Condividi tramite


Miglioramenti del controllo di AD FS in Windows Server 2016

Attualmente, in AD FS per Windows Server 2012 R2 sono stati generati numerosi eventi di controllo per una singola richiesta e le informazioni pertinenti su un'attività di rilascio di log o token sono assenti (in alcune versioni di AD FS) o distribuite tra più eventi di controllo. Per impostazione predefinita, gli eventi di controllo di AD FS vengono disattivati a causa della loro natura dettagliata.

Con il rilascio di AD FS in Windows Server 2016, il controllo è diventato più semplificato e meno dettagliato.

Livelli di controllo in AD FS per Windows Server 2016

Per impostazione predefinita, AD FS in Windows Server 2016 ha abilitato il controllo di base. Con il controllo di base, gli amministratori vedranno 5 o meno eventi per una singola richiesta. Questo contrassegna una diminuzione significativa del numero di eventi che gli amministratori devono esaminare per visualizzare una singola richiesta. Il livello di controllo può essere elevato o abbassato usando il cmdlet di PowerShell: Set-AdfsProperties -AuditLevel. La tabella seguente illustra i livelli di controllo disponibili.

Livello di controllo Sintassi di PowerShell Descrizione
Nessuno Set-AdfsProperties - AuditLevel Nessuno Il controllo è disabilitato e non verrà registrato alcun evento.
Basic (impostazione predefinita) Set-AdfsProperties - Livello di Audit Base Non verranno registrati più di 5 eventi per una singola richiesta
Verbose Set-AdfsProperties - AuditLevel Verbose Tutti gli eventi verranno registrati. In questo modo si registra una quantità significativa di informazioni per ogni richiesta.

Per visualizzare il livello di controllo corrente, è possibile usare il cmdlet di PowerShell Get-AdfsProperties.

Screenshot che mostra come usare il cmdlet Get-AdfsProperties.

Il livello di controllo può essere elevato o abbassato usando il cmdlet di PowerShell: Set-AdfsProperties -AuditLevel.

miglioramenti del controllo

Tipi di eventi di controllo

Gli eventi di controllo di AD FS possono essere di tipi diversi, in base ai diversi tipi di richieste elaborate da AD FS. A ogni tipo di evento di controllo sono associati dati specifici. Il tipo di eventi di controllo può essere distinto tra richieste di accesso (ad esempio, richieste di token) e richieste di sistema (chiamate server-server, incluso il recupero delle informazioni di configurazione).

La tabella seguente descrive i tipi di base di eventi di controllo.

Tipo di evento di revisione ID evento Descrizione
Convalida delle nuove credenziali riuscita 1202 Richiesta in cui le credenziali nuove vengono convalidate correttamente dal servizio federativo. Sono inclusi WS-Trust, WS-Federation, SAML-P (prima fase per generare l'accesso SSO) e gli endpoint di autorizzazione OAuth.
Errore di convalida delle credenziali aggiornato 1203 Richiesta in cui la convalida delle credenziali nuove non è riuscita nel servizio federativo. Sono inclusi WS-Trust, WS-Fed, SAML-P (prima fase per generare l'accesso SSO) e gli endpoint di autorizzazione OAuth.
Operazione riuscita del token dell'applicazione 1200 Richiesta in cui un token di sicurezza viene emesso correttamente dal servizio federativo. Per WS-Federation, SAML-P questo viene registrato quando la richiesta viene elaborata con l'artefatto SSO. (ad esempio, il cookie SSO).
Errore del token dell'applicazione 1201 Richiesta in cui il rilascio del token di sicurezza non è riuscito nel servizio federativo. Per WS-Federation, SAML-P, questo viene registrato quando la richiesta è stata elaborata utilizzando l'artefatto SSO. (ad esempio, il cookie SSO).
Richiesta di modifica della password completata 1204 Transazione in cui la richiesta di modifica della password è stata elaborata correttamente dal servizio federativo.
Errore di richiesta di modifica della password 1205 Transazione in cui la richiesta di modifica della password non è riuscita a essere elaborata dal servizio federativo.
Disconnessione riuscita 1206 Descrive una richiesta di disconnessione riuscita.
Errore di disconnessione 1207 Descrive una richiesta di disconnessione non riuscita.