Améliorations de l’audit apportées à AD FS dans Windows Server 2016
Actuellement, dans AD FS pour Windows Server 2012 R2, de nombreux événements d’audit sont générés pour une requête unique et les informations pertinentes relatives à une activité d’émission de jeton ou de connexion sont absentes (dans certaines versions d’AD FS) ou réparties sur plusieurs événements d’audit. Par défaut, les événements d’audit AD FS sont désactivés en raison de leur nature détaillée.
Avec la publication d’AD FS dans Windows Server 2016, l’audit est devenu plus rationalisé et moins détaillé.
Niveaux d’audit dans AD FS pour Windows Server 2016
Par défaut, AD FS dans Windows Server 2016 a activé l’audit de base. Avec l’audit de base, les administrateurs voient 5 événements ou moins pour une requête unique. Cela marque une diminution significative du nombre d’événements que les administrateurs doivent examiner afin de voir une seule requête. Le niveau d’audit peut être déclenché ou réduit à l’aide de l’applet de commande PowerShell : Set-AdfsProperties -AuditLevel. Le tableau ci-dessous décrit les niveaux d’audit disponibles.
| Niveau d’audit | Syntaxe PowerShell | Description |
|---|---|---|
| Aucun | Set-AdfsProperties- AuditLevel : Aucun | L’audit est désactivé et aucun événement n’est enregistré. |
| De base (par défaut) | Set-AdfsProperties - Niveau d'Audit Basique | Plus de 5 événements ne seront enregistrés pour une seule requête. |
| Détaillé | Set-AdfsProperties - AuditLevel : Commentaires | Tous les événements seront enregistrés. Cela consignera une quantité importante d’informations par demande. |
Pour afficher le niveau d’audit actuel, vous pouvez utiliser l’applet de commande PowerShell : Get-AdfsProperties.
Le niveau d’audit peut être déclenché ou réduit à l’aide de l’applet de commande PowerShell : Set-AdfsProperties -AuditLevel.
améliorations de l’audit 
Types d’événements d’audit
Les événements d’audit AD FS peuvent être de différents types, en fonction des différents types de demandes traitées par AD FS. Chaque type d’événement d’audit a des données spécifiques associées. Le type d’événements d’audit peut être différencié entre les demandes de connexion (c’est-à-dire les demandes de jeton) et les demandes système (appels serveur-serveur, y compris l’extraction d’informations de configuration).
Le tableau ci-dessous décrit les types de base d’événements d’audit.
| Type d’événement d’audit | ID d'événement | Description |
|---|---|---|
| Réussite de la validation des informations d’identification | 1202 | Requête dans laquelle les nouvelles informations d’identification sont validées avec succès par le service de fédération. Cela inclut WS-Trust, WS-Federation, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth. |
| Erreur de validation des informations d’identification nouvelles | 03:12 | Demande dans laquelle la validation des informations d’identification a échoué sur le service de fédération. Cela inclut WS-Trust, WS-Fed, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth. |
| Réussite du jeton d’application | 1200 | Requête dans laquelle un jeton de sécurité est émis avec succès par le service de fédération. Pour WS-Federation, SAML-P cette opération est enregistrée lorsque la requête est traitée avec l’artefact de l’authentification unique. (par exemple, le cookie d’authentification unique). |
| Échec du jeton d’application | 1201 | Requête dans laquelle l’émission de jeton de sécurité a échoué sur le service de fédération. Pour WS-Federation, SAML-P cette opération est enregistrée lorsque la requête a été traitée avec l’artefact de l’authentification unique. (par exemple, le cookie d’authentification unique). |
| Réussite de la demande de modification de mot de passe | 1204 | Transaction dans laquelle la demande de modification de mot de passe a été traitée avec succès par le service de fédération. |
| Erreur de demande de modification de mot de passe | 1205 | Transaction où la demande de modification de mot de passe n’a pas pu être traitée par le service de fédération. |
| Réussite de la déconnexion | 1206 | Décrit une demande de déconnexion réussie. |
| Échec de déconnexion | 1207 | Décrit une demande de déconnexion ayant échoué. |