Azure AD Passthrough Authentication Seamless SSO Konfiguration per Group Policy

Microsoft erklärt in diesem Artikel recht gut, wie Seamless SSO mit Passthrough Authentication (PTA) in den einzelnen Browsern manuell konfiguriert wird. Allerdings fehlt (bis auf die IE-Konfiguration) die Info, wie man das per Group Policy umsetzt. In diesem Beitrag möchte ich daher auf die Konfiguration per GPO für alle Browser eingehen.

Allgemein

Bevor ich die einzelnen Browser per Group Policy konfiguriere, schaue ich mir an, was genau im Detail eigentlich gemacht werden muss. Das ist recht übersichtlich, denn es geht nur darum, die URL https://autologon.microsoftazuread-sso.com (oder nur den Host autologon.microsoftazuread-sso.com ohne Protokoll) als URL zu konfigurieren, der für bestimmte Anmeldeprotokolle vertraut wird (im Folgenden nenne ich sie einfach SSO-URL).

Microsoft Internet Explorer

Bei der manuellen Konfiguration des Internet Explorers (via Contol Panel) muss die SSO-URL zur Intranet Zone hinzugefügt werden und in den Security Level Settings der Intranet Zone die Option Allow updates to status bar via script auf Enabled gesetzt werden. Per GPO kann dies mit folgenden Einstellungen gesetzt werden:

-> User Configuration
   -> Policies
      -> Administrative Templates
         -> Windows Components
            -> Internet Explorer
               -> Internet Control Panel
                  -> Security Page
                     => Site to Zone Assignment List
                        --> Value name: autologon.microsoftazuread-sso.com
                        --> Value data: 1
                     -> Intranet Zone
                        => Allow updates to status bar via script
                           --> Enabled
                           --> Status bar update via script: Enable

Die Konfiguration kann im Internet Explorer per GPO sowohl User- als auch Computer-basiert vorgenommen werden.

Microsoft Edge (Chromium-based)

Bei der manuellen Konfiguration in Microsoft Edge (per Registry) muss die SSO-URL als Value-Data zu den Value-Namen AuthNegotiateDelegateAllowlist und AuthServerAllowlist hinzugefügt werden.
In der Group Policy entspricht dies folgenden Einstellungen:

-> User Configuration
   -> Policies
      -> Administrative Templates
         -> Microsoft Edge
            -> HTTP authentication
               => Specifies a list of servers that Microsoft Edge can delegate user credentials to
                  --> autologon.microsoftazuread-sso.com
               => Configure list of allowed authentication servers
                  --> autologon.microsoftazuread-sso.com

Die Konfiguration kann sowohl manuell, als auch per GPO sowohl User- als auch Computer-basiert vorgenommen werden.

Google Chrome

Bei der manuellen Konfiguration in Google Chrome (per Registry) muss die SSO-URL als Value-Data zu den Value-Namen AuthNegotiateDelegateWhitelist und AuthServerWhitelist hinzugefügt werden.
In der Group Policy entspricht dies folgenden Einstellungen:

-> User Configuration
   -> Policies
      -> Administrative Templates
         -> Google
            -> Google Chrome
               -> HTTP authentication
                  => Kerberos delegation server whitelist (ADMX Templates bis Google Chrome 85)
                  => Kerberos delegation server allowlist
                     --> autologon.microsoftazuread-sso.com
                  => Authentication server whitelist (ADM Templates bis Google Chrome 85)
                  => Authentication server allowlist
                     --> autologon.microsoftazuread-sso.com

Die Konfiguration kann auch in Chrome sowohl manuell, als auch per GPO sowohl User- als auch Computer-basiert vorgenommen werden.

Mozilla Firefox

Bei der manuellen Konfiguration in Firefox (per about:config) muss die SSO-URL dem Parameter network.negotiate-auth.trusted-uris hinzugefügt werden.
In der Group Policy entspricht dies folgender Einstellung:

-> User Configuration
   -> Policies
      -> Administrative Templates
         -> Mozilla
            -> Firefox
               -> Authentication
                  => SPNEGO
                     --> autologon.microsoftazuread-sso.com

Per GPO ist auch hier eine Computer Konfiguration möglich, statt einer User Konfiguration.

Quellen:
https://docs.microsoft.com/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.