ITfoxtec AD FS Audit

NemLog-in loggingskravene oppfylles ved å utvide AD FS standard audit loggen med ITfoxtec AD FS Audit.

AD FS støtter integrasjon med NemLog-in via SAML 2.0. AD FS standard audit loggen logger imidlertid ikke all informasjon som NemLog-in krever, så en utvidelse av audit loggen er nødvendig.

NemLog-in loggingskravene inneholder blant annet krav om at alle SAML 2.0 request og response meldinger skal logges. Request og response meldingene må logges inkludert signaturbevisene, noe ITfoxtec AD FS Audit håndterer.

Firmanavnet ITfoxtec er endret til FoxIDs men komponentene vil foreløpig beholde ITfoxtec navnet som en del av komponentnavnet.

Støttede SAML 2.0 bindings mot Claims Provider (NemLog-in):

  • Login request (AuthnRequest) over redirect binding
  • Login response (Assertion) over post binding
  • Logout request (LogoutRequest) over redirect binding
  • Logout response (LogoutResponse) over post binding

Støttede SAML 2.0 bindings mot Relying Parties:

  • Login request (AuthnRequest) over redirect binding
  • Login response (Assertion) over post binding
  • Logout request (LogoutRequest) over redirect og post binding
  • Logout response (LogoutResponse) over redirect og post binding

ITfoxtec AD FS Audit

ITfoxtec AD FS Audit støtter Microsoft AD FS fra versjon 3.0 (Windows Server 2012 R2).

Når FoxIDs er relevant

Bruk ITfoxtec AD FS Audit når du trenger NemLog-in kompatibel SAML logging i en eksisterende AD FS farm. FoxIDs er relevant når du også trenger en moderne identitetsplattform for migrering, føderasjon eller gradvis erstatning av AD FS.

  • Planlegg migrering fra AD FS til OpenID Connect og SAML 2.0 tjenester
  • Legg til moderne føderasjon, eksterne identiteter og hostet drift
  • Få hjelp med arkitektur, migrering og betalt teknisk support
FoxIDs dokumentation Snakk med en ekspert Kom i gang gratis

ITfoxtec AD FS Audit logging

ITfoxtec AD FS Audit logger til Application ("Windows Logs/Application") i Event Log med log source: "AD FS, ITfoxtec Auditing".

Loggdetaljene finnes under detaljfanen.

Event id Tekst
211 "Received, SAML GET Request" eller "Received, SAML Authn Request"
212 "Send, SAML GET Request" eller "Send, SAML Authn Request"
221 "Send/Received, SAML Assertion"
222 "Received, Validating SAML Assertion"
231 "Send/Received, SAML Logout Request"
232 "Send/Received, SAML Logout Response"
233 "Send/Received, SAML Logout Response"
234 "Received, SAML Logout Response"
235 "Received, SAML Logout Request"
236 "Received, SAML Logout Request"
237 "Send, SAML Logout Request"

Installasjon av ITfoxtec AD FS Audit

ITfoxtec AD FS Audit installeres på AD FS serveren ved å opprette en eventlog source, plassere en DLL i AD FS mappen på serveren og konfigurere ITfoxtec AD FS Audit i AD FS konfigurasjonsfilen. Installasjonen utføres i en AD FS farm på alle AD FS serverne.

Merk: Det er bare nødvendig å opprette en Event Log source første gang ITfoxtec AD FS Audit installeres. Ved første installasjon er det ikke nødvendig å starte og stoppe AD FS servicen, dette er kun nødvendig ved oppdateringer.


1) Opprett en Event Log source

En Event Log source med navnet "AD FS, ITfoxtec Auditing" opprettes under Application loggen.

Kjør følgende i en CMD med administrative rettigheter: ITfoxtec.CreateAuditingEventSource.exe
Det opprettes en testlogg i Event Log, som kan verifiseres.


2) Stopp AD FS servicen

Stopp Active Directory Federation Services servicen. For eksempel med kommandoen: "net stop adfssrv"


3) Plasser ITfoxtec AD FS Audit DLL i AD FS mappen

Kopier filen "ITfoxtec.AdfsAuditing.dll" til mappen "C:\Windows\ADFS".


4) Konfigurer ITfoxtec AD FS Audit

ITfoxtec AD FS Audit konfigurasjonen legges til under "system.diagnostics" elementet i AD FS konfigurasjonsfilen: "C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

ITfoxtec AD FS Audit konfigurasjonen legges til under "system.diagnostics" elementet i AD FS konfigurasjonsfilen "Microsoft.IdentityServer.Servicehost.exe.config" i mappen "C:\Windows\ADFS".

Original AD FS 3.0 "system.diagnostics" elementet:

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Off">
<listeners>
<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit konfigureres i "system.diagnostics" elementet. Konfigurasjonen er markert med gul: 

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Verbose">
<listeners>
<add name="EventLogIdentityModelListener" type="ITfoxtec.AdfsAuditing.EventLogIdentityModelListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
<!--<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />-->
</listeners>
</source>
<source name="System.Net.HttpListener" tracemode="protocolonly" maxdatasize="10000" switchValue="Verbose">
<listeners>
<add name="EventLogHttpListener" type="ITfoxtec.AdfsAuditing.EventLogHttpListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit konfigurasjonen som tekst fil.


5) Start AD FS servicen

Start Active Directory Federation Services servicen. For eksempel med kommandoen: "net start adfssrv"

Ditt personvern

Ditt personvern

Vi bruker cookies for å gjøre opplevelsen av nettstedene våre bedre. Klikk på 'Godta alle cookies' for å samtykke til bruk av cookies. For å reservere deg mot ikke-nødvendige cookies, klikk på 'Kun nødvendige cookies'.

Besøk vår personvernerklæring for mer