heise+ | Ubuntu: Single Sign-on bis ins Betriebssystem

03.06.2026, 10:00 Uhr

Lesezeit: 9 Min.

Ein eigener Account auf jedem Rechner, separate Passwörter für jeden Dienst und beim Onboarding neuer Kollegen geht jedes Mal das Gewusel los. So sieht die Benutzerverwaltung auch heute noch in vielen Teams und Unternehmen aus. Bei den Webdiensten setzt sich die Anmeldung über einen zentralen Identity Provider langsam durch, Nutzer und Rechte werden dann gemeinsam verwaltet, ein Login öffnet alle Dienste.

Als Protokoll hat sich dafür der offene Standard OpenID-Connect (OIDC) durchgesetzt. Dort, wo Single Sign-on via OIDC verfügbar ist, hängt der zentrale Login meist an der (US-)Cloud. Verbreitete Provider sind beispielsweise Microsoft Entra ID oder Google IAM. Während Webanwendungen häufig schon gegen OIDC-Provider authentifizieren können, hört es oft beim Betriebssystem auf. Das gilt insbesondere für Linux-Distributionen, die deswegen besonders schwierig in Umgebungen mit verwalteten PC-Arbeitsplätzen zu integrieren sind.

Canonical, das Unternehmen hinter Ubuntu, hat den Authentifizierungs-Daemon authd zum Release von Ubuntu 26.04 LTS in die offiziellen Paketquellen gehievt. Der Daemon verfügt über eine modulare Architektur. Die Vermittlung mit dem Identity Provider (IdP) übernehmen die sogenannten Broker, die es als Snap-Pakete gibt. Im Frühjahr 2026 hat sich zu den Brokern für Entra ID von Microsoft und Google IAM auch ein generischer OIDC-Broker gesellt. In Canonicals authd-Dokumentation wird der nur in Kombination mit Keycloak gezeigt, prinzipiell sollte der Broker aber mit allen standardkonformen OIDC-Providern in den Dialog gehen.

Das war die Leseprobe unseres heise-Plus-Artikels "Ubuntu: Single Sign-on bis ins Betriebssystem". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.