Hej
Kort instruktion för uppdatering av ADFSToolkit, för mer detaljer se:
https://github.com/fedtools/adfstoolkit/blob/master/doc/upgrade.md
Vi ska uppdatera informationen på SWAMIDS Wiki
Backa upp konfigurationskatalogen C:\ADFSToolkit\config
Inaktivera konfigurationsfilerna med:
Disable-ADFSTkInstitutionConfiguration – välj fil som ska disablas
##### Instruktioner From version 2.0.0 -> 2.2.1 (current)
P.g.a nytt signeringscert måste du avinstallera/installera modulen istället för update-module ....
Uninstall-Module ADFSToolkit -AllVersions
Install-module ADFSToolkit
Starta om powershell
#### Om befintlig modul är from. 2.1.0 räcker det med:
Update-Module ADFSToolkit
Starta om powershell
Hämta senaste defaultfilerna för SWAMID
Get-ADFSTkFederationDefaults -URL
https://mds.swamid.se/md/SWAMID_FederationDefaults.zip -InstallDefaults
Kör uppdateringen av konfig:
Update-ADFSTkInstitutionConfiguration
Konfigurera inställningarna för pairwiseid och subject-id, vilket attribut som ska användas. c:\ADFSToolkit\Config\Institution\config.SWAMID.xml
Exempel:
<attribute type="urn:oasis:names:tc:SAML:attribute:pairwise-id" store="Active Directory" name="någon befintlig unik identifierare">
<transformvalue adfstkstorefunction="pairwiseid" />
</attribute>
<attribute type="urn:oasis:names:tc:SAML:attribute:subject-id" store="Active Directory" name="samaccountname">
<transformvalue adfstkstorefunction="subjectid" />
</attribute>
Installera ADFSTkStore på samtliga maskiner, användaren som kör tjänsten måste vara local admin (Ska fixas i nästa release)
På första maskinen ska ett SALT sättas, säkerhetskopiera det genererade/angivna så att det går att återställa vid behov
Aktivera konfigurationsfil(erna config.SWAMID.xml)
Enable-ADFSTkInstitutionConfiguration – välj fil som ska enablas
Klart!
/Tommy och Johan
From: Anders Persson via Saml-admins <saml-admins@lists.sunet.se>
Sent: den 13 december 2022 12:05
To: saml-admins@SWAMID.SE
Subject: [Saml-admins] ADFSToolkit 2.2.1
Hej
Jag har problem efter uppdatering till ADFS toolkit 2.2.1. Den kan ju släppa det nya attributet ”pairwise-id” men det nyttjar ett AD attribut norEduPersonLIN som vi inte har enligt nedan
<attribute
type="urn:oasis:names:tc:SAML:attribute:pairwise-id"
name="norEduPersonLIN"
store="Active Directory"><transformvalue
adfstkstorefunction="pairwiseid"/></attribute>
Vi borde kunna använda något annat unikt som tex objectGUID eller?
Jag har också problem på en av två servrar att den klagar på att ADFSTkStore inte är registrerad. Jag får tre event i ADFS eventlog enligt följande:
EventID 111
-------------
The Federation Service encountered an error while processing the WS-Trust request.
Request type:
http://schemas.microsoft.com/idfx/requesttype/issue
Additional Data
Exception details:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017:
Attribute store 'ADFSTkStore' is not configured.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet,
List`1 additionalClaims)
EventID 303
The Federation Service encountered an error while processing the SAML authentication request.
Additional Data
Exception details:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017:
Attribute store 'ADFSTkStore' is not configured.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet,
List`1 additionalClaims)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement
onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
EventID 365
-------------
Encountered error during federation passive request.
Additional Data
Protocol Name:
Saml
Relying Party:
https://service.projectplace.com/saml/metadata.xml
Exception details:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017:
Attribute store 'ADFSTkStore' is not configured.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet,
List`1 additionalClaims)
at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement
onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage
httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage
httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context,
SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler
protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
Ovan har jag enbart set på den sekundära server. Allt verkar ok, dll finns i c:\windows\adfs och
PS C:\Windows\system32> Get-ADFSTkStore
ADFSTkStore IS installed!
Installed Dll version is: 1.0.0.0
Dll version included in ADFSToolkit is: 1.0.0.0
PS C:\Windows\system32>
Mvh
|
Anders Persson Systemarkitekt Ekonomi och verksamhetsstöd - EoV IT D: +46 10 516 56 48 | V:
+46 10 516 50 00 RISE Research Institutes of Sweden | ri.se Brinellgatan 4 | Box 857, SE-501 15 Borås |
|||||||||