ITfoxtec AD FS Audit

NemLog-in loggningskraven uppfylls genom att utöka AD FS standard audit loggen med ITfoxtec AD FS Audit.

AD FS stödjer integration med NemLog-in via SAML 2.0. AD FS standard audit loggen loggar dock inte all information som NemLog-in kräver, så en utökning av audit loggen behövs.

NemLog-in loggningskraven innehåller bland annat krav på att alla SAML 2.0 request och response meddelanden ska loggas. Request och response meddelanden måste loggas inklusive signaturbevisen, vilket ITfoxtec AD FS Audit hanterar.

Företagsnamnet ITfoxtec har ändrats till FoxIDs men komponenterna kommer tills vidare att behålla ITfoxtec namnet som en del av komponentnamnet.

Stödda SAML 2.0 bindings mot Claims Provider (NemLog-in):

  • Login request (AuthnRequest) över redirect binding
  • Login response (Assertion) över post binding
  • Logout request (LogoutRequest) över redirect binding
  • Logout response (LogoutResponse) över post binding

Stödda SAML 2.0 bindings mot Relying Parties:

  • Login request (AuthnRequest) över redirect binding
  • Login response (Assertion) över post binding
  • Logout request (LogoutRequest) över redirect och post binding
  • Logout response (LogoutResponse) över redirect och post binding

ITfoxtec AD FS Audit

ITfoxtec AD FS Audit stödjer Microsoft AD FS från version 3.0 (Windows Server 2012 R2).

När FoxIDs är relevant

Använd ITfoxtec AD FS Audit när du behöver NemLog-in kompatibel SAML loggning i en befintlig AD FS farm. FoxIDs är relevant när du också behöver en modern identitetsplattform för migrering, federation eller gradvis ersättning av AD FS.

  • Planera migrering från AD FS till OpenID Connect och SAML 2.0 tjänster
  • Lägg till modern federation, externa identiteter och hostad drift
  • Få hjälp med arkitektur, migrering och betald teknisk support
FoxIDs dokumentation Prata med en expert Kom igång gratis

ITfoxtec AD FS Audit loggning

ITfoxtec AD FS Audit loggar till Application ("Windows Logs/Application") i Event Log med log source: "AD FS, ITfoxtec Auditing".

Loggningsdetaljerna finns under detaljfliken.

Event id Text
211 "Received, SAML GET Request" eller "Received, SAML Authn Request"
212 "Send, SAML GET Request" eller "Send, SAML Authn Request"
221 "Send/Received, SAML Assertion"
222 "Received, Validating SAML Assertion"
231 "Send/Received, SAML Logout Request"
232 "Send/Received, SAML Logout Response"
233 "Send/Received, SAML Logout Response"
234 "Received, SAML Logout Response"
235 "Received, SAML Logout Request"
236 "Received, SAML Logout Request"
237 "Send, SAML Logout Request"

Installation av ITfoxtec AD FS Audit

ITfoxtec AD FS Audit installeras på AD FS servern genom att skapa en eventlog source, placera en DLL i AD FS mappen på servern och konfigurera ITfoxtec AD FS Audit i AD FS konfigurationsfilen. Installationen utförs i en AD FS farm på alla AD FS servrar.

Notera: Det är bara nödvändigt att skapa en Event Log source första gången ITfoxtec AD FS Audit installeras. Vid första installationen är det inte nödvändigt att starta och stoppa AD FS servicen, detta behövs bara vid uppdateringar.


1) Skapa en Event Log source

En Event Log source med namnet "AD FS, ITfoxtec Auditing" skapas under Application loggen.

Kör följande i en CMD med administrativa rättigheter: ITfoxtec.CreateAuditingEventSource.exe
En testloggning skapas i Event Log, som kan verifieras.


2) Stoppa AD FS servicen

Stoppa Active Directory Federation Services servicen. Till exempel med kommandot: "net stop adfssrv"


3) Placera ITfoxtec AD FS Audit DLL i AD FS mappen

Kopiera filen "ITfoxtec.AdfsAuditing.dll" till mappen "C:\Windows\ADFS".


4) Konfigurera ITfoxtec AD FS Audit

ITfoxtec AD FS Audit konfigurationen läggs till under "system.diagnostics" elementet i AD FS konfigurationsfilen: "C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config"

ITfoxtec AD FS Audit konfigurationen läggs till under "system.diagnostics" elementet i AD FS konfigurationsfilen "Microsoft.IdentityServer.Servicehost.exe.config" i mappen "C:\Windows\ADFS".

Original AD FS 3.0 "system.diagnostics" elementet:

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Off">
<listeners>
<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit konfigureras i "system.diagnostics" elementet. Konfigurationen är markerad med gul: 

<system.diagnostics>
<sources>
<source name="Microsoft.IdentityModel" switchValue="Verbose">
<listeners>
<add name="EventLogIdentityModelListener" type="ITfoxtec.AdfsAuditing.EventLogIdentityModelListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
<!--<add name="ADFSWifListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wif" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />-->
</listeners>
</source>
<source name="System.Net.HttpListener" tracemode="protocolonly" maxdatasize="10000" switchValue="Verbose">
<listeners>
<add name="EventLogHttpListener" type="ITfoxtec.AdfsAuditing.EventLogHttpListener, ITfoxtec.AdfsAuditing, Version=1.0.0.0, Culture=neutral, PublicKeyToken=b2673fdcc9b2bfae" />
</listeners>
</source>
<source name="System.ServiceModel" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
<source name="System.ServiceModel.MessageLogging" switchValue="Off">
<listeners>
<add name="ADFSWcfListener" traceOutputOptions="ProcessId,ThreadId" initializeData="Wcf" type="Microsoft.IdentityServer.Diagnostics.ADFSTraceListener,Microsoft.IdentityServer.Diagnostics,Version=6.3.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=MSIL" />
</listeners>
</source>
</sources>
<trace autoflush="true" ></trace>
</system.diagnostics>

ITfoxtec AD FS Audit konfigurationen som text fil.


5) Starta AD FS servicen

Starta Active Directory Federation Services servicen. Till exempel med kommandot: "net start adfssrv"

Din integritet

Din integritet

Vi använder cookies för att göra din upplevelse av våra webbplatser bättre. Klicka på 'Acceptera alla cookies' för att godkänna användningen av cookies. För att avstå från icke-nödvändiga cookies, klicka på 'Endast nödvändiga cookies'.

Besök vår integritetspolicy för mer