基本情報

ドキュメントから： Azure Active Directory（Azure AD）パススルー認証を使用すると、ユーザーは同じパスワードを使用してオンプレミスおよびクラウドベースのアプリケーションにサインインできます。この機能により、ユーザーはより良いエクスペリエンスを得ることができます - 覚える必要があるパスワードが1つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため、ITヘルプデスクのコストが削減されます。ユーザーがAzure ADを使用してサインインすると、この機能はユーザーのパスワードをオンプレミスのActive Directoryに直接検証します。

PTAではアイデンティティが同期されますが、PHSのようにパスワードは同期されません。

認証はオンプレミスADで検証され、クラウドとの通信はオンプレミスサーバーで実行される認証エージェントによって行われます（オンプレミスDCである必要はありません）。

認証フロー

1. ユーザーがログインするために、Azure ADにリダイレクトされ、ユーザー名とパスワードが送信されます

2. 資格情報は暗号化され、Azure ADのキューに設定されます

3. オンプレミス認証エージェントはキューから資格情報を収集し、それらを復号します。このエージェントは**"パススルー認証エージェント"またはPTAエージェント**と呼ばれます。

4. エージェントは資格情報をオンプレミスADに対して検証し、応答をAzure ADに送信します。応答が肯定的であれば、ユーザーのログインを完了します。

オンプレミス -> クラウド

PTA エージェントが実行されているAzure AD Connectサーバーへの管理者アクセス権がある場合、AADInternalsモジュールを使用して、導入されたすべてのパスワードを検証するバックドアを挿入できます（したがって、すべてのパスワードが認証に有効になります）：

Install-AADIntPTASpy

前のバックドアがインストールされたマシンで、以下のコマンドレットを使用して PTA エージェントに送信された平文パスワードを確認 することも可能です：

Get-AADIntPTASpyLog -DecodePasswords

このバックドアは次のことを行います：

• 隠しフォルダ C:\PTASpy を作成します

• PTASpy.dll を C:\PTASpy にコピーします

• PTASpy.dll を AzureADConnectAuthenticationAgentService プロセスにインジェクトします

クラウド -> オンプレミス

シームレス SSO

PTA と一緒にシームレス SSO を使用することが可能で、他の悪用に対して脆弱です。以下で確認できます：

参考文献

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta

• https://aadinternals.com/post/on-prem_admin/#pass-through-authentication