ITfoxtec AD FS Audit

Los requisitos de registro de NemLog-in se cumplen ampliando el registro de auditoría estándar de AD FS con ITfoxtec AD FS Audit.

AD FS admite la integración con NemLog-in mediante SAML 2.0. Sin embargo, el registro de auditoría estándar de AD FS no registra toda la información que NemLog-in requiere, por lo que se necesita una extensión del registro de auditoría.

Los requisitos de registro de NemLog-in incluyen, entre otras cosas, que se registren todos los mensajes de solicitud y respuesta SAML 2.0. Los mensajes de solicitud y respuesta deben registrarse incluyendo las pruebas de firma, lo cual maneja ITfoxtec AD FS Audit.

El nombre de la empresa ITfoxtec ha cambiado a FoxIDs pero los componentes mantendrán el nombre ITfoxtec como parte del nombre del componente por ahora.

Bindings SAML 2.0 compatibles hacia el Claims Provider (NemLog-in):

  • Solicitud de login (AuthnRequest) vía redirect binding
  • Respuesta de login (Assertion) vía post binding
  • Solicitud de logout (LogoutRequest) vía redirect binding
  • Respuesta de logout (LogoutResponse) vía post binding

Bindings SAML 2.0 compatibles hacia Relying Parties:

  • Solicitud de login (AuthnRequest) vía redirect binding
  • Respuesta de login (Assertion) vía post binding
  • Solicitud de logout (LogoutRequest) vía redirect y post binding
  • Respuesta de logout (LogoutResponse) vía redirect y post binding

ITfoxtec AD FS Audit

ITfoxtec AD FS Audit es compatible con Microsoft AD FS a partir de la versión 3.0 (Windows Server 2012 R2).

Cuándo FoxIDs es relevante

Usa ITfoxtec AD FS Audit cuando necesites registro SAML compatible con NemLog-in en una granja AD FS existente. FoxIDs es relevante cuando también necesitas una plataforma de identidad moderna para migración, federación o sustitución gradual de AD FS.

  • Planifica la migración de AD FS a servicios de OpenID Connect y SAML 2.0
  • Añade federación moderna, identidades externas y operaciones alojadas
  • Obtén ayuda con arquitectura, migración y soporte técnico de pago
Documentación de FoxIDs Habla con un experto Empieza gratis

Registro ITfoxtec AD FS Audit

ITfoxtec AD FS Audit registra en Application ("Windows Logs/Application") en el Event Log con la fuente de registro: "AD FS, ITfoxtec Auditing".

Los detalles del registro se encuentran en la pestaña Details.

ID de evento Texto
211 "Received, SAML GET Request" or "Received, SAML Authn Request"
212 "Send, SAML GET Request" or "Send, SAML Authn Request"
221 "Send/Received, SAML Assertion"
222 "Received, Validating SAML Assertion"
231 "Send/Received, SAML Logout Request"
232 "Send/Received, SAML Logout Response"
233 "Send/Received, SAML Logout Response"
234 "Received, SAML Logout Response"
235 "Received, SAML Logout Request"
236 "Received, SAML Logout Request"
237 "Send, SAML Logout Request"

Instalación de ITfoxtec AD FS Audit

ITfoxtec AD FS Audit se instala en el servidor AD FS creando una fuente de Event Log, colocando una DLL en la carpeta AD FS del servidor y configurando ITfoxtec AD FS Audit en el archivo de configuración de AD FS. La instalación se realiza en una granja AD FS en todos los servidores AD FS.

Nota: solo es necesario crear una fuente de Event Log la primera vez que se instala ITfoxtec AD FS Audit. Para la primera instalación no es necesario iniciar y detener el servicio AD FS; esto solo se requiere para actualizaciones.


1) Crear una fuente de Event Log

Se crea una fuente de Event Log llamada "AD FS, ITfoxtec Auditing" bajo el registro Application.

Ejecuta lo siguiente en un CMD con privilegios administrativos: ITfoxtec.CreateAuditingEventSource.exe
Se crea una entrada de registro de prueba en el Event Log, que puede verificarse.


2) Detener el servicio AD FS

Detén el servicio Active Directory Federation Services. Por ejemplo, con el comando: "net stop adfssrv"


3) Colocar la DLL ITfoxtec AD FS Audit en la carpeta AD FS

Copia el archivo "ITfoxtec.AdfsAuditing.dll" en la carpeta "C:\Windows\ADFS".


4) Configurar ITfoxtec AD FS Audit

La configuración de ITfoxtec AD FS Audit se añade bajo el elemento "system.diagnostics" en el archivo de configuración de AD FS: "C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

La configuración de ITfoxtec AD FS Audit se añade bajo el elemento "system.diagnostics" en el archivo de configuración de AD FS "Microsoft.IdentityServer.Servicehost.exe.config" en la carpeta "C:\Windows\ADFS".

El elemento "system.diagnostics" original de AD FS 3.0:

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Off">
<listeners>
<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit se configura en el elemento "system.diagnostics". La configuración se resalta en amarillo: 

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Verbose">
<listeners>
<add name="EventLogIdentityModelListener" type="ITfoxtec.AdfsAuditing.EventLogIdentityModelListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
<!--<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />-->
</listeners>
</source>
<source name="System.Net.HttpListener" tracemode="protocolonly" maxdatasize="10000" switchValue="Verbose">
<listeners>
<add name="EventLogHttpListener" type="ITfoxtec.AdfsAuditing.EventLogHttpListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

La configuración de ITfoxtec AD FS Audit como archivo de texto.


5) Iniciar el servicio AD FS

Inicia el servicio Active Directory Federation Services. Por ejemplo, con el comando: "net start adfssrv"

Tu privacidad

Tu privacidad

Usamos cookies para mejorar tu experiencia en nuestros sitios web. Haz clic en «Aceptar todas las cookies» para aceptar su uso. Para rechazar cookies no esenciales, haz clic en «Solo cookies necesarias».

Visita nuestra política de privacidad para saber más