APIs für Auditereignisse verwenden
Mit REST-Endpunkten für Auditereignisse von Identitätsdomains können Sie Auditlogs abrufen, die wichtige Ereignisse, Änderungen oder Aktionen abdecken. Mit diesen APIs können Sie alle Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA) und Cloud Access Security Broker (CASB) integrieren, um Auditdaten abzufragen.
Identitätsdomains AuditEvents und bestimmte Berichtsvorlagen in den Berichts-APIs geben nach dem 15. Dezember 2024 keine neuen Daten mehr zurück. Stattdessen können Sie diese Daten mit dem OCI Audit-Service abrufen. Informationen zum Anzeigen von Ankündigungen zu Serviceänderungen für IAM finden Sie unter Ankündigungen zu Serviceänderungen für IAM.
Mit Auditereignissen können Sie die von Mitgliedern Ihrer Organisation ausgeführten Aktionen anhand der in den Auditlogs angegebenen Details prüfen, z.B. wer die Aktion ausgeführt hat und was die Aktion war. Identitätsdomains sind der zentrale Kontrollpunkt für alle Aktivitäten, die im System stattfinden. Es generiert Auditdaten als Reaktion auf alle Administrator- und Endbenutzervorgänge, wie Benutzeranmeldung, Anwendungszugriff, Zurücksetzen des Kennworts, Benutzerprofilaktualisierung, CRUD-Vorgänge für Benutzer, Gruppe, Anwendungen usw.
Auditereignisbezogene Datums- und Zeitangaben verwenden das UTC-Format (Coordinated Universal Time): JJJJ-MM-TT Thh:mm:ss.mscZ. Beispiel, 2022-03-24T10:24:24.022Z.
Umfassende Berichte können aus vielen Administrator- und Benutzeraktivitäten generiert werden, z. B. aus den Berichten auf der linken Seite des Diagramms. Auf der rechten Seite werden Beispiele für die historische Benutzeraktivität dargestellt, die Sie erfassen können, sowie die Statistiken und Analysen, die Sie generieren können, indem Sie Daten in Analysetools importieren.
Auditbeispiele
Auditbeispiele sind verfügbar, um Sie auf den neuesten Stand zu bringen. Nachdem Sie die Sammlung importiert haben, geben Sie "audit" in den Filter ein, um alle Auditanforderungen zu suchen. Laden Sie die Collection der Anwendungsbeispiele für die Authentifizierung von Identitätsdomains und die globale Variablendatei aus dem Ordner idcs-rest-clients im Repository idm-samples GitHub herunter, und importieren Sie sie dann in Postman.
Auditereignisse für Identitätsdomains
Diese Tabelle enthält Ereignis-IDs einiger der wichtigsten Ereignisse in Identitätsdomains.
| Ereigniskategorie | Ereignis | Ereignis-ID |
|---|---|---|
|
Einzelanmeldung |
Benutzeranmeldungen erfolgreich |
sso.session.create.success
|
|
Einzelanmeldung |
Fehler bei der Benutzeranmeldung |
sso.authentication.failure
|
|
Anwendungszugriffsereignisse |
Anwendungszugriff erfolgreich |
sso.app.access.success
|
|
Anwendungszugriffsereignisse |
Anwendungszugriff nicht erfolgreich |
sso.app.access.failure
|
|
Multifaktor-Authentifizierung |
Step-up-Authentifizierung für Benutzer |
sso.auth.factor.initiated
|
|
Multifaktor-Authentifizierung |
ByPass-Codeerstellung |
sso.bypasscode.create.success
|
|
Multifaktor-Authentifizierung |
Löschen von ByPass-Code |
sso.bypasscode.delete.success
|
|
Selbstregistrierung |
Benutzerselbstregistrierung erfolgreich |
admin.me.register.success
|
|
Selfservice-Zugriffsanforderung |
Zugriffsanforderung erfolgreich |
admin.myrequest.create.success
|
|
Benachrichtigungen |
Erfolgreiche Übermittlung von Benachrichtigungen |
notification.delivery.success
|
|
Benachrichtigungen |
Benachrichtigungsübermittlungsfehler |
notification.delivery.failure
|
|
Identity Bridge-Synchronisierung |
ID-Bridge-Synchronisierung erfolgreich |
idbridge.sync.success
|
|
Identity Bridge-Synchronisierung |
Synchronisierungsfehler bei ID-Bridge |
idbridge.sync.failure
|
|
Kennwort vergessen/zurücksetzen |
Kennwort zurücksetzen erfolgreich |
admin.me.password.reset.success
|
|
Zurücksetzen des Kennworts vom Administrator initiiert |
Kennwort zurücksetzen erfolgreich |
admin.user.password.reset.success
|
|
Kennwort ändern |
Kennwort erfolgreich geändert |
admin.me.password.change.success
|
|
Kennwort ändern |
Kennwortänderung nicht erfolgreich |
admin.me.password.change.failure
|
|
Benutzer-CRUD-Vorgänge |
Benutzer erfolgreich erstellt |
admin.user.create.success
|
|
Benutzer-CRUD-Vorgänge |
Benutzer erfolgreich aktiviert |
admin.user.activated.success
|
|
Benutzer-CRUD-Vorgänge |
Benutzeraktualisierung erfolgreich |
admin.user.update.success
|
|
Benutzer-CRUD-Vorgänge |
Benutzer erfolgreich gelöscht |
admin.user.delete.success
|
|
CRUD-Vorgänge für Gruppen |
Gruppe erfolgreich erstellt |
admin.group.create.success
|
|
CRUD-Vorgänge für Gruppen |
Gruppe erfolgreich aktualisiert |
admin.group.update.success
|
|
CRUD-Vorgänge für Gruppen |
Gruppe erfolgreich gelöscht |
admin.group.delete.success
|
|
CRUD-Vorgänge für Gruppen |
Gruppenmitgliedschaftszuweisung |
admin.group.add.member.success
|
|
CRUD-Vorgänge für Gruppen |
Entfernen der Gruppenmitgliedschaft |
admin.group.remove.member.success
|
|
CRUD-Vorgänge für Anwendungen |
Anwendungserstellung |
admin.app.create.success
|
|
CRUD-Vorgänge für Anwendungen |
Anwendungsupdate |
admin.app.update.success
|
|
CRUD-Vorgänge für Anwendungen |
Löschen der Anwendung |
admin.app.delete.success
|
|
Benutzer-Provisioning |
Benutzer-Provisioning erfolgreich |
admin.account.create.success
|
|
Benutzer-Provisioning |
Nicht erfolgreiches Benutzer-Provisioning |
admin.account.delete.success
|
Veranstaltungsressourcen
In der folgenden Tabelle werden wichtige Ereignisressourcen beschrieben.
| Ereignisressource | Beschreibung |
|---|---|
|
eventID |
Ereignis-ID, wie von den Identitätsdomains-Komponenten definiert |
|
actorName |
Benutzername (Anmeldename) aus dem Sicherheitskontext |
|
actorDisplayName |
Anzeigename des Benutzers aus dem Sicherheitskontext |
|
actorId |
Benutzer-GUID aus dem Sicherheitskontext |
|
actorType |
Der Akteurtyp, entweder Benutzer oder Client |
|
ssoSessionId |
Cloud-SSO-ID |
|
ssoIdentityProvider |
SSO-Identitätsprovider |
|
ssoAuthFactor |
Der Authentifizierungsfaktor für die Authentifizierung |
|
ssoApplicationId |
Anwendungs-ID-GUID |
|
ssoApplicationType |
SSO-Anwendungstyp: Der Anwendungstyp gibt an, ob die Anwendung eine OPC- oder eine NonOPC-Anwendung ist und ob der Typ basierend auf dem Protokoll SAML, OAuth oder Secure Form Fill ist. |
|
clientIp |
IP-Adresse der Clientanwendung, die die Anforderung sendet |
|
ssoUserAgent |
Informationen zum Gerät des Benutzers |
|
ssoPlatform |
Plattform zur Authentifizierung |
|
ssoProtectedResource |
URI der geschützten Ressource (Ressourcenhost, Port und Kontext) |
|
ssoMatchedSignOnPolicy |
Übereinstimmende Anmelde-Policy, in Version 18.1.2 hinzugefügt |
|
Meldung |
Meldung für ereignisspezifischen Erfolg oder Fehler |
|
Timestamp |
Zeitpunkt des Ereignisses |
Auditschema
Sie können das Auditschema mit der REST-API für Identitätsdomains suchen. Das Auditschema enthält alle Informationen, die in den Tabellen dieses Anwendungsfalls beschrieben werden.
Beispielanforderung
Führen Sie eine GET für den Endpunkt /Schemas mit dem Schema AuditEvent aus.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventBeispielantwort-Snapshot
Im Folgenden finden Sie einen Snapshot der Antwort.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},