/
Windows-Authentifizierung (SSO) im Browser

Windows-Authentifizierung (SSO) im Browser

Firefox

 

Windows Single Sign-On (SSO) in Firefox einrichten

 

Die Windows-Authentifizierung, oft als Integrated Windows Authentication (IWA), NTLM oder Kerberos bezeichnet, ermöglicht es Benutzern in einer Windows-Domäne, ohne erneute Eingabe von Anmeldedaten auf interne Webseiten zuzugreifen. Diese Funktion ist Standard in Internet Explorer und Edge, muss aber in Firefox manuell für vertrauenswürdige interne Adressen (URIs) aktiviert werden.

Hier ist die schrittweise Anleitung, um Windows Single Sign-On (SSO) in Firefox zu konfigurieren.

 

⚠️ Wichtiger Hinweis zur Sicherheit

 

Die Aktivierung dieser Funktion weist Firefox an, Ihre Windows-Anmeldeinformationen automatisch an die konfigurierten Webseiten zu senden. Fügen Sie daher ausschließlich interne, vertrauenswürdige Server und Domänen hinzu, die Teil Ihres Unternehmensnetzwerks sind.

 

Schritt 1: Die Konfigurationsseite öffnen

 

  1. Öffnen Sie einen neuen Tab in Firefox.

  2. Geben Sie in die Adressleiste about:config ein und drücken Sie die Eingabetaste.

  3. Bestätigen Sie die Warnung, indem Sie auf "Risiko akzeptieren und fortfahren" klicken.

 

Schritt 2: Die NTLM- und Kerberos-Einstellungen finden

 

Sie müssen zwei Haupteinstellungen ändern, um sowohl die ältere NTLM- als auch die modernere Kerberos-Authentifizierung (bevorzugt) zu unterstützen.

 

1. Kerberos-Authentifizierung (SPNEGO) konfigurieren

 

Geben Sie im Suchfeld von about:config Folgendes ein:

network.negotiate-auth.trusted-uris

  • Zweck: Diese Einstellung listet die internen Adressen (URIs) auf, für die Firefox die Kerberos/SPNEGO-Authentifizierung verwenden darf. Kerberos ist der Standard für modernes SSO in Active Directory.

 

2. NTLM-Authentifizierung konfigurieren

 

Geben Sie zusätzlich im Suchfeld Folgendes ein:

network.automatic-ntlm-auth.trusted-uris

  • Zweck: Diese Einstellung listet die Adressen auf, für die Firefox die NTLM-Authentifizierung verwenden darf. Dies dient der Kompatibilität mit älteren Servern.

 

Schritt 3: Interne URIs hinzufügen

 

Für beide gefundenen Einstellungen (network.negotiate-auth.trusted-uris und network.automatic-ntlm-auth.trusted-uris) gehen Sie wie folgt vor:

  1. Klicken Sie auf das "Bearbeiten"-Symbol (Stiftsymbol) rechts neben der Einstellung.

  2. Geben Sie die vollständigen Domänennamen (FQDNs) der Webseiten oder Domänen ein, für die SSO aktiviert werden soll.

    • Mehrere Adressen trennen Sie bitte mit einem Komma (,).

Szenario

Eingabe (Beispiele)

Einzelner Server

srvwms.contopor.de

Mehrere Server

srvwms.contopor.de,srvdms.contopor.de

Gesamte Domäne

.contopor.de (Der führende Punkt schließt alle Subdomänen ein, z.B. wiki.contpor.de und mail.contopor.de)

Inhalt

 

 

Chrome und Edge (Chromium) aktivieren

 

Für die Chromium-basierten Browser (Google Chrome und der neue Microsoft Edge) gibt es zwei Hauptmethoden, die Integrierte Windows-Authentifizierung (IWA) zu aktivieren:

Windows-Interneteigenschaften

Diese Methode ist die einfachste für einzelne Benutzer, da Edge und Chrome standardmäßig die Einstellungen der Windows-Sicherheitszonen für die Authentifizierung übernehmen.

 

Schritt 1: Interneteigenschaften öffnen

 

  1. Drücken Sie die Tastenkombination Windows-Taste + R, geben Sie inetcpl.cpl ein und drücken Sie die Eingabetaste, um die Interneteigenschaften (Internet Options) zu öffnen.

  2. Wechseln Sie zum Reiter "Sicherheit".

 

Schritt 2: Zone auswählen und Sites hinzufügen

 

Sie müssen Ihre interne Adresse entweder zur Zone "Lokales Intranet" oder zur Zone "Vertrauenswürdige Sites" hinzufügen.

 

Option A: Lokales Intranet (Bevorzugt für interne Sites)

 

  1. Wählen Sie die Zone "Lokales Intranet" aus.

  2. Klicken Sie auf "Sites" und dann auf "Erweitert".

  3. Geben Sie die vollständigen Domänennamen (FQDNs) Ihrer internen Seiten ein und klicken Sie auf "Hinzufügen".

    • Beispiel: https://srvwms.contopor.de oder http://srvwms.

    • Hinweis: Aktivieren Sie ggf. die Option "Alle Sites, für die keine Proxyserver erforderlich sind, einschließen", wenn diese auf Ihre Umgebung zutrifft.

 

Option B: Vertrauenswürdige Sites

 

  1. Wählen Sie die Zone "Vertrauenswürdige Sites" aus.

  2. Klicken Sie auf "Sites".

  3. Geben Sie die FQDNs Ihrer internen Sites ein und klicken Sie auf "Hinzufügen".

 

Schritt 3: Anmeldeverhalten einstellen (Nur bei Bedarf prüfen)

 

  1. Wählen Sie die Zone aus, der Sie die Sites hinzugefügt haben (z. B. "Lokales Intranet").

  2. Klicken Sie auf "Stufe anpassen" (Custom Level).

  3. Scrollen Sie ganz nach unten zum Abschnitt "Benutzerauthentifizierung" (User Authentication).

  4. Wählen Sie unter "Anmelden" die Option "Automatische Anmeldung nur in der Intranetzone" oder "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort".

 

Schritt 4: Integrierte Windows-Authentifizierung aktivieren

 

  1. Wechseln Sie zum Reiter "Erweitert".

  2. Scrollen Sie zum Abschnitt "Sicherheit".

  3. Stellen Sie sicher, dass das Kontrollkästchen "Integrierte Windows-Authentifizierung aktivieren" gesetzt ist.

 

Schritt 5: Browser neu starten

 

Schließen Sie Edge und Chrome vollständig und starten Sie die Browser neu, damit die Änderungen wirksam werden.

 

 

Verwandte Themen

 

 

Datenschutz - Impressum