ITfoxtec AD FS Audit

I requisiti di logging NemLog-in sono soddisfatti estendendo il log di audit standard di AD FS con ITfoxtec AD FS Audit.

AD FS supporta l'integrazione con NemLog-in tramite SAML 2.0. Tuttavia, il log di audit standard di AD FS non registra tutte le informazioni richieste da NemLog-in, quindi è necessaria un'estensione del log di audit.

I requisiti di logging NemLog-in includono, tra le altre cose, che tutti i messaggi di richiesta e risposta SAML 2.0 siano registrati. I messaggi di richiesta e risposta devono essere registrati includendo le prove di firma, che ITfoxtec AD FS Audit gestisce.

Il nome dell'azienda ITfoxtec è cambiato in FoxIDs ma i componenti manterranno per ora il nome ITfoxtec come parte del nome del componente.

Binding SAML 2.0 supportati verso il Claims Provider (NemLog-in):

  • Richiesta di login (AuthnRequest) tramite redirect binding
  • Risposta di login (Assertion) tramite post binding
  • Richiesta di logout (LogoutRequest) tramite redirect binding
  • Risposta di logout (LogoutResponse) tramite post binding

Binding SAML 2.0 supportati verso i Relying Party:

  • Richiesta di login (AuthnRequest) tramite redirect binding
  • Risposta di login (Assertion) tramite post binding
  • Richiesta di logout (LogoutRequest) tramite redirect e post binding
  • Risposta di logout (LogoutResponse) tramite redirect e post binding

ITfoxtec AD FS Audit

ITfoxtec AD FS Audit supporta Microsoft AD FS dalla versione 3.0 (Windows Server 2012 R2).

Quando FoxIDs è rilevante

Usa ITfoxtec AD FS Audit quando hai bisogno di registrazione SAML conforme a NemLog-in in una farm AD FS esistente. FoxIDs è rilevante quando hai anche bisogno di una piattaforma di identità moderna per migrazione, federazione o sostituzione graduale di AD FS.

  • Pianifica la migrazione da AD FS a servizi OpenID Connect e SAML 2.0
  • Aggiungi federazione moderna, identità esterne e operazioni ospitate
  • Ottieni aiuto per architettura, migrazione e supporto tecnico a pagamento
Documentazione FoxIDs Parla con un esperto Inizia gratis

Logging ITfoxtec AD FS Audit

ITfoxtec AD FS Audit registra in Application ("Windows Logs/Application") nel Registro eventi con origine log: "AD FS, ITfoxtec Auditing".

I dettagli di logging si trovano nella scheda Dettagli.

ID evento Testo
211 "Received, SAML GET Request" or "Received, SAML Authn Request"
212 "Send, SAML GET Request" or "Send, SAML Authn Request"
221 "Send/Received, SAML Assertion"
222 "Received, Validating SAML Assertion"
231 "Send/Received, SAML Logout Request"
232 "Send/Received, SAML Logout Response"
233 "Send/Received, SAML Logout Response"
234 "Received, SAML Logout Response"
235 "Received, SAML Logout Request"
236 "Received, SAML Logout Request"
237 "Send, SAML Logout Request"

Installazione di ITfoxtec AD FS Audit

ITfoxtec AD FS Audit viene installato sul server AD FS creando un'origine del registro eventi, posizionando una DLL nella cartella AD FS sul server e configurando ITfoxtec AD FS Audit nel file di configurazione AD FS. L'installazione viene eseguita in una farm AD FS su tutti i server AD FS.

Nota: è necessario creare un'origine del registro eventi solo la prima volta che ITfoxtec AD FS Audit viene installato. Per la prima installazione non è necessario avviare e arrestare il servizio AD FS; è richiesto solo per gli aggiornamenti.


1) Crea un'origine del registro eventi

Viene creata un'origine del registro eventi denominata "AD FS, ITfoxtec Auditing" nel log Application.

Esegui il seguente comando in un CMD con privilegi amministrativi: ITfoxtec.CreateAuditingEventSource.exe
Viene creato un log di test nel registro eventi, verificabile.


2) Arresta il servizio AD FS

Arresta il servizio Active Directory Federation Services. Ad esempio, con il comando: "net stop adfssrv"


3) Inserisci la DLL ITfoxtec AD FS Audit nella cartella AD FS

Copia il file "ITfoxtec.AdfsAuditing.dll" nella cartella "C:\Windows\ADFS".


4) Configura ITfoxtec AD FS Audit

La configurazione di ITfoxtec AD FS Audit viene aggiunta sotto l'elemento "system.diagnostics" nel file di configurazione AD FS: "C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

La configurazione di ITfoxtec AD FS Audit viene aggiunta sotto l'elemento "system.diagnostics" nel file di configurazione AD FS "Microsoft.IdentityServer.Servicehost.exe.config" nella cartella "C:\Windows\ADFS".

L'elemento "system.diagnostics" originale di AD FS 3.0:

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Off">
<listeners>
<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit è configurato nell'elemento "system.diagnostics". La configurazione è evidenziata in giallo: 

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Verbose">
<listeners>
<add name="EventLogIdentityModelListener" type="ITfoxtec.AdfsAuditing.EventLogIdentityModelListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
<!--<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />-->
</listeners>
</source>
<source name="System.Net.HttpListener" tracemode="protocolonly" maxdatasize="10000" switchValue="Verbose">
<listeners>
<add name="EventLogHttpListener" type="ITfoxtec.AdfsAuditing.EventLogHttpListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

La configurazione ITfoxtec AD FS Audit come file di testo.


5) Avvia il servizio AD FS

Avvia il servizio Active Directory Federation Services. Ad esempio, con il comando: "net start adfssrv"

La tua privacy

La tua privacy

Usiamo i cookie per migliorare la tua esperienza sui nostri siti. Fai clic sul pulsante 'Accetta tutti i cookie' per acconsentire all'uso dei cookie. Per rifiutare i cookie non essenziali, fai clic su 'Solo cookie necessari'.

Visita la nostra pagina di Informativa sulla privacy per saperne di più