Hej Kort instruktion för uppdatering av ADFSToolkit, för mer detaljer se: https://github.com/fedtools/adfstoolkit/blob/master/doc/upgrade.md Vi ska uppdatera informationen på SWAMIDS Wiki Backa upp konfigurationskatalogen C:\ADFSToolkit\config Inaktivera konfigurationsfilerna med: Disable-ADFSTkInstitutionConfiguration – välj fil som ska disablas ##### Instruktioner From version 2.0.0 -> 2.2.1 (current) P.g.a nytt signeringscert måste du avinstallera/installera modulen istället för update-module .... Uninstall-Module ADFSToolkit -AllVersions Install-module ADFSToolkit Starta om powershell #### Om befintlig modul är from. 2.1.0 räcker det med: Update-Module ADFSToolkit Starta om powershell Hämta senaste defaultfilerna för SWAMID Get-ADFSTkFederationDefaults -URL https://mds.swamid.se/md/SWAMID_FederationDefaults.zip -InstallDefaults Kör uppdateringen av konfig: Update-ADFSTkInstitutionConfiguration Konfigurera inställningarna för pairwiseid och subject-id, vilket attribut som ska användas. c:\ADFSToolkit\Config\Institution\config.SWAMID.xml Exempel: <attribute type="urn:oasis:names:tc:SAML:attribute:pairwise-id" store="Active Directory" name="någon befintlig unik identifierare"> <transformvalue adfstkstorefunction="pairwiseid" /> </attribute> <attribute type="urn:oasis:names:tc:SAML:attribute:subject-id" store="Active Directory" name="samaccountname"> <transformvalue adfstkstorefunction="subjectid" /> </attribute> Installera ADFSTkStore på samtliga maskiner, användaren som kör tjänsten måste vara local admin (Ska fixas i nästa release) På första maskinen ska ett SALT sättas, säkerhetskopiera det genererade/angivna så att det går att återställa vid behov Aktivera konfigurationsfil(erna config.SWAMID.xml) Enable-ADFSTkInstitutionConfiguration – välj fil som ska enablas Klart! /Tommy och Johan From: Anders Persson via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; Sent: den 13 december 2022 12:05 To: saml-admins(a)SWAMID.SE Subject: [Saml-admins] ADFSToolkit 2.2.1 Hej Jag har problem efter uppdatering till ADFS toolkit 2.2.1. Den kan ju släppa det nya attributet ”pairwise-id” men det nyttjar ett AD attribut norEduPersonLIN som vi inte har enligt nedan <attribute type="urn:oasis:names:tc:SAML:attribute:pairwise-id" name="norEduPersonLIN" store="Active Directory"><file:///C:/ADFSToolkit/config/institution/config.SWAMID.xml><transformvalue adfstkstorefunction="pairwiseid"/></attribute> Vi borde kunna använda något annat unikt som tex objectGUID eller? Jag har också problem på en av två servrar att den klagar på att ADFSTkStore inte är registrerad. Jag får tre event i ADFS eventlog enligt följande: EventID 111 ------------- The Federation Service encountered an error while processing the WS-Trust request. Request type: http://schemas.microsoft.com/idfx/requesttype/issue<https://eur01.safeli… Additional Data Exception details: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Attribute store 'ADFSTkStore' is not configured. at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result) at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims) EventID 303 The Federation Service encountered an error while processing the SAML authentication request. Additional Data Exception details: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Attribute store 'ADFSTkStore' is not configured. at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result) at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested) EventID 365 ------------- Encountered error during federation passive request. Additional Data Protocol Name: Saml Relying Party: https://service.projectplace.com/saml/metadata.xml<https://eur01.safelin… Exception details: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Attribute store 'ADFSTkStore' is not configured. at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result) at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context) at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler) at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context) Ovan har jag enbart set på den sekundära server. Allt verkar ok, dll finns i c:\windows\adfs och PS C:\Windows\system32> Get-ADFSTkStore ADFSTkStore IS installed! Installed Dll version is: 1.0.0.0 Dll version included in ADFSToolkit is: 1.0.0.0 PS C:\Windows\system32> Mvh Anders Persson Systemarkitekt Ekonomi och verksamhetsstöd - EoV IT D: +46 10 516 56 48 |  V: +46 10 516 50 00 anders.persson@ri.se<mailto:anders.persson@ri.se> RISE Research Institutes of Sweden | ri.se<https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fr… Brinellgatan 4 | Box 857, SE-501 15 Borås