Active Directory フェデレーション サービスの prompt=login パラメーターのサポート

  • [アーティクル]

次のドキュメントでは、AD FS で使用できる prompt=login パラメーターのネイティブ サポートについて説明します。

prompt=login とは

アプリケーションが Microsoft Entra ID からの新しい認証を要求する必要がある場合、つまり、ユーザーが既に認証されている場合でもユーザーを再認証するのにアプリケーションで Microsoft Entra ID が必要な場合は、認証要求の一部として Microsoft Entra ID に prompt=login パラメーターを送信できます。

この要求がフェデレーション ユーザーのためのものである場合、Microsoft Entra ID は、AD FS と同様に、要求が新規認証のためであることを通知する必要があります。

既定では、Microsoft Entra ID は、このタイプの認証要求をフェデレーション IdP に送信するときに prompt=loginwfresh=0 および wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password に変換します。

これらのパラメーターの意味は次のとおりです。

  • wfresh=0: 新しい認証を行います
  • wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: 新しい認証要求にユーザー名とパスワードを使用します

これにより、wauth パラメーターで要求される場合にように、ユーザー名とパスワード以外の認証の種類が必要になる企業イントラネットおよび多要素認証のシナリオで問題が発生する可能性があります。

2016 年 7 月の更新プログラムのロールアップを使用した Windows Server 2012 R2 の AD FS では、prompt=login パラメーターのネイティブ サポートが導入されました。 つまり、Microsoft Entra ID は、Microsoft Entra ID および Office 365 認証要求の一部として、このパラメーターをそのまま AD FS サービスに送信できるようになりました。

prompt=login をサポートするバージョンの AD FS

prompt=login パラメーターをサポートする AD FS バージョンの一覧を次に示します。

  • 2016 年 7 月の更新プログラムのロールアップを使用した Windows Server 2012 R2 の AD FS
  • Windows Server 2016 以降の AD FS

prompt=login を AD FS に送信するようにフェデレーション ドメインを構成する方法

Microsoft Graph PowerShellモジュールを使用して設定を行います。

  1. まず、次の PowerShell コマンドを実行して、フェデレーション ドメインの FederatedIdpMfaBehaviorPreferredAuthenticationProtocol、および PromptLoginBehavior の現在の値を取得します。

    Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *

    注意

    既定では Get-MgDomainFederationConfiguration の出力では、コンソールに特定のプロパティは表示されません。 すべてのプロパティを表示するには、その出力を | にパイプ (Format-List *) して、オブジェクトのすべてのプロパティを強制的に出力する必要があります。

    プロパティ PromptLoginBehavior の値が空 ($null) の場合は、TranslateToFreshPasswordAuth の動作が使用されます。

  2. 次のコマンドを実行して、PromptLoginBehavior を目的の値に構成します。

    New-MgDomainFederationConfiguration -DomainId <your_domain_name> `
   -FederatedIdpMfaBehavior <current_value_from_step1> `
   -PreferredAuthenticationProtocol <current_value_from_step1> `
   -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>

PromptLoginBehavior パラメーターの使用可能な値とその意味は次のとおりです。

  • TranslateToFreshPasswordAuth: 既定の Microsoft Entra 動作が prompt=loginwauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password および wfresh=0 への変換であることを意味します。
  • NativeSupport: prompt=login パラメーターがそのまま AD FS に送信されることを意味します。 この値は、2016 年 7 月以降の更新プログラムのロールアップを使用して AD FS が Windows Server 2012 R2 にある場合に推奨されます。
  • Disabled: wfresh=0 のみが AD FS に送信されることを意味します。