APIs für Auditereignisse verwenden
Mit den REST-Endpunkten für Auditereignisse von Identitätsdomains können Sie Auditlogs abrufen, die wichtige Ereignisse, Änderungen oder Aktionen abdecken. Mit diesen APIs können Sie alle Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA) und Cloud Access Security Broker (CASB) integrieren, um Auditdaten abzufragen.
Identitätsdomains AuditEvents und bestimmte Berichtsvorlagen in den Reports-APIs geben nach dem 15. Dezember 2024 keine neuen Daten mehr zurück. Stattdessen können Sie den OCI-Audit-Service verwenden, um diese Daten abzurufen. Informationen zum Anzeigen von Serviceänderungsankündigungen für IAM finden Sie unter IAM-Serviceänderungsankündigungen.
Mit Auditereignissen können Sie die von Mitgliedern Ihrer Organisation ausgeführten Aktionen anhand von Details prüfen, die in den Auditlogs bereitgestellt werden, z.B. wer die Aktion ausgeführt hat und was die Aktion war. Identitätsdomains sind der zentrale Kontrollpunkt für alle Aktivitäten im System. Es generiert Auditdaten als Reaktion auf alle Administrator- und Endbenutzervorgänge, wie Benutzeranmeldung, Anwendungszugriff, Kennwortzurücksetzung, Benutzerprofilaktualisierung, CRUD-Vorgänge für Benutzer, Gruppen, Anwendungen usw.
Datums- und Uhrzeitangaben für Auditereignisse verwenden das UTC-Format (Coordinated Universal Time): JJJJ-MM-TTThh:mm:ss.mscZ. Beispiel: 2022-03-24T10:24:24.022Z.
Umfassende Berichte können aus vielen Administrator- und Benutzeraktivitäten generiert werden, wie die auf der linken Seite des Diagramms. Auf der rechten Seite sind Beispiele für die historische Benutzeraktivität, die Sie erfassen können, sowie die Statistiken und Analysen, die Sie generieren können, indem Sie Daten in Analysetools importieren.
Auditbeispiele
Auditbeispiele sind verfügbar, um Sie auf den neuesten Stand zu bringen. Nachdem Sie die Sammlung importiert haben, geben Sie "audit" in den Filter ein, um alle Auditanforderungen zu suchen. Laden Sie die Anwendungsbeispiele für die Identitätsdomainauthentifizierung und die globale Variablendatei aus dem Ordner idcs-rest-clients im Repository idm-samples GitHub herunter, und importieren Sie sie dann in Postman.
Auditereignisse für Identitätsdomains
Diese Tabelle enthält Ereignis-IDs einiger der wichtigsten Ereignisse in Identitätsdomains.
| Ereigniskategorie | Ereignis | Ereignis-ID |
|---|---|---|
|
Single Sign-On |
Benutzeranmeldungen erfolgreich |
sso.session.create.success
|
|
Single Sign-On |
Fehler bei Benutzeranmeldungen |
sso.authentication.failure
|
|
Anwendungszugriffsereignisse |
Anwendungszugriff erfolgreich |
sso.app.access.success
|
|
Anwendungszugriffsereignisse |
Anwendungszugriff fehlgeschlagen |
sso.app.access.failure
|
|
Multifaktor-Authentifikation |
Step-up-Authentifizierung für Benutzer |
sso.auth.factor.initiated
|
|
Multifaktor-Authentifikation |
ByPass Codeerstellung |
sso.bypasscode.create.success
|
|
Multifaktor-Authentifikation |
ByPass Code löschen |
sso.bypasscode.delete.success
|
|
Selbstregistrierung |
Benutzer-Selbstregistrierung erfolgreich |
admin.me.register.success
|
|
Selfservice-Zugriffsanforderung |
Zugriffsanforderung erfolgreich |
admin.myrequest.create.success
|
|
Benachrichtigungen |
Benachrichtigungszustellung erfolgreich |
notification.delivery.success
|
|
Benachrichtigungen |
Benachrichtigungszustellung fehlgeschlagen |
notification.delivery.failure
|
|
Identity Bridge-Synchronisierung |
ID-Bridgesynchronisierung erfolgreich |
idbridge.sync.success
|
|
Identity Bridge-Synchronisierung |
ID-Bridge-Synchronisierungsfehler |
idbridge.sync.failure
|
|
Kennwort vergessen/zurücksetzen |
Kennwortzurücksetzung erfolgreich |
admin.me.password.reset.success
|
|
Vom Administrator initiiertes Kennwort zurücksetzen |
Kennwortzurücksetzung erfolgreich |
admin.user.password.reset.success
|
|
Kennwort ändern |
Kennwort erfolgreich geändert |
admin.me.password.change.success
|
|
Kennwort ändern |
Kennwortänderung nicht erfolgreich |
admin.me.password.change.failure
|
|
Benutzer-CRUD-Vorgänge |
Benutzer erfolgreich erstellt |
admin.user.create.success
|
|
Benutzer-CRUD-Vorgänge |
Benutzeraktivierung erfolgreich |
admin.user.activated.success
|
|
Benutzer-CRUD-Vorgänge |
Benutzeraktualisierung fehlgeschlagen |
admin.user.update.success
|
|
Benutzer-CRUD-Vorgänge |
Benutzer erfolgreich löschen |
admin.user.delete.success
|
|
Gruppen-CRUD-Vorgänge |
Gruppe erfolgreich erstellt |
admin.group.create.success
|
|
Gruppen-CRUD-Vorgänge |
Gruppe erfolgreich aktualisiert |
admin.group.update.success
|
|
Gruppen-CRUD-Vorgänge |
Gruppenlöschung erfolgreich |
admin.group.delete.success
|
|
Gruppen-CRUD-Vorgänge |
Gruppenmitgliedschaftszuweisung |
admin.group.add.member.success
|
|
Gruppen-CRUD-Vorgänge |
Gruppenmitgliedschaft entfernen |
admin.group.remove.member.success
|
|
Anwendungs-CRUD-Vorgänge |
Anwendungserstellung |
admin.app.create.success
|
|
Anwendungs-CRUD-Vorgänge |
Anwendungsupdate |
admin.app.update.success
|
|
Anwendungs-CRUD-Vorgänge |
Anwendungslöschung |
admin.app.delete.success
|
|
Benutzer-Provisioning |
Erfolgreiches Benutzer-Provisioning |
admin.account.create.success
|
|
Benutzer-Provisioning |
Benutzer-Provisioning nicht erfolgreich |
admin.account.delete.success
|
Veranstaltungsressourcen
In der folgenden Tabelle werden wichtige Ereignisressourcen beschrieben.
| Ereignisressource | Beschreibung |
|---|---|
|
eventID |
Ereignis-ID, wie von den Identitätsdomainkomponenten definiert |
|
actorName |
Benutzername (Anmeldename) aus dem Sicherheitskontext |
|
actorDisplayName |
Benutzeranzeigename aus dem Sicherheitskontext |
|
actorId |
Benutzer-GUID aus Sicherheitskontext |
|
actorType |
Der Akteurstyp, entweder Benutzer oder Client |
|
ssoSessionId |
Cloud-SSO-ID |
|
ssoIdentityProvider |
SSO-Identitätsprovider |
|
ssoAuthFactor |
Der für die Authentifizierung verwendete Authentifizierungsfaktor |
|
ssoApplicationId |
Anwendungs-ID-GUID |
|
ssoApplicationType |
SSO-Anwendungstyp: "Anwendungstyp" gibt an, ob es sich bei der Anwendung um eine OPC- oder eine NonOPC-Anwendung handelt und ob der Typ auf Basis des Protokolls SAML, OAuth oder Secure Form Fill lautet. |
|
clientIp |
IP-Adresse der Clientanwendung, die den Request erstellt |
|
ssoUserAgent |
Informationen zum Gerät des Benutzers |
|
ssoPlatform |
Plattform zur Authentifizierung |
|
ssoProtectedResource |
URI der geschützten Ressource (Ressourcenhost, Port und Kontext) |
|
ssoMatchedSignOnPolicy |
Übereinstimmende Anmelde-Policy, hinzugefügt in Version 18.1.2 |
|
Nachricht |
Meldung für ereignisbezogenen Erfolg oder Fehler |
|
Zeitstempel |
Zeitstempel, wann das Ereignis aufgetreten ist |
Auditschema
Sie finden das Auditschema mit der REST-API für Identitätsdomains. Das Auditschema enthält alle Informationen, die in den Tabellen dieses Anwendungsfalls erläutert werden.
Beispielanforderung
Führen Sie ein GET für den Endpunkt /Schemas mit dem Schema AuditEvent aus.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventBeispielantwort-Snapshot
Im Folgenden finden Sie einen Snapshot der Antwort.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},