Tags: Web-Browser, Authentifizierung, SSO
Während der Internet Explorer per Voreinstellung die Anmeldedaten des lokalen Benutzers an interne IIS-Websites weiterreicht, muss man dieses Feature für Firefox unter Windows erst aktivieren. Dies lässt sich interaktiv über die Konfigurationsseite des Browsers oder über Gruppenrichtlinien erledigen.
Ein Single-Sign-on für interne Websites oder Browser-basierte Tools wie das Windows Admin Center erhöht den Benutzerkomfort erheblich. Neben dem Internet Explorer ist dazu auch Microsoft Edge oder seit einiger Zeit auch Google Chrome in der Lage.
Konfiguration der Windows-Authentifizierung per GUI
Grundsätzlich unterstützt auch Mozilla Firefox die integrierte Windows-Authentifizierung, so dass eine separate Anmeldung an Websites entfällt, wenn diese unter dem Microsoft-OS laufen. Diese Funktion ist jedoch per Voreinstellung deaktiviert.
Wenn man sie interaktiv einschalten will, dann gibt man in die Adresszeile des Browsers
about:config
ein. Nach Bestätigung der Warnmeldung gelangt man auf die Konfigurationsseite. Dort sucht man nach "network.automatic" und öffnet anschließend aus der Trefferliste die Einstellung
network.automatic-ntlm-auth.trusted-uris
durch Doppelklick. Firefox erlaubt hier jedoch kein pauschales Freischalten der delegierten Authentifizierung, sondern beschränkt diese auf einzelne Hosts.
In den folgenden Dialog gibt man daher die Namen der Rechner ein, für die das SSO klappen soll. Das tut man genau in der Form, in der man nachher die URL aufruft. Nimmt man hier den FQDN des Web-Servers, dann zeigt Firefox wieder einen Anmeldedialog, sobald man die Website bloß über den Hostname abrufen will.
Möchte man beide Varianten nutzen, dann muss man alle zwei in der Konfiguration des Browsers hinterlegen. Getrennt werden mehrere Einträge hier durch ein Komma.
SSO über GPO konfigurieren
In verwalteten Umgebungen kann man Firefox zentral über Gruppenrichtlinien konfigurieren (siehe dazu: Firefox zentral verwalten über GPOs und policies.json). Sie bieten unter Administrative Vorlagen => Mozilla => Firefox => Authentifizierung sowohl in der Computer- als auch in der Benutzerkonfiguration die Einstellung NTLM.
Hier gibt man analog zur interaktiven Konfiguration die Liste der Server für das SSO ein, in diesem Fall jedoch einen Eintrag pro Zeile. Nach einem
gpupdate /force
auf dem Client sowie einem Neustart von Firefox sollte diese Änderung greifen.
Man kann sie unter about:config überprüfen, wo die oben beschriebene Einstellung nun die im GPO eingetragenen Hosts enthalten sollte.
Nachdem sie aber über die Gruppenrichtlinien eingefügt wurden, kann diese Einstellung durch den Benutzer fortan nicht mehr bearbeitet werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Passwörter in Firefox exportieren und importieren
- Credential Guard: Windows vor Pass-the-Hash- und Pass-the-Ticket-Angriffen schützen
- Single Sign-On für Azure, Microsoft 365 und hybride Umgebungen: 3 Verfahren im Überblick
- MobileIron führt Single-Sign-on für mobile Apps ein
- Azure Active Directory: Anwendungen zuweisen, SSO konfigurieren
Weitere Links
1 Kommentar
Vielen Dank für den detaillierten Leitfaden. Ich bin gerade dabei meinen PC selbst einzurichten und zu konfigurieren. Da ich absolut keine Ahnung von PCs habe muss ich mir die ganzen Infos selbst zusammensuchen. Aber ich wollte die Herausforderung annehmen das selbst zu tun und mich dadurch ein bisschen in die Computerwelt einzuarbeiten. Da haben mir wirklich schon viele eurer Tipps sehr geholfen! Dankeschön!