Miglioramenti del controllo di AD FS in Windows Server 2016
Attualmente, in AD FS per Windows Server 2012 R2 sono stati generati numerosi eventi di controllo per una singola richiesta e le informazioni pertinenti su un'attività di rilascio di log o token sono assenti (in alcune versioni di AD FS) o distribuite tra più eventi di controllo. Per impostazione predefinita, gli eventi di controllo di AD FS vengono disattivati a causa della loro natura dettagliata.
Con il rilascio di AD FS in Windows Server 2016, il controllo è diventato più semplificato e meno dettagliato.
Livelli di controllo in AD FS per Windows Server 2016
Per impostazione predefinita, AD FS in Windows Server 2016 ha abilitato il controllo di base. Con il controllo di base, gli amministratori vedranno 5 o meno eventi per una singola richiesta. Questo contrassegna una diminuzione significativa del numero di eventi che gli amministratori devono esaminare per visualizzare una singola richiesta. Il livello di controllo può essere elevato o abbassato usando il cmdlet di PowerShell: Set-AdfsProperties -AuditLevel. La tabella seguente illustra i livelli di controllo disponibili.
| Livello di controllo | Sintassi di PowerShell | Descrizione |
|---|---|---|
| Nessuno | Set-AdfsProperties - AuditLevel Nessuno | Il controllo è disabilitato e non verrà registrato alcun evento. |
| Basic (impostazione predefinita) | Set-AdfsProperties - Livello di Audit Base | Non verranno registrati più di 5 eventi per una singola richiesta |
| Verbose | Set-AdfsProperties - AuditLevel Verbose | Tutti gli eventi verranno registrati. In questo modo si registra una quantità significativa di informazioni per ogni richiesta. |
Per visualizzare il livello di controllo corrente, è possibile usare il cmdlet di PowerShell Get-AdfsProperties.
Il livello di controllo può essere elevato o abbassato usando il cmdlet di PowerShell: Set-AdfsProperties -AuditLevel.
Tipi di eventi di controllo
Gli eventi di controllo di AD FS possono essere di tipi diversi, in base ai diversi tipi di richieste elaborate da AD FS. A ogni tipo di evento di controllo sono associati dati specifici. Il tipo di eventi di controllo può essere distinto tra richieste di accesso (ad esempio, richieste di token) e richieste di sistema (chiamate server-server, incluso il recupero delle informazioni di configurazione).
La tabella seguente descrive i tipi di base di eventi di controllo.
| Tipo di evento di revisione | ID evento | Descrizione |
|---|---|---|
| Convalida delle nuove credenziali riuscita | 1202 | Richiesta in cui le credenziali nuove vengono convalidate correttamente dal servizio federativo. Sono inclusi WS-Trust, WS-Federation, SAML-P (prima fase per generare l'accesso SSO) e gli endpoint di autorizzazione OAuth. |
| Errore di convalida delle credenziali aggiornato | 1203 | Richiesta in cui la convalida delle credenziali nuove non è riuscita nel servizio federativo. Sono inclusi WS-Trust, WS-Fed, SAML-P (prima fase per generare l'accesso SSO) e gli endpoint di autorizzazione OAuth. |
| Operazione riuscita del token dell'applicazione | 1200 | Richiesta in cui un token di sicurezza viene emesso correttamente dal servizio federativo. Per WS-Federation, SAML-P questo viene registrato quando la richiesta viene elaborata con l'artefatto SSO. (ad esempio, il cookie SSO). |
| Errore del token dell'applicazione | 1201 | Richiesta in cui il rilascio del token di sicurezza non è riuscito nel servizio federativo. Per WS-Federation, SAML-P, questo viene registrato quando la richiesta è stata elaborata utilizzando l'artefatto SSO. (ad esempio, il cookie SSO). |
| Richiesta di modifica della password completata | 1204 | Transazione in cui la richiesta di modifica della password è stata elaborata correttamente dal servizio federativo. |
| Errore di richiesta di modifica della password | 1205 | Transazione in cui la richiesta di modifica della password non è riuscita a essere elaborata dal servizio federativo. |
| Disconnessione riuscita | 1206 | Descrive una richiesta di disconnessione riuscita. |
| Errore di disconnessione | 1207 | Descrive una richiesta di disconnessione non riuscita. |