Azure Active Directory パススルー認証: 技術的な詳細

この記事は、Azure Active Directory (Azure AD) パススルー認証のしくみの概要です。 技術とセキュリティの詳細情報については、セキュリティの詳細に関する記事をご覧ください。

Azure Active Directory パススルー認証のしくみ

注意

パススルー認証が機能するための前提条件として、Azure AD には、Azure AD Connect を使用して、オンプレミスの Active Directory からユーザーをプロビジョニングする必要があります。 クラウド限定ユーザーには、パススルー認証が適用されません。

ユーザーが Azure AD で保護されているアプリケーションにサインインしようとし、テナントでパススルー認証が有効になっている場合、次の手順が発生します。

  1. ユーザーが Outlook Web アプリなどのアプリケーションへのアクセスを試みます。
  2. まだサインインしていない場合、ユーザーは Azure AD のユーザー サインイン ページにリダイレクトされます。
  3. ユーザーが Azure AD サインイン ページにユーザー名を入力し、 [次へ] ボタンを選択します。
  4. ユーザーが Azure AD サインイン ページにパスワードを入力し、 [サインイン] ボタンを選択します。
  5. サインインの要求を受け取った Azure AD が、(認証エージェントの公開キーを使用して暗号化された) ユーザー名とパスワードをキューに入れます。
  6. オンプレミス認証エージェントが、ユーザー名と暗号化されたパスワードをキューから取得します。 エージェントはキューの要求のために頻繁にポーリングしませんが、事前に確立された永続的な接続を介して要求を取得します。
  7. エージェントがその秘密キーを使用してパスワードの暗号化を解除します。
  8. エージェントは、標準の Windows API を使用して Active Directory に対してユーザー名とパスワードを検証しますが、これは Active Directory フェデレーション サービス (AD FS) が使用しているのと同様のメカニズムです。 ユーザー名には、オンプレミスの既定のユーザー名 (通常は userPrincipalName) か、Azure AD Connect (Alternate ID とも呼ばれる) で構成された別の属性を指定できます。
  9. オンプレミスの Active Directory ドメイン コントローラー (DC) が要求を評価し、適切な応答をエージェントに返します (成功、失敗、パスワードの期限切れ、またはユーザーがロックアウト)。
  10. 次に、認証エージェントがこの応答を Azure AD に返します。
  11. Azure AD が応答を評価し、ユーザーに適宜応答します。 たとえば、Azure AD によって、ユーザーのサインインが直ちに行われるか、Azure AD Multi-Factor Authentication が要求されます。
  12. ユーザーはサインインが成功すると、アプリケーションにアクセスできます。

次の図に、すべてのコンポーネントと必要な手順を示します。

Pass-through Authentication

次のステップ