Mejoras de auditorías para AD FS en Windows Server 2016
Actualmente, en AD FS para Windows Server 2012 R2, se generan muchos eventos de auditoría para una única solicitud y falta información pertinente sobre una actividad de inicio de sesión o de emisión de tokens (en algunas versiones de AD FS) o se reparte entre varios eventos de auditoría. De forma predeterminada, se desactivan los eventos de auditoría de AD FS debido a su naturaleza detallada.
Con el lanzamiento de AD FS en Windows Server 2016, la auditoría se ha vuelto más ágil y menos detallada.
Niveles de auditoría en AD FS para Windows Server 2016
De manera predeterminada, AD FS en Windows Server 2016 tiene habilitada la auditoría básica. Con la auditoría básica, los administradores pueden ver cinco eventos o menos para una única solicitud. Esto supone una disminución significativa del número de eventos que los administradores tienen que mirar para ver una sola solicitud. El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel. En la tabla siguiente se explican los niveles de auditoría disponibles.
| Nivel de auditoría | Sintaxis de PowerShell | Descripción |
|---|---|---|
| None | Set-AdfsProperties - AuditLevel None | La auditoría está deshabilitada y no se registrará ningún evento. |
| Básico (predeterminado) | Set-AdfsProperties - AuditLevel Basic | No se registrarán más de cinco eventos para una única solicitud. |
| Verbose | Set-AdfsProperties - AuditLevel Verbose | Se registrarán todos los eventos. Este registrará una cantidad significativa de información por solicitud. |
Para ver el nivel de auditoría actual, puede usar el cmdlet de PowerShell: Get-AdfsProperties.
El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel.
Tipos de eventos de auditoría
Los eventos de auditoría de AD FS pueden ser de diferentes tipos, en función de los distintos tipos de solicitudes procesadas por AD FS. Cada tipo de evento de auditoría tiene datos específicos asociados. Se pueden distinguir dos tipos de eventos de auditoría: solicitudes de inicio de sesión (como las solicitudes de token) y solicitudes del sistema (llamadas servidor-servidor, incluida la obtención de información de configuración).
En la tabla siguiente se describen los tipos básicos de eventos de auditoría.
| Tipo de evento de auditoría | Id. de evento | Descripción |
|---|---|---|
| Validación de credenciales nuevas, correcto | 1202 | Solicitud en la que el servicio de federación valida correctamente las credenciales nuevas. Esto incluye WS-Trust, WS-Federation, SAML-P (primera etapa para generar el inicio de sesión único) y OAuth Authorize Endpoints. |
| Validación de credenciales nuevas, error | 1203 | Solicitud en la que se produjo un error en la validación de credenciales nuevas en el servicio de federación. Esto incluye WS-Trust, WS-Fed, SAML-P (primera etapa para generar el inicio de sesión único) y OAuth Authorize Endpoints. |
| Token de aplicación, correcto | 1200 | Solicitud en la que el servicio de federación emite correctamente un token de seguridad. Para WS-Federation, SAML-P se registra cuando la solicitud se procesa con el artefacto de inicio de sesión único. (por ejemplo, la cookie de inicio de sesión único). |
| Token de aplicación, error | 1201 | Solicitud en la que se produjo un error en la emisión de tokens de seguridad en el servicio de federación. Para WS-Federation, SAML-P se registra cuando la solicitud se procesó con el artefacto de inicio de sesión único. (por ejemplo, la cookie de inicio de sesión único). |
| Solicitud de cambio de contraseña, correcto | 1204 | Transacción en la que el servicio de federación procesó correctamente la solicitud de cambio de contraseña. |
| Solicitud de cambio de contraseña, error | 1205 | Transacción en la que el servicio de federación no pudo procesar la solicitud de cambio de contraseña. |
| Cierre de sesión, correcto | 1206 | Describe una solicitud de cierre de sesión correcta. |
| Cierre de sesión, error | 1207 | Describe una solicitud de cierre de sesión con errores. |