Neunzig Prozent der Breaches beginnen nach wie vor mit einem gestohlenen Credential, und On-Premises-Verzeichnisse bleiben das primäre Angriffsziel. Active Directory feiert in diesem Jahr seinen 25. Geburtstag, dennoch stützen sich die meisten Enterprise-Identity-Stacks noch immer auf von Domänencontrollern ausgestellte Kerberos-Tickets, die Ihre Auditoren kaum verstehen. Das Ergebnis: hybride Architekturen, in denen Entra ID auf Legacy-AD aufsetzt, Seamless SSO stille Angriffspfade öffnet und ADFS trotz Microsofts leiser Abkündigung weiter im Einsatz ist.
Dieser Leitfaden geht über Herstellerempfehlungen hinaus. Sie finden ein Protokoll-Entscheidungsframework, das Kerberos, SAML, OIDC und FIDO2 konkreten On-Prem-Anwendungsfällen zuordnet, einen pragmatischen Weg für Organisationen ohne P1/P2-Lizenzierung, Härtungsrezepte für Kerberos-Delegation sowie eine Compliance-Matrix für NIS2, GDPR und PCI-DSS 8.x. Ziel: Architekten und CISOs die technische Klarheit geben, Single Sign-On in hybriden Umgebungen zu sichern, ohne das Verzeichnis neu aufzubauen.
Was On-Prem SSO in einer hybriden Welt wirklich bedeutet
Grundmechanik: Kerberos, LDAP, SAML und OIDC gegenüber Active Directory
On-Prem Single Sign-On beginnt bei der Local Security Authority. Wenn sich ein Benutzer anmeldet, fordert die LSA ein Ticket-Granting Ticket von einem gefundenen Domänencontroller an und tauscht dann Service-Tickets für jede On-Prem-Ressource aus. Entra Connect oder Cloud Sync repliziert UPN, SAM Account Name und Domänenattribute aufwärts, sodass ein Entra-gebundenes Gerät sein Primary Refresh Token zusammen mit dem On-Prem-Domänenhinweis erhält. Von dort aus erreicht das Gerät Dateifreigaben, Drucker und LOB-Anwendungen über Kerberos oder NTLM via dem gefundenen DC.
SAML und OIDC verwalten föderierte Web-Apps, aber das Verzeichnis der Wahrheit bleibt On-Prem. Der DC bleibt maßgeblich für RDP-Sitzungen, Thick Clients, SCADA/OT-Segmente und air-gapped Workloads, wo kein Cloud-IdP Sichtlinie hat.
Warum Seamless SSO als Sicherheitsrisiko eingestuft wird
Seamless SSO stützt sich auf das AZUREADSSOACC$-Computerkonto in Active Directory. Sein Kerberos-Schlüssel rotiert standardmäßig nie, was den Tenant dem Silver-Ticket-Forging aussetzt: Ein Angreifer mit dem Hash kann gültige Service-Tickets für jeden Verbundbenutzer ausstellen. Microsoft empfiehlt jetzt den Wechsel zu Cloud Kerberos Trust, FIDO2-Sicherheitsschlüsseln oder zertifikatbasierter Authentifizierung für phishing-resistenten Zugang.
Protokollauswahl: Entscheidungsmatrix für On-Prem SSO
Direkter Vergleich: Kerberos, SAML, OIDC, LDAP, FIDO2
Die Protokollwahl bestimmt Ihre Angriffsfläche für das nächste Jahrzehnt. Die Matrix bewertet jede Option anhand der Kriterien, die für einen Sicherheitsarchitekten beim Deployment von On-Prem SSO entscheidend sind.
| Kriterium | Kerberos | SAML | OIDC | LDAP | FIDO2 |
|---|---|---|---|---|---|
| Unterstützung von Legacy-Apps | Hoch | Mittel | Niedrig | Hoch | Mittel (über AD-Bridge) |
| Phishing-Resistenz | Niedrig | Niedrig | Mittel | Niedrig | Hoch |
| Hybrid-Bereitschaft | Mittel | Hoch | Hoch | Niedrig | Hoch |
| Offline-Fähigkeit | Ja | Nein | Nein | Ja | Ja |
| Lizenzkosten | Inklusive | Variabel | Niedrig | Inklusive | Nur Hardware |
| Deployment-Komplexität | Mittel | Hoch | Mittel | Niedrig | Niedrig |
| Audit-Granularität | Mittel | Hoch | Hoch | Niedrig | Hoch |
Empfehlungen: Thick Clients → Kerberos; Web-SaaS → SAML oder OIDC; RDP/RemoteApp → Kerberos + FIDO2; OT-Netzwerke → LDAP + FIDO2-Bridge.
Entscheidungs-Flowchart und Protokoll-Mixing
Protokolle bewusst mischen. Kerberos für Windows-integrierte Ressourcen behalten, SAML für föderiertes SaaS über AD, FIDO2 als universellen Authenticator. Strikte SPN-Hygiene, konsistente UPN-Claims und ein einzelnes Session-Cookie durchsetzen, um doppelte Anmeldeaufforderungen zu vermeiden.
Drei On-Prem-SSO-Architekturen ohne ADFS oder Entra ID P1/P2
Architektur 1 – Nur Kerberos mit nativem Active Directory
Nutzen Sie, was der Domänencontroller bereits bietet: SPNs mit setspn registriert, Windows-Integrated Authentication auf IIS und Group Policy, die Browser-Whitelists verteilt. Kein zusätzlicher IdP, keine Cloud-Abhängigkeit. Die Abdeckung endet bei Intranet-Anwendungen, die Kerberos oder NTLM sprechen.
Architektur 2 – SAML-Proxy mit AD-Anbindung für SaaS und Legacy-Web-Apps
Ein leichtgewichtiges SAML-Appliance mit AD-Anbindung für SaaS und Legacy-Web-Apps (Keycloak, SimpleSAMLphp, Shibboleth) liest Benutzer über LDAP, stellt Assertions für SaaS aus und vermittelt OIDC für moderne Apps. Kein Entra Connect, kein Intune, keine P1/P2-Lizenzen. Das Deployment läuft in Tagen auf einer einzelnen VM.
Architektur 3 – FIDO2 + AD-Authentifizierungsbridge für passwortloses SSO
Das Hideez-Server-Muster für FIDO2 + AD Passwordless SSO kombiniert FIDO2-Keys mit einer On-Prem-Authentifizierungsbridge, die nach hardware-gestützter Verifizierung Kerberos-Tickets ausstellt. Es deckt Windows-Anmeldung, RDP und Delegation an Legacy-Apps ab. Registrierung, Schlüsselwiederherstellung und Admin-Konsole laufen lokal.
On-Prem SSO absichern: Phishing-resistente Authentifizierung und Kerberos-Härtung
FIDO2-Hardware-Keys und Kerberos-Delegation-Härtung
Die Hardware-Key-Integration folgt einem vorhersehbaren Pfad: FIDO2-Credential gegen das Benutzerobjekt registrieren, Smart-Card-Emulation aktivieren und Kerberos PKINIT ein TGT ausstellen lassen, nachdem der Key das Zertifikat entsperrt. YubiKey, Token2 und Hideez Key decken Windows-Anmeldung und RDP durch denselben Ablauf ab.
Kerberos zu härten ist nicht verhandelbar. Unconstrained Delegation im gesamten Forest deaktivieren, nur AES-256 erzwingen, SPNs mit setspn -X auditieren und jede Tier-0-Identität in die Protected Users-Gruppe aufnehmen. Dies neutralisiert Kerberoasting, Golden-Ticket-Forging und DCSync-Pfade.
Zero Trust über On-Prem SSO schichten
Der Domänencontroller bleibt, das implizite Vertrauen nicht. Kontextuelles MFA beim IdP hinzufügen, Device-Posture-Signale vom Endpoint-Agenten einspeisen, Admin-Aktionen hinter Just-in-Time-Elevation absichern und Sitzungen bei Risikoänderungen neu bewerten. Das Verzeichnis läuft weiter; die Verifizierung wird kontinuierlich.
Fehlerbehebung, ADFS-Migration und Compliance
Häufige Fehlerquellen und Diagnose-Befehle
Die meisten On-Prem-SSO-Vorfälle lassen sich auf sechs wiederkehrende Fehler zurückführen. DCLocator-Timeouts treten auf, wenn der Client keinen schreibbaren DC erreichen kann; prüfen Sie mit nltest /dsgetdc:contoso.corp.com und kontrollieren Sie die Site-Affinität. NETBIOS-Auflösungsfehler mit STATUS_BAD_VALIDATION_CLASS 0xc00000a7 zeigen an, dass die Anwendung contoso\user statt eines UPN gesendet hat; erzwingen Sie die Syntax user@contoso.corp.com. UPN-Mismatches brechen SAML-Assertions, Kerberos-Zeitversatz über 5 Minuten macht Tickets ungültig (prüfen mit w32tm /monitor), doppelte SPNs verhindern die Ticket-Ausstellung (setspn -X findet sie) und unterbrochene Zertifikatsketten töten PKINIT. Verwenden Sie klist purge und dann klist, um gecachte Tickets zu inspizieren.
Migration von ADFS und Zuordnung zu NIS2, GDPR, HIPAA, PCI-DSS
ADFS phasenweise ablösen: Relying Parties inventarisieren, nach Protokoll klassifizieren (WS-Fed vs. SAML oder OIDC), Ziel-Stack auswählen, Koexistenz betreiben, dann umschalten. Kontrollen auf NIS2 Art. 21, GDPR Art. 32, HIPAA §164.312(a)(2)(i) und PCI-DSS 8.3–8.5 abbilden.
Häufig gestellte Fragen
Kann ich On-Prem SSO ohne ADFS oder vollständige Microsoft Entra ID P1/P2-Lizenzierung konfigurieren?
Ja. Ein reines Kerberos-Design mit Active Directory liefert Single Sign-On für domänengebundene Workstations ohne Cloud-Ebene. Für moderne Apps kombinieren Sie einen leichtgewichtigen SAML-Proxy oder einen On-Prem-Identity-Provider mit AD als Verzeichnisquelle. Hideez Server kombiniert mit FIDO2-Keys deckt Windows-Anmeldung, RDP und Legacy-Ressourcen ohne Entra ID P1/P2 ab.
Welche FIDO2-Hardware-Keys unterstützen passwortloses On-Prem SSO mit Active Directory?
Jeder FIDO2-zertifizierte Authenticator funktioniert, einschließlich Hideez Key, YubiKey und Feitian. Für On-Prem AD muss der Key den WebAuthn User Verification Flow unterstützen und mit einem Server gekoppelt sein, der nach Attestation Kerberos-Tickets vermittelt.
Wie greifen ausschließlich Entra-gebundene Geräte auf On-Prem-Dateifreigaben und Legacy-Anwendungen zu?
Über Cloud Kerberos Trust oder einen On-Prem-Authentifizierungsserver, der nach FIDO2-Verifizierung TGTs ausstellt und dem Gerät eine gültige Kerberos-Sitzung für UNC-Pfade und Windows-integrierte Apps verschafft.
Bereit, ADFS abzulösen und phishing-resistentes SSO in Ihrer hybriden Umgebung einzuführen? Vereinbaren Sie eine technische Demo mit dem Hideez-Team oder erfahren Sie mehr über das Hideez-Partnerprogramm, um Ihren Kunden FIDO2-passwortlosen Zugang zu ermöglichen.