ITfoxtec AD FS Audit

NemLog-in logningskravene overholdes ved at udvide AD FS standard audit loggen med ITfoxtec AD FS Audit.

AD FS understøtter med SAML 2.0, integration til NemLog-in. AD FS standard audit loggen logger dog ikke alle de informationer, som NemLog-in kræver og der er behov for en udvidelse af audit loggen.

NemLog-in logningskravene indeholder blandt andet krav om, at alle SAML 2.0 request og response meddelser skal logges. Request og response meddelelserne skal logges indeholdende signaturbeviserne, hvilket ITfoxtec AD FS Audit håndtere.

Virksomhedsnavnet ITfoxtec er ændret til FoxIDs men komponenterne vil foreløbigt beholde ITfoxtec navnet som en del af komponentnavnet.

Understøttede SAML 2.0 bindings imod Claims Provider (NemLog-in):

  • Login request (AuthnRequest) over redirect binding
  • Login response (Assertion) over post binding
  • Logout request (LogoutRequest) over redirect binding
  • Logout response (LogoutResponse) over post binding

Understøttede SAML 2.0 bindings imod Relying Parties:

  • Login request (AuthnRequest) over redirect binding
  • Login response (Assertion) over post binding
  • Logout request (LogoutRequest) over redirect og post binding
  • Logout response (LogoutResponse) over redirect og post binding

ITfoxtec AD FS Audit

ITfoxtec AD FS Audit understøtter Microsoft AD FS fra version 3.0 (Windows Server 2012 R2).

Når FoxIDs er relevant

Brug ITfoxtec AD FS Audit, når du har brug for NemLog-in kompatibel SAML logning i en eksisterende AD FS farm. FoxIDs er relevant, når du også har brug for en moderne identitetsplatform til migration, federation eller gradvis udskiftning af AD FS.

  • Planlæg migration fra AD FS til OpenID Connect og SAML 2.0 tjenester
  • Tilføj moderne federation, eksterne identiteter og hostet drift
  • Få hjælp til arkitektur, migration og betalt teknisk support
FoxIDs dokumentation Tal med en ekspert Kom gratis i gang

ITfoxtec AD FS Audit logninger

ITfoxtec AD FS Audit logger til Application ("Windows Logs/Application") i Event Log med log source: "AD FS, ITfoxtec Auditing".

Logningsdetaljerne findes under detalje fanen.

Event id Tekst
211 "Received, SAML GET Request" eller "Received, SAML Authn Request"
212 "Send, SAML GET Request" eller "Send, SAML Authn Request"
221 "Send/Received, SAML Assertion"
222 "Received, Validating SAML Assertion"
231 "Send/Received, SAML Logout Request"
232 "Send/Received, SAML Logout Response"
233 "Send/Received, SAML Logout Response"
234 "Received, SAML Logout Response"
235 "Received, SAML Logout Request"
236 "Received, SAML Logout Request"
237 "Send, SAML Logout Request"

Installation af ITfoxtec AD FS Audit

ITfoxtec AD FS Audit installeres på AD FS serveren ved, at oprette en eventlog source, placere en dll i AD FS mappen på serveren og konfigurere ITfoxtec AD FS Audit i AD FS konfigurationsfilen. Installationen udføres i en AD FS farm på alle AD FS serverne.

Bemærkning: Det er kun nødvendigt, at oprette en Event Log source første gang ITfoxtec AD FS Audit installeres. Ved første installation er det ikke nødvendigt, at starte og stoppe AD FS servicen, dette er kun nødvendigt ved opdateringer.


1) Opret en Event Log source

Der oprettes en Event Log source med navnet "AD FS, ITfoxtec Auditing" under Application loggen.

I en CMD med administrative rettigheder køres: ITfoxtec.CreateAuditingEventSource.exe
Der oprettes en test logning i Event Log, som kan verificeres.


2) Stop AD FS servicen

Stop Active Directory Federation Services servicen. F.eks. med kommandoen: "net stop adfssrv"


3) ITfoxtec AD FS Audit dll placeres i AD FS mappen

Kopier filen "ITfoxtec.AdfsAuditing.dll" in i mappen "C:\Windows\ADFS".


4) Konfigurer ITfoxtec AD FS Audit

ITfoxtec AD FS Audit konfigurationen tilføjes under "system.diagnostics" elementet i AD FS konfigurations filen: "C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

ITfoxtec AD FS Audit konfigurationen tilføjes under "system.diagnostics" elementet i AD FS konfigurations filen "Microsoft.IdentityServer.Servicehost.exe.config" i mappen "C:\Windows\ADFS".

Original AD FS 3.0 "system.diagnostics" elementet:

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Off">
<listeners>
<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit konfigureres i "system.diagnostics" elementet. Konfigurationen er markeret med gul: 

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Verbose">
<listeners>
<add name="EventLogIdentityModelListener" type="ITfoxtec.AdfsAuditing.EventLogIdentityModelListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
<!--<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />-->
</listeners>
</source>
<source name="System.Net.HttpListener" tracemode="protocolonly" maxdatasize="10000" switchValue="Verbose">
<listeners>
<add name="EventLogHttpListener" type="ITfoxtec.AdfsAuditing.EventLogHttpListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit konfigurationen som text fil.


5) Start AD FS servicen

Start Active Directory Federation Services servicen. F.eks. med kommandoen: "net start adfssrv"

Dit privatliv

Dit privatliv

Vi bruger cookies til at gøre din oplevelse på vores websites bedre. Klik på 'Acceptér alle cookies' for at acceptere brugen af cookies. For at fravælge ikke-nødvendige cookies, klik på 'Kun nødvendige cookies'.

Besøg vores privatlivspolitik for mere