Azure AD Passthrough Authentication Seamless SSO Konfiguration per Group Policy
Microsoft erklärt in diesem Artikel recht gut, wie Seamless SSO mit Passthrough Authentication (PTA) in den einzelnen Browsern manuell konfiguriert wird. Allerdings fehlt (bis auf die IE-Konfiguration) die Info, wie man das per Group Policy umsetzt. In diesem Beitrag möchte ich daher auf die Konfiguration per GPO für alle Browser eingehen.
Allgemein
Bevor ich die einzelnen Browser per Group Policy konfiguriere, schaue ich mir an, was genau im Detail eigentlich gemacht werden muss. Das ist recht übersichtlich, denn es geht nur darum, die URL https://autologon.microsoftazuread-sso.com (oder nur den Host autologon.microsoftazuread-sso.com ohne Protokoll) als URL zu konfigurieren, der für bestimmte Anmeldeprotokolle vertraut wird (im Folgenden nenne ich sie einfach SSO-URL).
Microsoft Internet Explorer
Bei der manuellen Konfiguration des Internet Explorers (via Contol Panel) muss die SSO-URL zur Intranet Zone hinzugefügt werden und in den Security Level Settings der Intranet Zone die Option Allow updates to status bar via script auf Enabled gesetzt werden. Per GPO kann dies mit folgenden Einstellungen gesetzt werden:
-> User Configuration -> Policies -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page => Site to Zone Assignment List --> Value name: autologon.microsoftazuread-sso.com --> Value data: 1 -> Intranet Zone => Allow updates to status bar via script --> Enabled --> Status bar update via script: Enable
Die Konfiguration kann im Internet Explorer per GPO sowohl User- als auch Computer-basiert vorgenommen werden.
Microsoft Edge (Chromium-based)
Bei der manuellen Konfiguration in Microsoft Edge (per Registry) muss die SSO-URL als Value-Data zu den Value-Namen AuthNegotiateDelegateAllowlist und AuthServerAllowlist hinzugefügt werden.
In der Group Policy entspricht dies folgenden Einstellungen:
-> User Configuration -> Policies -> Administrative Templates -> Microsoft Edge -> HTTP authentication => Specifies a list of servers that Microsoft Edge can delegate user credentials to --> autologon.microsoftazuread-sso.com => Configure list of allowed authentication servers --> autologon.microsoftazuread-sso.com
Die Konfiguration kann sowohl manuell, als auch per GPO sowohl User- als auch Computer-basiert vorgenommen werden.
Google Chrome
Bei der manuellen Konfiguration in Google Chrome (per Registry) muss die SSO-URL als Value-Data zu den Value-Namen AuthNegotiateDelegateWhitelist und AuthServerWhitelist hinzugefügt werden.
In der Group Policy entspricht dies folgenden Einstellungen:
-> User Configuration -> Policies -> Administrative Templates -> Google -> Google Chrome -> HTTP authentication=> Kerberos delegation server whitelist(ADMX Templates bis Google Chrome 85) => Kerberos delegation server allowlist --> autologon.microsoftazuread-sso.com=> Authentication server whitelist(ADM Templates bis Google Chrome 85) => Authentication server allowlist --> autologon.microsoftazuread-sso.com
Die Konfiguration kann auch in Chrome sowohl manuell, als auch per GPO sowohl User- als auch Computer-basiert vorgenommen werden.
Mozilla Firefox
Bei der manuellen Konfiguration in Firefox (per about:config) muss die SSO-URL dem Parameter network.negotiate-auth.trusted-uris hinzugefügt werden.
In der Group Policy entspricht dies folgender Einstellung:
-> User Configuration -> Policies -> Administrative Templates -> Mozilla -> Firefox -> Authentication => SPNEGO --> autologon.microsoftazuread-sso.com
Per GPO ist auch hier eine Computer Konfiguration möglich, statt einer User Konfiguration.
Quellen:
https://docs.microsoft.com/