ITfoxtec AD FS Audit

De NemLog-in logging vereisten worden nageleefd door de AD FS standaard audit log uit te breiden met ITfoxtec AD FS Audit.

AD FS ondersteunt integratie met NemLog-in via SAML 2.0. De AD FS standaard audit log registreert echter niet alle informatie die NemLog-in vereist, dus een uitbreiding van de audit log is nodig.

De NemLog-in logging vereisten omvatten onder andere dat alle SAML 2.0 request en response berichten worden gelogd. De request en response berichten moeten worden gelogd inclusief de signatuur bewijzen, wat ITfoxtec AD FS Audit afhandelt.

De bedrijfsnaam ITfoxtec is gewijzigd in FoxIDs maar de componenten behouden voorlopig de ITfoxtec naam als onderdeel van de componentnaam.

Ondersteunde SAML 2.0 bindings richting Claims Provider (NemLog-in):

  • Login request (AuthnRequest) over redirect binding
  • Login response (Assertion) over post binding
  • Logout request (LogoutRequest) over redirect binding
  • Logout response (LogoutResponse) over post binding

Ondersteunde SAML 2.0 bindings richting Relying Parties:

  • Login request (AuthnRequest) over redirect binding
  • Login response (Assertion) over post binding
  • Logout request (LogoutRequest) over redirect en post binding
  • Logout response (LogoutResponse) over redirect en post binding

ITfoxtec AD FS Audit

ITfoxtec AD FS Audit ondersteunt Microsoft AD FS vanaf versie 3.0 (Windows Server 2012 R2).

Wanneer FoxIDs relevant is

Gebruik ITfoxtec AD FS Audit wanneer je NemLog-in conforme SAML logging nodig hebt in een bestaande AD FS farm. FoxIDs is relevant wanneer je ook een modern identiteitsplatform nodig hebt voor migratie, federatie of geleidelijke vervanging van AD FS.

  • Plan de migratie van AD FS naar OpenID Connect en SAML 2.0 diensten
  • Voeg moderne federatie, externe identiteiten en gehost beheer toe
  • Krijg hulp bij architectuur, migratie en betaalde technische ondersteuning
FoxIDs documentatie Praat met een expert Start gratis

ITfoxtec AD FS Audit logging

ITfoxtec AD FS Audit logt naar Application ("Windows Logs/Application") in Event Log met log source: "AD FS, ITfoxtec Auditing".

De logging details staan op het tabblad Details.

Event id Tekst
211 "Received, SAML GET Request" of "Received, SAML Authn Request"
212 "Send, SAML GET Request" of "Send, SAML Authn Request"
221 "Send/Received, SAML Assertion"
222 "Received, Validating SAML Assertion"
231 "Send/Received, SAML Logout Request"
232 "Send/Received, SAML Logout Response"
233 "Send/Received, SAML Logout Response"
234 "Received, SAML Logout Response"
235 "Received, SAML Logout Request"
236 "Received, SAML Logout Request"
237 "Send, SAML Logout Request"

Installatie van ITfoxtec AD FS Audit

ITfoxtec AD FS Audit wordt geïnstalleerd op de AD FS server door een eventlog source te maken, een DLL in de AD FS map op de server te plaatsen en ITfoxtec AD FS Audit in het AD FS configuratiebestand te configureren. De installatie wordt uitgevoerd in een AD FS farm op alle AD FS servers.

Opmerking: Het is alleen nodig om een Event Log source te maken bij de eerste installatie van ITfoxtec AD FS Audit. Bij de eerste installatie is het niet nodig om de AD FS service te stoppen en te starten; dit is alleen nodig bij updates.


1) Maak een Event Log source

Een Event Log source met de naam "AD FS, ITfoxtec Auditing" wordt aangemaakt onder de Application log.

Voer het volgende uit in een CMD met beheerdersrechten: ITfoxtec.CreateAuditingEventSource.exe
Er wordt een testlog in Event Log aangemaakt, die kan worden gecontroleerd.


2) Stop de AD FS service

Stop de Active Directory Federation Services service. Bijvoorbeeld met het commando: "net stop adfssrv"


3) Plaats de ITfoxtec AD FS Audit DLL in de AD FS map

Kopieer het bestand "ITfoxtec.AdfsAuditing.dll" naar de map "C:\Windows\ADFS".


4) Configureer ITfoxtec AD FS Audit

De ITfoxtec AD FS Audit configuratie wordt toegevoegd onder het "system.diagnostics" element in het AD FS configuratiebestand: "C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

De ITfoxtec AD FS Audit configuratie wordt toegevoegd onder het "system.diagnostics" element in het AD FS configuratiebestand "Microsoft.IdentityServer.Servicehost.exe.config" in de map "C:\Windows\ADFS".

Het originele AD FS 3.0 "system.diagnostics" element:

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Off">
<listeners>
<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit wordt geconfigureerd in het "system.diagnostics" element. De configuratie is gemarkeerd in geel: 

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Verbose">
<listeners>
<add name="EventLogIdentityModelListener" type="ITfoxtec.AdfsAuditing.EventLogIdentityModelListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
<!--<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />-->
</listeners>
</source>
<source name="System.Net.HttpListener" tracemode="protocolonly" maxdatasize="10000" switchValue="Verbose">
<listeners>
<add name="EventLogHttpListener" type="ITfoxtec.AdfsAuditing.EventLogHttpListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

De ITfoxtec AD FS Audit configuratie als tekstbestand.


5) Start de AD FS service

Start de Active Directory Federation Services service. Bijvoorbeeld met het commando: "net start adfssrv"

Uw privacy

Uw privacy

We gebruiken cookies om uw ervaring op onze websites te verbeteren. Klik op de knop 'Alle cookies accepteren' om akkoord te gaan met het gebruik van cookies. Om niet-noodzakelijke cookies te weigeren, klikt u op 'Alleen noodzakelijke cookies'.

Bezoek onze privacyverklaring voor meer informatie