Améliorations de l’audit apportées à AD FS dans Windows Server 2016
Actuellement, dans AD FS pour Windows Server 2012 R2, un grand nombre d’événements d’audit étaient générés pour une demande unique, et les informations pertinentes sur une activité de connexion ou d’émission de jetons étaient soit absentes (dans certaines versions d’AD FS), soit réparties sur plusieurs événements d’audit. Par défaut, les événements d’audit AD FS sont désactivés en raison de leur nature détaillée.
Avec la publication d’AD FS dans Windows Server 2016, l’audit est plus rationalisé et moins détaillé.
Niveaux d’audit dans AD FS pour Windows Server 2016
Par défaut, l’audit de base est activé pour AD FS dans Windows Server 2016. Avec l’audit de base, les administrateurs voient 5 événements ou moins pour une requête unique. Cela marque une diminution significative du nombre d’événements que les administrateurs doivent examiner pour voir une seule requête. Le niveau d’audit peut être augmenté ou abaissé à l’aide de l’applet de commande PowerShell : Set-AdfsProperties -AuditLevel. Le tableau ci-dessous décrit les niveaux d’audit disponibles.
| Niveau d'audit | Syntaxe PowerShell | Description |
|---|---|---|
| None | Set-AdfsProperties- AuditLevel : Aucun | L’audit est désactivé et aucun événement n’est enregistré. |
| De base (par défaut) | Set-AdfsProperties - AuditLevel : De base | Pas plus de 5 événements sont consignés pour une requête unique |
| Commentaires | Set-AdfsProperties - AuditLevel : Commentaires | Tous les événements sont consignés. Cela permet de consigner une quantité importante d’informations par requête. |
Pour afficher le niveau d’audit actuel, vous pouvez utiliser la commande PowerShell Get-AdfsProperties.
Le niveau d’audit peut être augmenté ou abaissé à l’aide de l’applet de commande PowerShell : Set-AdfsProperties -AuditLevel.
Types d’événements d’audit
Les événements d’audit AD FS peuvent être de types différents, en fonction des différents types de demandes traitées par AD FS. Chaque type d’événement d’audit est associé à des données spécifiques. Le type d’événement d’audit peut être différencié entre les demandes de connexion (comme les demandes de jeton) et les demandes système (appels serveur-serveur, y compris la récupération des informations de configuration).
Le tableau ci-dessous décrit les types d’événements d’audit de base.
| Type d’événement d’audit | ID de l’événement | Description |
|---|---|---|
| Réussite de la validation des informations d’identification | 1202 | Requête dans laquelle les nouvelles informations d’identification sont validées avec succès par le service de fédération. Cela inclut WS-Trust, WS-Federation, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth. |
| Erreur de validation des informations d’identification nouvelles | 1203 | Demande dans laquelle la validation des informations d’identification a échoué sur le service de fédération. Cela inclut WS-Trust, WS-Fed, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth. |
| Réussite du jeton d’application | 1200 | Requête dans laquelle un jeton de sécurité est émis avec succès par le service de fédération. Pour WS-Federation, SAML-P, cette opération est enregistrée lorsque la demande est traitée avec l’artefact SSO. (par exemple, le cookie d’authentification unique). |
| Échec du jeton d’application | 1201 | Requête dans laquelle l’émission de jeton de sécurité a échoué sur le service de fédération. Pour WS-Federation, SAML-P, cette opération est enregistrée lorsque la demande a été traitée avec l’artefact d’authentification unique. (par exemple, le cookie d’authentification unique). |
| Réussite de la demande de modification de mot de passe | 1204 | Transaction dans laquelle la demande de modification de mot de passe a été traitée avec succès par le service de fédération. |
| Erreur de demande de modification du mot de passe | 1205 | Transaction dans laquelle la demande de modification de mot de passe n’a pas pu être traitée par le service de fédération. |
| Réussite de la déconnexion | 1206 | Décrit une demande de déconnexion réussie. |
| Échec de déconnexion | 1207 | Décrit une demande de déconnexion ayant échoué. |