Active Directory フェデレーション サービスの prompt=login パラメーターのサポートActive Directory Federation Services prompt=login parameter support

次のドキュメントでは、AD FS で使用できる prompt = login パラメーターのネイティブサポートについて説明します。The following document describes the native support for the prompt=login parameter that is available in AD FS.

Prompt = login とはWhat is prompt=login?

アプリケーションが Azure AD からの新しい認証を要求する必要がある場合は、ユーザーが既に認証されている場合でもユーザーを再認証する Azure AD 必要があることを意味するために、 prompt=login 認証要求の一部として Azure AD にパラメーターを送信できます。When applications need to request fresh authentication from Azure AD, meaning that they need Azure AD to re-authenticate the user even if the user has already been authenticated, they can send the prompt=login parameter to Azure AD as part of the authentication request.

フェデレーションユーザーの要求である場合、Azure AD は、要求が新規認証用であることを、AD FS のように通知する必要があります。When this request is for a federated user, Azure AD needs to inform the IdP, like AD FS, that the request is for fresh authentication.

既定では、Azure AD は、 prompt=login wfresh=0 wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password この種類の認証要求をフェデレーション IdP に送信するときにとに変換されます。By default, Azure AD translates prompt=login to wfresh=0 and wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password when sending this type of authentication requests to the federated IdP.

これらのパラメーターの意味は次のとおりです。These parameters mean:

  • wfresh=0: 新しい認証を行います。wfresh=0: do fresh authentication
  • wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: 新しい認証要求にユーザー名とパスワードを使用します。wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: use username/password for the fresh authentication request

これにより、パラメーターで要求された認証の種類 (ユーザー名とパスワード以外) が必要になる企業イントラネットおよび multi-factor authentication のシナリオで問題が発生する可能性があり wauth ます。This can cause problems with corporate intranet and multi-factor authentication scenarios in which an authentication type other than username and password, as requested by the wauth parameter, is desired.

Windows Server 2012 R2 では、2016年7月の更新プログラムのロールアップで AD FS、パラメーターのネイティブサポートが導入されました prompt=loginAD FS in Windows Server 2012 R2 with the July 2016 update rollup introduced native support for the prompt=login parameter. これは、Azure AD が Azure AD および Office 365 認証要求の一部として AD FS サービスにこのパラメーターをそのように送信できるようになったことを意味します。This means that now Azure AD can send this parameter as-is to AD FS service as part of Azure AD and Office 365 authentication requests.

Prompt = login をサポートするバージョンの AD FSAD FS versions that support prompt=login

パラメーターをサポートする AD FS バージョンの一覧を次に示し prompt=login ます。The following is a list of AD FS versions that support the prompt=login parameter.

  • Windows Server 2012 R2 の AD FS (2016 年7月の更新プログラムのロールアップ)AD FS in Windows Server 2012 R2 with the July 2016 update rollup
  • Windows Server 2016 の AD FSAD FS in Windows Server 2016

プロンプトを送信するフェデレーションドメインを構成する方法 = ログイン AD FSHow to configure a federated domain to send prompt=login to AD FS

Azure AD PowerShell モジュールを使用して、設定を構成します。Use the Azure AD PowerShell module to configure the setting.

注意

prompt=login現在、この機能は、 PromptLoginBehavior Azure AD Powershell モジュールのバージョン 1.0でのみ使用できます。このコマンドレットには、Set-msoldomainfederationsettings などの "msol" を含む名前が付いています。The prompt=login capability (enabled by the PromptLoginBehavior property) is currently available only in the version 1.0 of the Azure AD Powershell module, in which the cmdlets have names that include “Msol”, such as Set-MsolDomainFederationSettings. 現時点では、Azure AD PowerShell モジュールの ' version 2.0 ' 経由では使用できません。このコマンドレットには、"AzureAD" のような名前が付いてい * ます。It is not currently available via ‘version 2.0' of the Azure AD PowerShell module, whose cmdlets have names like “Set-AzureAD*”.

  1. まず PreferredAuthenticationProtocolSupportsMfa 次の PromptLoginBehavior PowerShell コマンドを実行して、フェデレーションドメインの、、およびの現在の値を取得します。First obtain the current values of PreferredAuthenticationProtocol, SupportsMfa, and PromptLoginBehavior for the federated domain by running the following PowerShell command:
    Get-MsolDomainFederationSettings -DomainName <your_domain_name> | Format-List *

注意

既定でのの出力で Get-MsolDomainFederationSettings は、コンソールに特定のプロパティは表示されません。The output of Get-MsolDomainFederationSettings by default does not display certain properties in the console. すべてのプロパティを表示するには、パイプを使用して | 出力をに渡し ()、 Format-List * オブジェクトのすべてのプロパティの出力を強制的に適用する必要があります。To view all the properties you should pipe (|) its output to Format-List * to force the output of all the properties of the object.

Get-MsolDomainFederationSettings

注意

プロパティの値 PromptLoginBehavior が空 () の場合 $null は、の動作 TranslateToFreshPasswordAuth が使用されます。If the value of the property PromptLoginBehavior is empty ($null) the behavior of TranslateToFreshPasswordAuth is used.

  1. 次のコマンドを実行して、の目的の値を構成し PromptLoginBehavior ます。Configure the desired value of PromptLoginBehavior by running the following command:
    Set-MsolDomainFederationSettings –DomainName <your_domain_name> -PreferredAuthenticationProtocol <current_value_from_step1> -SupportsMfa <current_value_from_step1> -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>

パラメーターの使用可能な値 PromptLoginBehavior とその意味は次のとおりです。Following are the possible values of PromptLoginBehavior parameter and their meaning:

  • TranslateToFreshPasswordAuth: およびへの変換の既定の Azure AD 動作を意味し prompt=login wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password wfresh=0 ます。TranslateToFreshPasswordAuth: means the default Azure AD behavior of translating prompt=login to wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password and wfresh=0.
  • NativeSupport: prompt=login パラメーターが AD FS にそのように送信されることを意味します。NativeSupport: means that the prompt=login parameter will be sent as is to AD FS. これは、2012年 7 2016 月の更新プログラムのロールアップ以降を使用して AD FS が Windows Server R2 に存在する場合に推奨される値です。This is the recommended value if AD FS is in Windows Server 2012 R2 with the July 2016 update rollup or higher.
  • Disabled: のみが AD FS に送信されることを意味 wfresh=0 します。Disabled: means that only wfresh=0 is sent to AD FS.