Azure Active Directory パススルー認証: 技術的な詳細Azure Active Directory Pass-through Authentication: Technical deep dive

この記事は、Azure Active Directory (Azure AD) パススルー認証のしくみの概要です。This article is an overview of how Azure Active directory (Azure AD) Pass-through Authentication works. 技術とセキュリティの詳細情報については、セキュリティの詳細に関する記事をご覧ください。For deep technical and security information, see the Security deep dive article.

Azure Active Directory パススルー認証のしくみHow does Azure Active Directory Pass-through Authentication work?

ユーザーが Azure AD で保護されているアプリケーションにサインインしようとし、テナントでパススルー認証が有効になっている場合、次の手順が発生します。When a user tries to sign in to an application secured by Azure AD, and if Pass-through Authentication is enabled on the tenant, the following steps occur:

  1. ユーザーが Outlook Web アプリなどのアプリケーションへのアクセスを試みます。The user tries to access an application, for example, Outlook Web App.
  2. まだサインインしていない場合、ユーザーは Azure AD のユーザー サインイン ページにリダイレクトされます。If the user is not already signed in, the user is redirected to the Azure AD User Sign-in page.
  3. ユーザーが Azure AD サインイン ページにユーザー名を入力し、[次へ] ボタンを選択します。The user enters their username into the Azure AD sign in page, and then selects the Next button.
  4. ユーザーが Azure AD サインイン ページにパスワードを入力し、[サインイン] ボタンを選択します。The user enters their password into the Azure AD sign in page, and then selects the Sign in button.
  5. サインインの要求を受け取った Azure AD が、(認証エージェントの公開キーを使用して暗号化された) ユーザー名とパスワードをキューに入れます。Azure AD, on receiving the request to sign in, places the username and password (encrypted by using the public key of the Authentication Agents) in a queue.
  6. オンプレミス認証エージェントが、ユーザー名と暗号化されたパスワードをキューから取得します。An on-premises Authentication Agent retrieves the username and encrypted password from the queue. エージェントはキューの要求のために頻繁にポーリングしませんが、事前に確立された永続的な接続を介して要求を取得します。Note that the Agent doesn't frequently poll for requests from the queue, but retrieves requests over a pre-established persistent connection.
  7. エージェントがその秘密キーを使用してパスワードの暗号化を解除します。The agent decrypts the password by using its private key.
  8. エージェントは、標準の Windows API を使用して Active Directory に対してユーザー名とパスワードを検証しますが、これは Active Directory フェデレーション サービス (AD FS) が使用しているのと同様のメカニズムです。The agent validates the username and password against Active Directory by using standard Windows APIs, which is a similar mechanism to what Active Directory Federation Services (AD FS) uses. ユーザー名には、オンプレミスの既定のユーザー名 (通常は userPrincipalName) か、Azure AD Connect (Alternate ID とも呼ばれる) で構成された別の属性を指定できます。The username can be either the on-premises default username, usually userPrincipalName, or another attribute configured in Azure AD Connect (known as Alternate ID).
  9. オンプレミスの Active Directory ドメイン コントローラー (DC) が要求を評価し、適切な応答をエージェントに返します (成功、失敗、パスワードの期限切れ、またはユーザーがロックアウト)。The on-premises Active Directory domain controller (DC) evaluates the request and returns the appropriate response (success, failure, password expired, or user locked out) to the agent.
  10. 次に、認証エージェントがこの応答を Azure AD に返します。The Authentication Agent, in turn, returns this response back to Azure AD.
  11. Azure AD が応答を評価し、ユーザーに適宜応答します。Azure AD evaluates the response and responds to the user as appropriate. たとえば、Azure AD はすぐにユーザーをサインインさせるか、または Azure Multi-Factor Authentication を要求します。For example, Azure AD either signs the user in immediately or requests for Azure Multi-Factor Authentication.
  12. ユーザーはサインインが成功すると、アプリケーションにアクセスできます。If the user sign-in is successful, the user can access the application.

次の図に、すべてのコンポーネントと必要な手順を示します。The following diagram illustrates all the components and the steps involved:


次の手順Next steps