:
- Welcher Workshop oder welches Kombi-Paket interessiert?
- Inhouse oder offen, online oder vor Ort?
- Ungefähre Teilnehmerzahl und Wunsch-Zeitraum
- Falls Inhouse: Vorhandene Lab-Infrastruktur (Hyper-V, VMware, Cloud)?
Antwort kommt innerhalb eines Werktages mit einem Vorschlag fürs Erstgespräch.