フェデレーション環境で Outlook に接続できない！ (認証フロー編)

こんにちは、Exchange サポートの小林です。

シングル サインオン (SSO) をご利用のフェデレーション環境にて、パスワードを変更すると Outlook に接続ができなくなったというお問い合わせをいただくことがございます。
主な要因としては、適切なパッチが適用されていない Outlook をご利用いただいているために、クライアント端末に保存された変更前のパスワードを使用して Outlook が認証を行ってしまうことなどがございます。なお、その他の確認ポイントに関しては、別途本ブログにてご案内する予定ですので、本記事と併せてご参照ください。

ここでは、フェデレーション環境での Outlook の基本的な認証フローの動作をご紹介します。

Outlook を利用して Exchange Online (Office 365) にアクセスする際には、内部または外部ネットワークからのアクセスかに関わらず、以下の通信フローにて認証が行われます。

Outlook 利用時の通信フロー

1. Outlook を起動し、Exchange Online (Office 365) に接続をします。
2. Exchange Online は基本認証を要求します。(*) Exchange Online 側にキャッシュが存在する場合には、ステップ 11 に移ります。
3. ユーザーに資格情報の入力が求められます。(資格情報が保存されている場合は自動的に送付されます)
4. 資格情報が Exchange Online に送付されると、Office 365 内で AD FS サーバーの URL が検索されます。
5. Exchange Online が AD FS サーバーの URL の名前解決を行います。通常は AD FS プロキシ サーバーの IP アドレスに名前解決されます。
6. 名前解決後、Exchange Online から AD FS プロキシ サーバーに対し、TCP/443 ポートにアクセスします。
7. AD FS プロキシ サーバーは Exchange Online からの認証要求を AD FS サーバーの TCP/443 ポートに転送します。
8. AD FS サーバーは転送された認証要求をドメイン コントローラーに照会し、認証を行います。
9. 認証が成功した場合、AD FS サーバーはドメイン コントローラーに対して LDAP 通信を行い、該当ユーザーの情報を収集します。
10. 収集した情報からセキュリティ トークンを作成し、AD FS サーバーから AD FS プロキシ サーバーを介して Exchange Online に転送されます。
11. Exchange Online は受け取ったセキュリティ トークンを持って、クライアントに対してアクセスの可否を応答します。

今後も当ブログおよび Exchange Server サポート チームをよろしくお願いいたします。