Azure Active Directory パススルー認証: 技術的な詳細

次の記事では、Azure AD パススルー認証のしくみを概説します。 詳細な技術およびセキュリティの情報については、「Azure AD Pass-through Authentication Security Deep Dive」(Azure AD パススルー認証のセキュリティの詳細) を参照してください。

Azure Active Directory パススルー認証のしくみ

ユーザーが Azure Active Directory (AD) で保護されているアプリケーションにサインインしようとし、テナントでパススルー認証が有効になっている場合、次の手順が発生します。

  1. ユーザーが、(https://outlook.office365.com/owa/ の Outlook Web App などの) アプリケーションへのアクセスを試行します。
  2. まだサインインしていない場合、ユーザーは、Azure AD のサインイン ページにリダイレクトされます。
  3. ユーザーが Azure AD のサインイン ページにユーザー名とパスワードを入力し、[サインイン] ボタンをクリックします。
  4. サインイン要求を受け取った Azure AD は、(公開キーを使用して暗号化された) ユーザー名とパスワードをキューに配置します。
  5. オンプレミスのパススルー認証エージェントが送信呼び出しをキューに実行し、ユーザー名と暗号化されたパスワードが取得されます。
  6. エージェントがその秘密キーを使用してパスワードを復号化します。
  7. エージェントは、標準の Windows API を使用して Active Directory に対してユーザー名とパスワードを検証します (Active Directory フェデレーション サービスで使用されているものと同様のメカニズム)。 ユーザー名には、オンプレミスの既定のユーザー名 (通常は userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID として知られています) を指定できます。
  8. その後、オンプレミスの Active Directory ドメイン コントローラー (DC) が要求を評価し、適切な応答をエージェントに返します (成功、失敗、パスワードの期限切れ、またはユーザーがロックアウト)。
  9. エージェントは代わりにこの応答を Azure AD に返します。
  10. Azure AD は、応答を評価し、必要に応じてユーザーに応答します。たとえば、ユーザーを直ちにサインインさせるか、Multi-factor Authentication (MFA) を要求します。
  11. ユーザーのサインインが成功すると、アプリケーションにアクセスできるようになります。

次の図に、すべてのコンポーネントと必要な手順を示します。

パススルー認証

次のステップ