Mejoras de auditorías para AD FS en Windows Server 2016
Actualmente, en AD FS para Windows Server 2012 R2 hay numerosos eventos de auditoría generados para una única solicitud y la información pertinente sobre una actividad de emisión de tokens o de inicio de sesión no está presente (en algunas versiones de AD FS) o se distribuye entre varios eventos de auditoría. De forma predeterminada, se desactivan los eventos de auditoría de AD FS debido a su naturaleza detallada.
Con el lanzamiento de AD FS en Windows Server 2016, la auditoría se ha simplificado y menos detallada.
Niveles de auditoría en AD FS para Windows Server 2016
De forma predeterminada, AD FS en Windows Server 2016 tiene habilitada la auditoría básica. Con la auditoría básica, los administradores verán 5 o menos eventos para una sola solicitud. Esto marca una disminución significativa del número de eventos que los administradores tienen que examinar para ver una única solicitud. El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel. En la tabla siguiente se explican los niveles de auditoría disponibles.
| Nivel de auditoría | Sintaxis de PowerShell | Descripción |
|---|---|---|
| None | Set-AdfsProperties- AuditLevel None | La auditoría está deshabilitada y no se registrará ningún evento. |
| Básico (predeterminado) | Set-AdfsProperties: AuditLevel Basic | No se registrarán más de cinco eventos para una única solicitud. |
| Verbose | Set-AdfsProperties: auditLevel detallado | Se registrarán todos los eventos. Este registrará una cantidad significativa de información por solicitud. |
Para ver el nivel de auditoría actual, puede usar el cmdlet de PowerShell: Get-AdfsProperties.
El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel.
Tipos de eventos de auditoría
Los eventos de auditoría de AD FS pueden ser de diferentes tipos, en función de los distintos tipos de solicitudes procesadas por AD FS. Cada tipo de evento de auditoría tiene datos específicos asociados. El tipo de eventos de auditoría se puede diferenciar entre las solicitudes de inicio de sesión (es decir, las solicitudes de token) frente a las solicitudes del sistema (llamadas de servidor-servidor, incluida la captura de información de configuración).
En la tabla siguiente se describen los tipos básicos de eventos de auditoría.
| Audit (tipo de evento) | Id. de evento | Descripción |
|---|---|---|
| Actualización correcta de la validación de credenciales | 1202 | Solicitud en la que el Servicio de federación valida correctamente las credenciales nuevas. Esto incluye WS-Trust, WS-Federation, SAML-P (primera etapa para generar SSO) y OAuth Authorize Endpoints. |
| Error de validación de credenciales nuevas | 1203 | Solicitud en la que se produjo un error de validación de credenciales nueva en el servicio de federación. Esto incluye WS-Trust, WS-Fed, SAML-P (primera etapa para generar SSO) y puntos de conexión de autorización de OAuth. |
| Token de aplicación correcto | 1200 | Solicitud en la que el servicio de federación emite correctamente un token de seguridad. Para WS-Federation, SAML-P se registra cuando la solicitud se procesa con el artefacto de SSO. (por ejemplo, la cookie de SSO). |
| Error del token de aplicación | 1201 | Solicitud en la que se produjo un error en la emisión de tokens de seguridad en el servicio de federación. Para WS-Federation, SAML-P se registra cuando la solicitud se procesó con el artefacto de SSO. (por ejemplo, la cookie de SSO). |
| Solicitud de cambio de contraseña correcta | 1204 | Transacción en la que el Servicio de federación procesó correctamente la solicitud de cambio de contraseña. |
| Error de solicitud de cambio de contraseña | 1205 | Transacción en la que el Servicio de federación no pudo procesar la solicitud de cambio de contraseña. |
| Cerrar sesión correctamente | 1206 | Describe una solicitud de cierre de sesión correcta. |
| Error de cierre de sesión | 1207 | Describe una solicitud de cierre de sesión con errores. |