ITfoxtec AD FS Audit

Die NemLog-in Loggingsanforderungen werden erfüllt, indem das AD FS Standard Audit Log mit ITfoxtec AD FS Audit erweitert wird.

AD FS unterstützt die Integration mit NemLog-in über SAML 2.0. Das AD FS Standard Audit Log erfasst jedoch nicht alle Informationen, die NemLog-in benötigt, daher ist eine Erweiterung des Audit Logs erforderlich.

Die NemLog-in Loggingsanforderungen beinhalten unter anderem, dass alle SAML 2.0 Request und Response Nachrichten protokolliert werden. Die Request und Response Nachrichten müssen inklusive der Signaturnachweise protokolliert werden, was ITfoxtec AD FS Audit übernimmt.

Der Firmenname ITfoxtec wurde geändert zu FoxIDs aber die Komponenten behalten den ITfoxtec Namen vorerst als Teil des Komponentennamens bei.

Unterstützte SAML 2.0 Bindings Richtung Claims Provider (NemLog-in):

  • Login Request (AuthnRequest) über Redirect Binding
  • Login Response (Assertion) über Post Binding
  • Logout Request (LogoutRequest) über Redirect Binding
  • Logout Response (LogoutResponse) über Post Binding

Unterstützte SAML 2.0 Bindings Richtung Relying Parties:

  • Login Request (AuthnRequest) über Redirect Binding
  • Login Response (Assertion) über Post Binding
  • Logout Request (LogoutRequest) über Redirect und Post Binding
  • Logout Response (LogoutResponse) über Redirect und Post Binding

ITfoxtec AD FS Audit

ITfoxtec AD FS Audit unterstützt Microsoft AD FS ab Version 3.0 (Windows Server 2012 R2).

Wenn FoxIDs relevant ist

Verwenden Sie ITfoxtec AD FS Audit, wenn Sie NemLog-in konformes SAML Logging in einer bestehenden AD FS Farm benötigen. FoxIDs ist relevant, wenn Sie zusätzlich eine moderne Identitätsplattform für Migration, Verbund oder die schrittweise Ablösung von AD FS benötigen.

  • Planen Sie die Migration von AD FS zu OpenID Connect und SAML 2.0 Diensten
  • Fügen Sie modernen Verbund, externe Identitäten und gehosteten Betrieb hinzu
  • Erhalten Sie Hilfe bei Architektur, Migration und kostenpflichtigem technischen Support
FoxIDs Dokumentation Sprechen Sie mit einem Experten Kostenlos starten

ITfoxtec AD FS Audit Loggierung

ITfoxtec AD FS Audit protokolliert in Application ("Windows Logs/Application") im Event Log mit Log Source: "AD FS, ITfoxtec Auditing".

Die Loggierungsdetails finden Sie auf der Registerkarte Details.

Event id Text
211 "Received, SAML GET Request" oder "Received, SAML Authn Request"
212 "Send, SAML GET Request" oder "Send, SAML Authn Request"
221 "Send/Received, SAML Assertion"
222 "Received, Validating SAML Assertion"
231 "Send/Received, SAML Logout Request"
232 "Send/Received, SAML Logout Response"
233 "Send/Received, SAML Logout Response"
234 "Received, SAML Logout Response"
235 "Received, SAML Logout Request"
236 "Received, SAML Logout Request"
237 "Send, SAML Logout Request"

Installation von ITfoxtec AD FS Audit

ITfoxtec AD FS Audit wird auf dem AD FS Server installiert, indem eine Event Log Source erstellt, eine DLL in den AD FS Ordner gelegt und ITfoxtec AD FS Audit in der AD FS Konfigurationsdatei konfiguriert wird. Die Installation wird in einer AD FS Farm auf allen AD FS Servern durchgeführt.

Hinweis: Es ist nur notwendig, eine Event Log Source beim ersten Installieren von ITfoxtec AD FS Audit zu erstellen. Bei der ersten Installation ist es nicht nötig, den AD FS Service zu stoppen und zu starten; dies ist nur bei Updates erforderlich.


1) Eine Event Log Source erstellen

Eine Event Log Source mit dem Namen "AD FS, ITfoxtec Auditing" wird unter dem Application Log erstellt.

Führen Sie folgendes in einer CMD mit Administratorrechten aus: ITfoxtec.CreateAuditingEventSource.exe
Es wird ein Testlogeintrag im Event Log erstellt, der überprüft werden kann.


2) Den AD FS Service stoppen

Stoppen Sie den Active Directory Federation Services Service. Zum Beispiel mit dem Befehl: "net stop adfssrv"


3) ITfoxtec AD FS Audit DLL im AD FS Ordner platzieren

Kopieren Sie die Datei "ITfoxtec.AdfsAuditing.dll" in den Ordner "C:\Windows\ADFS".


4) ITfoxtec AD FS Audit konfigurieren

Die ITfoxtec AD FS Audit Konfiguration wird unter dem "system.diagnostics" Element in der AD FS Konfigurationsdatei hinzugefügt: "C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

Die ITfoxtec AD FS Audit Konfiguration wird unter dem "system.diagnostics" Element in der AD FS Konfigurationsdatei "Microsoft.IdentityServer.Servicehost.exe.config" im Ordner "C:\Windows\ADFS" hinzugefügt.

Das originale AD FS 3.0 "system.diagnostics" Element:

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Off">
<listeners>
<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit wird im "system.diagnostics" Element konfiguriert. Die Konfiguration ist markiert in gelb: 

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Verbose">
<listeners>
<add name="EventLogIdentityModelListener" type="ITfoxtec.AdfsAuditing.EventLogIdentityModelListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
<!--<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />-->
</listeners>
</source>
<source name="System.Net.HttpListener" tracemode="protocolonly" maxdatasize="10000" switchValue="Verbose">
<listeners>
<add name="EventLogHttpListener" type="ITfoxtec.AdfsAuditing.EventLogHttpListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

Die ITfoxtec AD FS Audit Konfiguration als Textdatei.


5) Den AD FS Service starten

Starten Sie den Active Directory Federation Services Service. Zum Beispiel mit dem Befehl: "net start adfssrv"

Ihre Privatsphäre

Ihre Privatsphäre

Wir verwenden Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern. Klicken Sie auf 'Alle Cookies akzeptieren', um der Verwendung von Cookies zuzustimmen. Um nicht notwendige Cookies abzulehnen, klicken Sie auf 'Nur notwendige Cookies'.

Weitere Informationen finden Sie in unserer Datenschutzerklärung