Un nouveau blog en français qui vient de démarrer sur le thème au combien important de l’interopérabilité. Sylvain Girod qui est l’auteur de ce blog est un consultant spécialiste de cette thématique et qui conduit de nombreux projets de kerberisation, d’intégration LDAP ou SAMBA et surtout de Fédération d’Identité.
Les premiers articles du blog abordent les thématiques autour des nouvelles fonctions de SAMBA et du support des distributions Linux sur Hyper-V.
MacWindows.com est un des sites de référence en terme de gestion de l’interopérabilité entre le monde Apple et Microsoft. L’arrivée de Lion apporte un nombre de bugs et de facteurs d’instabilité très important en ce qui concerne la connexion à des serveurs NAS ou la connexion à Active Directory. C’est pourquoi le blog MacWindows consacre une part très importante des derniers posts sur les différents trucs et astuces pour corriger ou contourner ces problèmes de connexion survenus depuis la sortie du dernier OS d’Apple. En effet, de nombreuses organisations utilisant le plug-in d’authentification à Active Directory découvrent des problèmes récurrents alors inconnus avec les versions précédentes. Les causes réelles de ces dysfonctionnements ne sont pas clairement expliquées par Apple, qui préfère annoncer pour l’instant des patchs pour les semaines à venir, sans garantir le support du fonctionnement tel que connu avant Lion. Si vous administrez du Lion sur votre réseau, je vous invite donc à regarder sur MacWindows.com si il n’y a pas quelques réponses à vos questions existentielles.
Une étude extrêmement intéressante a été réalisée par Rodney Ruddock, consultant au sein de la société Interop Systems, qui est un cabinet d’expertise Américain spécialisé dans les études de marché techniques en ce concerne les problématiques d’interopérabilité.
Cette excellente étude compare les différentes solutions logicielles gratuites permettant d’intégrer les systèmes Unix, Linux et Mac dans Active Directory, et qui permettent aux organisations d’utiliser Active Directory comme annuaire centralisant pour les authentifications des utilisateurs quel que soit le système utilisé. cette approche apportant de nombreux avantages tels que: unicité du nom utilisateur et du mot passe utilisateur sur l’ensemble des systèmes, centralisation des logs d’authentification sur les contrôleurs de domaine AD, stratégie de politique et de complexité de mot de passe unifiée sur l’ensemble des systèmes, etc.
En substance, voila les conclusions de Rodney Ruddock dans le tableau suivant, les cases en jaune indiquant les éléments significatifs et importants selon Rodney Ruddock:
Rodney Ruddock préconisant donc Centrify Express comme la solution idéale pour l’intégration gratuite des environnements hétérogènes dans Active Directory.
Centrify propose maintenant une version gratuite permettant de déployer et gérer l’intégration des environnement Mac, Linux et Unix dans Active Directory.
Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.
Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !
Rappelons que parallèlement aux nouvelles versions, la compatibilité du système de fédération Shibboleth s’étend progressivement avec les applications du marché et Open Source.
Microsoft a annoncé la mise à disposition en CTP de l’extension WIF pour le protocole SAML 2.0. Cette extension WIF permet aux développeurs .NET pour créer des applications capables de consommer des « Claims » SP-Lite construits sur SAML 2.0.
Si l’on essaie de lire entre les lignes, il y a fort à parier que cette annonce prépare le support pour d’autres technologies que la technologie WS-Fed pour les application Microsoft, et bien sur pour Azure. Nous pouvons même imaginer que cela puisse être vrai pour les applications en ligne dans le Cloud Microsoft (Office 365 for ever). Cela pourrait signifier qu’il serait possible à terme de réaliser du SSO vers Office 365 via des technologies de fédération différentes de ADFS 2.0 (tant que la technologie utilisée est capable de faire de la fédération en mode Web et en mode client lourd, ce qui n’est pas le cas de Shibboleth mais qui est le cas d’ADFS).
Bref, ça bouge chez Microsoft en ce qui concerne la Fédération, et cela est très bon signe pour l’interopérabilité.
Depuis plusieurs années Microsoft travaille très activement dans le domaine de l’interopérabilité, tant sur la partie standard de document, sur les domaines des plateformes de développement (PHP) ou même sur la partie système (kerberos, LDAP, etc…). Si vous êtes sensible à ces éléments, il est à noter un site Microsoft extrêmement intéressant www.interoperabilitybridges.com qui traite de cette thématique.
Ce site web est dédié au travail collaboratif lié à l’interopérabilité entre les technologies Microsoft et les technologies non-Microsoft. Ce site est est géré par le groupe « Interoperability Strategy Group » de Microsoft. Le blog de l’équipe étant lui accessible à cette adresse: http://blogs.msdn.com/b/interoperability/
De plus, je vous invite fortement à suivre le porteur du message interopérabilité Microsoft en France http://twitter.com/#!/Alfonso_Castro pour vous informer au quotidien sur ces notions stratégiques et techniques.
Oracle organise le 31 mai prochain à San Francisco les rencontres « OpenSSO Community Day » permettant de fédérer les acteurs communautaire autour des technologies:
Pour être honnête, la communauté Open Source dans le monde de l’IAM a été quelque peu orpheline après le rachat de SUN par Oracle, et je ne suis pas sur que cette journée dédiée à OpenSSO représente la résurrection massive des projets Open Source chez Oracle.
Dans l’intervalle, et si vous n’avez pas la possibilité de vous rendre à SF pour cet évènement, je vous conseille de surveiller les posts sur le « OpenSSO Ressource Center« . L’activité n’est pas très soutenue, mais bon, nous pouvons rêver à un redémarrage du projet.
Au niveau des projets dits « open » chez SUN, je regrette tout particulièrement le projet OpenDS, qui est en perte de vitesse (à l’arrêt ?) depuis le rachat de SUN par ORACLE, et cela est bien dommage… techniquement innovant, animé par une équipe SUN motivée, ce projet aurait pu devenir une référence, même dans le monde des entreprises… espérons que le projet puisse continuer, sous une forme ou sous une autre…
Apparu il y a quelques mois en version 1.0, la suite freeIPA est passée totalement inaperçue dans le monde de la gestion des identités et des accès. Et pourtant, la version 2.0 (pour l’instant en beta) propose une liste de fonctions qui rappelle fortement ce que propose Microsoft au travers d’Active Directory:
Service LDAP (anciennement Fedora Directory Server)
Service MIT Kerberos
Service NTP
Service DNS
Service d’autorité de certification
Interface d’administration en mode web ou en ligne de commandes
Gestion des comptes utilisateurs et des groupes
Avouez que la ressemblance est troublante…
J’ai pour habitude de dire qu’Active Directory, c’est trois éléments: [1] Un service LDAP [2] Un service Kerberos [3] Un ensemble d’autres choses… Le tout proposé avec des outils d’administration et de gestion intégrés.
freeIPA 2.0 proposera en Mars 2011 des outils de synchronisation avec Active Directory, à voir la comparaison avec un méta-annuaire.
Mais, le véritable chalenge sera comme souvent l’intégration des clients… Active Directory possède pour l’instant la plus grande couverture fonctionnelle de clients qui puisse exister: Windows, Mac, Unix, Linux, tout est possible ! Il sera donc très important de tester l’intégration des clients lors du test éventuel de freeIPA en version 2.0.
Je suis tombé par hasard sur le site de OneLogin [ www.onelogin.com ] qui propose une offre qui me semble intéressante pour les utilisateurs d’applications hébergées nécessitant une authentification web. Le principe est relativement simple, l’utilisateur se connecte une fois sur la page de OneLogin, et il peut ensuite accéder à toutes les autres applications hébergées. Oui, je sais, ca existe déjà, mais il me semble que le nombre d’applications gérées nativement ( 1200+ ) et l’intégration possible avec un annuaire d’entreprise ( LDAP ou Active Directory ) me semble faire sortir cette offre du lot… A tester. Je suis intéressé par vos tests, retours et commentaires sur le sujet !
Lors d’un projet chez un client, j’ai re-découvert un projet Open Source permettant de réaliser des synchronisations simples en mode point à point entre deux annuaires LDAP ou entre une base de données et un annuaire LDAP. Attention, bien sur ce projet n’est PAS un méta-annuaire, ce n’est QUE de la synchronisation point à point. Néanmoins, sur des besoins de migration ou sur des besoins relativement simplistes de synchronisation, LSC sera une solution adaptée, tant que le client accepte d’utiliser des solutions Open Source sans support officiel autre que les forums de Source Forge.
A noter que la dernière version de LSC intègre des fonctions spécifiques à la gestion des identités et à la connexion avec Active Directory telles que la changement de mot de passe, le statut du compte ou la gestion de l’attribut « last logon ».
Donc malgré ses limitations inhérentes à un modèle de synchronisation point à point, LSC peut rendre des services sur des petits projets IAM ou de migration d’annuaires. Plus d’informations [ ici ]
Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.
Windows Azure AppFabric est le nom d’un service .NET qui ne permet pour l’instant qu’un service de control d’accès simple. La mise à jour du mois d’Aout va grandement améliorer les processus et les fonctionnalités autour de l’authentification et du control d’accès :
Intégration avec Windows Identity Foundation (WIF) et les outils connexes à WIF
Support des fournisseurs d’indentité suivants : Windows Live ID, OpenID, Google, Yahoo et FaceBook
Support d’ADFS 2.0
Support des protocoles OAuth WRAP, WS-Trust et WS-Federation
Support des formats SAML 1.1, SAML 2.0 et Simple Web Token (SWT)
Fonction « Home Realm Discovery » permettant à l’utilisateur final de choisir son fournisseur d’identité
Un service « OData-based Management » permettant un accès via du code à la configuration ACS
Un portail web permettant la configuration en ligne d’ACS
Plus d’information (en anglais) sur cette mise à jour [ ici ]
Voici une vidéo tournée en direct sur MacWorld 2010, en février dernier. Elle montre en quelques minutes comment intégrer un Mac dans un annuaire Active Directory et donc comment avoir GPO, kerberos, SSO, controle d’accès, etc… comme pour un PC sous Windows !
Microsoft met à disposition la Beta 2 de CardSpace 2.0.
Pour rappel, CardSpace est le composant pour que les utilisateurs finaux puissent accéder à des applications dont l’authentification a été développée selon le modèle « Claims ».
Cette vidéo illustre la possibilité d’utiliser Active Directory et l’autorité de certification de Microsoft en tant que briques d’infrastructure centralisatrices pour l’utilisation des carte à puces de type Gemalto .NET dans des environnements mixtes de type Macintosh ou Microsoft. Cette possibilité est fournit grâce à l’utilisation combinée des drivers PKCS#11 et de la solution Centrify DirectControl:
Les sociétés RSA et Courion annoncent leur nouveau partenariat avec notamment la création d’un site dédié: www.identityandaccessassurance.com et la mise à disposition de livres blancs traitants de la gestion des identités et des accès. Les bases de ce partenariat puisent essentiellement leurs racines dans l’intégration de la gestion des tokens RSA directement depuis le portail des gestion des identités et du module de provisionnent proposés par Courion.
Il y a fort à parier que des rapprochements de ce types vont se réaliser dans le futur, avec peut être certains rachats de sociétés afin pour les poids lourds de proposer une offre globale.
Google a annoncé que les utilisateurs des solutions Google Apps pourront s’authentifier sur des applications externes utilisant l’implémentation Google’s OpenID Federated Login API avec leur compte Google Apps.
Google devient ainsi fournisseur de « compte utilisateur » au format OpenID. Pour rappel, OpenID est une technologie SSO sécurisée qui est progressivement adoptée par de nombreux fournisseurs d’application ou de contenu sur Internet ou sur des applications d’entreprise.
Les Groupes Utilisateurs font leur show ! -La Communauté Active Directory et Identity Management -Interopérabilité Windows-Linux-Unix-Mac
L’intéropérabilité ! C’est ce thème d’actualité que traîte la Communauté Active Directory et Identity Management lors de cette web TV dédiée au Groupes Utilisateurs,les experts Sylvain Cortes ( Président de la CADIM ) et Christophe Dubos (Microsoft) en font un tour d’horizon des solutions pour gérer les authentifications et les autorisations des systèmes Unix, Linux et Mac dans Active Directory, tout cela en 17 min ! Profitez de l’expertise de ces deux intervenants !
L’interopérabilité peut se définir de diverses manières. Il est communément admis qu’elle correspond à la capacité des produits et services informatiques disparates à échanger et à utiliser des données. Espérons simplement qu’il ne s’agisse pas que d’un site web mais d’une véritable volonté de l’éditeur de travailler avec des formats ouverts.
De façon très objective, cela semble être le cas, Microsoft semblant redoubler d’efforts pour contenter ses clients dans cette période économique difficile. Cela suffira t-il à pousser notre gendarmerie nationale a quitter OpenOffice pour Office 2010… rien n’est moins sur
Avecto Privilege Guard est une solution qui permet aux entreprises d’adopter le principe du minimum de privilèges rattaché aux utilisateurs.Il n’est en effet plus nécessaire de donner des droits administrateurs aux utilisateurs, alors que ces droits peuvent être donnés dynamiquement aux applications, tâches et scripts.Privilege Guard permet aux utilisateurs […]
Avez-vous déjà entendu parlé de classification documentaire ? Bien souvent cette notion est laissée de coté par les différents intervenants techniques, nous parlons plus volontier de GED, d'Archivage, de DRM, ou même de DLP, mais avons nous conscience que sans la classification des documents et des emails, ces briques technologiques travaillent en Aveug […]
Un nouveau portail (site en anglais) vient de se mettre en place et propose un contenu de référence sur le thème de la biométrie. www.planetbiometrics.com Ce portail semble être promis à un bel avenir, car le contenu, bien que tout jeune est extrèmement bien renseigné et cohérent. […]
La faiblesse des mots de passe sur votre réseau vous inquiète ? je vous conseille la lecture de ce nouvel article IdentityCosmos, a consulter sur http://www.identitycosmos.com/http:/www.identitycosmos.com/non-classe/password-online pour plus d'information. […]
Scriptlogic organise un nouveau Webinar portant sur la gestion des stations de travail dans les environements Active Directory. L'inscription au webinar est ici: http://www.cerberis.com/actualite-webinar-script-logic---solving-desktop-management-challenges-with-desktop-authority--107.html La majeure partie de la présentation portera sur les aspects sécu […]
Forefront UAG 2010 SP1 : Fonctionnalités nouvelles et améliorées de DirectAccess - Support de One-time-password incluant : agent RSA SecurID et le support des solutions OTP tierces partie basés sur RADIUS - Ajout de paramètres optionnels dans chaque étape des scenarios de déploiement avancés - Support du déploiement des GPO DirectAccess sur plusieurs domai […]
Quand la sécurité numérique s’immisce dans la vie quotidienne Les éditeurs du jeu en ligne Star Wars – The Old Republic proposent d’utiliser un token OTP pour sécuriser l’accés à votre compte en ligne lorsque vous jouer. En effet le principe de l’OTP fait que le code généré par le token que vous possédez est […]
Totalement inutile, donc indispensable ! Microsoft propose un Widget pour Visual Studio permettant de débloquer des badges au fur et à mesure d’accomplissements, histoire de prendre Visual Studio pour un jeu Steam Les badges sont rangés dans plusieurs catégories, un pop-up s’affiche dans Visual studio à chaque fois que vous gagnez un nouveau badge et […]
Un livre blanc intéressant pour mieux comprendre les offres de Cloud Privé, ce que présentent ici Microsoft dans un livre blanc publié le mois dernier étant en effet assez simailaire aux offres des autres géants du cloud tels qu’IBM, Oracle ou Amazon. Bonne lecture à tous. Le livre blanc en téléchargement ici : Solutions de […]
Lorsque l’on utilise PowerShell pour créer des objets dans ActiveDirectory, il peut être intéressant dans le cas d’une OU ou d’un container d’appliquer le paramètres de Protection de l’objet des suppressions accidentelles, comme le fait si bien la case à cocher disponible dans la MMC. Bon, une case à cocher c’est très bien, mais quand […]
Lorsque l’on se connecte en SSH sur une machine Linux (ou Unix) pour effectuer des commandes à distance depuis un script ou pour effectuer des tâches administratives, il peut être très intéressant d’éviter d’utiliser une authentification par mot de passes, souvent simplistes. D’autant plus dans le cas de script, ou même lorsque l’on utilise des […]
Voici la suite de mon article sur la création d’une Custom Activity pour FIM 2010. Cette activité a été créé dans la FIMCustomActivityLibrary préparée dans la première partie de ce guide : FIM Custom Activity – Guide de création (partie 1) Un deuxième article montre comment ajouter des activités et écrire le code source de […]
Après le guide sur la fédération d’identité voici le tour des Stratégies de Groupes. Microsoft utilise évidement un grand nombre de GPO en interne pour des besoins diverses et variés, mais comment gérer efficacement des GPO pour un société internationale de cette taille ? Par exemple en suivant un ensemble de bonnes pratiques (et également […]
Si vous vous intéressez de près ou de loin à la fédération d’identité avec ADFS, sachez que la version 2.0 du guide “A Guide to Claims-Based Identity and Access Control” écrit par l’équipe Microsoft Patterns and Practices est disponible en téléchargement sur le site de MS: A Guide to Claims-Based Identity and Access Control Merci […]
La version 2012 de la suite Centrify est disponible depuis fin septembre, j’attendais la version mise à jour pour m’étendre sur le sujet. Voilà l’Update 1 disponible. La Suite 2012 intègre un grand nombre de nouveautés : DirectControl 5.0, DeployManager 2.0, DirectAudit 2.0, etc. Dans les nouveautés les plus attendues, on peut noter les Zones […]
Après FIM 2010, voici SQL Server qui obtient sa publication en RC.Cette version de SQL Server orientée « Cloud » apporte également sont lot de nouvelles fonctionnalités et d’amélioration du moteur. Un effort particulier sur la partie SaaS a été fait. Pour télécharger SQL Server 2012 RC : Download Microsoft SQL Server 2012 Release Candidate Pour en […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3594.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2520954 for a complete list and full description of changes in this release. Notably, this package improves performanc […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3547.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2028634 for a complete list and full description of changes in this release. Notably, this package resolved a issues i […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3558.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2272389 for a complete list and full description of changes in this release. Notably, this package provides a new redu […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3576.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2502631 for a complete list and full description of changes in this release. Notably, this package improves the SQL MA […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3573.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2417774 for a complete list and full description of changes in this release. Notably, this package significantly reduc […]
The AD RMS team recently had some inquiries on behalf of our customers about how to design an AD RMS solution that supports client-side storage of encryption keys and certificates. So we looked into it and now have an update on this topic that was just added to our current AD RMS FAQ on the TechNet Wiki site. Big thanks to Kevin Miller for providing the deta […]
When using the ActiveDirectory Rights Management Services Bulk Protection Tool (http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=11122)with Microsoft Outlook 2007 or 2010 Personal Store (.pst) files, you mayexperience a file truncation problem if Microsoft Outlook is set to process filesasynchronously. To prevent this issue, you can co […]
There is now an Active Directory Rights Management Frequently Asked Questions AD RMS FAQ on the TechNet Wiki. Please, feel free to review, contribute to, and update this FAQ. Great thanks to Enrique Saggese for answering the vast majority of these questions and to Jim Groves for collecting most of those questions, and Brad Mahugh for driving this forward! Th […]
Hello, Alexey here again. Today I want to start the deep diving into client bootstrapping. Client bootstrapping occurs the first time each AD RMS user tries to protect or consume protected content (such as documents or messages) on an AD RMS client computer or device and includes three consecutive steps: Security Processor Certificate (SPC) creation also kn […]
Today I'm acting as a conduit for one of the many AD RMS experts at Microsoft. Thanks to Alexey for sharing his knowledge about the inner workings of RMS! First of all let me introduce myself. My name is Alexey Goldbergs and I’m a Technology Solutions Professional on Security from Microsoft Russia. With this blog post I want to start the series which I […]
Service Pack 1 for Microsoft Windows Server 2008 R2 provides a very cool new feature in AD RMS: You can federate with organizations running Microsoft Exchange Server 2010 through the Microsoft Federation Gateway. In case you haven't heard about the Microsoft Federation Gateway, this is how it's described by MSDN (http://msdn.microsoft.com/en-us/lib […]
There's a new article in the TechNet Wiki that explains the purpose of the various reports you can generate in AD RMS: http://social.technet.microsoft.com/wiki/contents/articles/ad-rms-reports.aspx. It's a start, but we've put it in the Wiki so you can share with others how you've found the AD RMS reports useful. […]
The AD RMS setup wizard assumes that the SQL database server you use for the AD RMS configuration and logging databases is listening on the standard SQL TCP port, 1433. If your SQL server is configured to use a different port, this can create problems when you install AD RMS. There are a couple ways to work around this. The first is simply to specify the por […]
As a technical writer assigned the task of creating and maintaining documentation for AD RMS in the TechNet Library (http://technet.microsoft.com/en-us/library/cc771234.aspx), I like to think that our docs are the best place to go to get information about RMS. And in many ways they are: We strive to create a comprehensive set of documents about RMS that have […]
When the RMS v1 SP2 client is installed the following folder is automatically created on the machine: %allusersprofile%\AppData\Microsoft\DRM\Server. This folder is created to allow non-admin users, such as Network Service, to create the folder and licenses in the folder. This information only pertains to organizations running RMS v1, it is not applicabl […]
Previously, Office Integration with SharePoint secured by forms based authentication was not possible. The new ability of the Office client applications in Office 2007 SP2 to perform a forms login helps to solve this problem. You will need to install this post SP2 fix to your client machines to gain this functionality. What is needed in conjunction with i […]
The updated tool can be found here. The attachment contains both 32 and 64 bit installers. A cool new feature - Claim Flow Analysis has been added to this version. I'll write up a quick blog on how to use this feature soon. […]
I'm going on an hour trying to get the screen shots formatted correctly. Live Writer is making them too small. I'll just attach the word document to the end if you want to see the pictures better. I'm done messing around with this for now! If you know what I'm doing wrong - please send me a comment! In this blog, I will discuss the st […]
I am working on a blog post (step-by-step) for the Proxy component and I ran into a problem yesterday that ran me around pretty good. We have seen this issue or variations of it on some support cases recently, so I thought the actual problem itself would make a good post. The problem is caused by permissions to the private key on the Client Authentication C […]
With ADFS - the authentication token issued is good for the web server with the agent installed. It is a local RPC token and cannot go off the box. With some additional configuration, you can configure ADFS to go off the box and delegate with a kerbitized back-end. There are some caveats - namely, a shadow account must exist in the resource forest. If yo […]
More great tools by the ADFS team... Problems with the web.config files are one of the more common issues we see with ADFS/MOSS cases in PSS. Now there is a script with will make the modifications for you. It is located on the SharePoint team blog and can be accessed here. […]
A huge thanks to the ADFS test team for developing such a great tool. Here is a quick "how to" The tool is very simple to use and provides a graphical UI. In order to perform distributed diagnosis, i.e. diagnose failures based on the configuration of multiple machines in the scenario, it’s necessary to copy the out file generated by the tool e […]
====================================================================================== UPDATE: I'm not going to remove this blog or the original blog on the web.config entries - but I do want to make note that these web.config files should not be modified directly anymore. Please use the SetupSharePointADFS.vbs file to configure the MOSS applications […]
We are seeing quite a few support calls relating to certificate problems. Many of these are due to a misunderstanding of how the various certificates are used. ADFS/PKI issues are often very difficult to diagnose for the following reason – a lack of logging telling you what the problem is. For example – if the SSL certificate on your Web Server is incorrec […]