Active Directory フェデレーション サービスの prompt=login パラメーターのサポート

次のドキュメントでは、このドキュメントで使用できる prompt=login パラメーターのネイティブ サポートについてAD FS。

prompt=login とは

アプリケーションが Azure AD から新しい認証を要求する必要がある場合、つまり、ユーザーが既に認証されている場合でも、ユーザーを再認証するために Azure AD が必要な場合は、認証要求の一部として パラメーターを Azure AD に送信できます。 prompt=login

この要求がフェデレーション ユーザーに対する場合、Azure ADは、要求が新しい認証用である AD FS など、IdP に通知する必要があります。

既定では、Azure ADこの種類の認証要求をフェデレーション IdP に送信するときに、 と prompt=login wfresh=0 wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password に変換されます。

これらのパラメーターは、次の意味を意味します。

  • wfresh=0: 新しい認証を行います
  • wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: 新しい認証要求にユーザー名/パスワードを使用します

これにより、企業のイントラネットと多要素認証のシナリオで、パラメーターの要求に応じて、ユーザー名とパスワード以外の認証の種類が必要な場合に問題が wauth 発生する可能性があります。

AD FS R2 Windows Server 2012 2016 年 7 月の更新プログラム ロールアップでは、 パラメーターのネイティブ サポートが導入 prompt=login されました。 つまり、認証Azure AD要求の一部として、AD FS サービスにこのパラメーター Azure ADをOffice 365できます。

AD FS prompt=login をサポートする新しいバージョン

パラメーターをサポートするAD FSの一覧を次に示 prompt=login します。

  • AD FS R2 Windows Server 2012 2016 年 7 月の更新プログラムのロールアップを含む)
  • AD FSのWindows Server 2016

AD FS に prompt=login を送信するようにフェデレーション ドメインを構成するAD FS

PowerShell モジュールAzure AD使用して、設定を構成します。

注意

この機能 (プロパティで有効) は、現在 prompt=login PromptLoginBehavior 、set-MsolDomainFederationSettings などの "Msol" を含む名前がコマンドレットに含まれる Azure AD Powershell モジュールのバージョン 1.0でのみ使用できます。 現在、コマンドレットに "Set-AzureAD" のような名前を持つ Azure AD PowerShell モジュールの 'バージョン 2.0' では使用できません * 。 これはドメインごとの設定です。 1 つのフェデレーションで複数のドメインがフェデレーションされている場合は、必要な各ドメインに変更を適用する必要があります。

  1. まず、次の PowerShell コマンドを実行して、フェデレーション ドメインの 、、および の PreferredAuthenticationProtocol SupportsMfa PromptLoginBehavior 現在の値を取得します。
    Get-MsolDomainFederationSettings -DomainName <your_domain_name> | Format-List *

注意

既定では、 Get-MsolDomainFederationSettings の出力では、コンソールに特定のプロパティは表示されません。 すべてのプロパティを表示するには、パイプ ( ) の出力を に設定し、オブジェクトのすべてのプロパティの出力 | Format-List * を強制します。

Get-MsolDomainFederationSettings

注意

プロパティの値が空 ( ) の場合 PromptLoginBehavior $null 、 の動作 TranslateToFreshPasswordAuth が使用されます。

  1. 次のコマンドを実行して PromptLoginBehavior 、 の目的の値を構成します。
    Set-MsolDomainFederationSettings –DomainName <your_domain_name> -PreferredAuthenticationProtocol <current_value_from_step1> -SupportsMfa <current_value_from_step1> -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>

パラメーターの値とその意味を PromptLoginBehavior 次に示します。

  • TranslateToFreshPasswordAuth: と に変換Azure ADの既定の動作を prompt=login 意味 wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password します wfresh=0
  • NativeSupport: パラメーターは、このパラメーターを使用して prompt=login 送信AD FS。 これは、2016 年 7 月の更新プログラムAD FSロールアップ以上Windows Server 2012 R2 に含まれる場合に推奨される値です。
  • 無効: は、サーバー wfresh=0 に送信されるAD FS。