Uso de las API de evento de auditoría
Los puntos finales REST de eventos de auditoría de dominios de identidad permiten obtener logs de auditoría que abarcan eventos, cambios o acciones significativos. Con estas API, puede integrar toda la información de seguridad y la gestión de eventos (SIEM), User and Entity Behavior Analytics (UEBA) y Cloud Access Security Broker (CASB) para sondear los datos de auditoría.
Los dominios de identidad AuditEvents y determinadas plantillas de informes en las API de Reports dejarán de devolver nuevos datos después del 15 de diciembre de 2024. En su lugar, puede utilizar el servicio OCI Audit para obtener estos datos. Para ver los anuncios de cambio de servicio para IAM, consulte Anuncios de cambio de servicio de IAM.
Los eventos de auditoría permiten revisar las acciones realizadas por los miembros de la organización mediante los detalles proporcionados por los logs de auditoría, como quién realizó la acción y cuál fue la acción. Los dominios de identidad son el punto central de control de todas las actividades que se realizan en el sistema. Genera datos de auditoría en respuesta a todas las operaciones de administrador y usuario final, como Conexión de usuario, Acceso a aplicación, Restablecimiento de contraseña, Actualización de perfil de usuario, Operaciones CRUD en usuarios, Grupo, Aplicaciones, etc.
Las fechas y horas relacionadas con los eventos de auditoría utilizan el formato de hora universal coordinada (UTC): AAAA-MM-DDThh:mm:ss.mscZ. Por ejemplo, 2022-03-24T10:24:24.022Z.
Los informes completos se pueden generar a partir de muchas actividades de administrador y usuario, como las del lado izquierdo del diagrama. En el lado derecho se muestran ejemplos de la actividad histórica del usuario que puede capturar y las estadísticas y análisis que puede generar mediante la importación de datos en herramientas de análisis.
Ejemplos de auditoría
Los ejemplos de auditoría están disponibles para ayudarle a ponerse al día rápidamente. Después de importar la recopilación, escriba "audit" en el filtro para buscar todas las solicitudes de auditoría. Descargue la recopilación de ejemplos de casos de uso de autenticación de dominios de identidad y el archivo de variables globales de la carpeta idcs-rest-clients en el repositorio idm-samples GitHub y, a continuación, impórtelos en Postman.
Eventos de auditoría de dominios de identidad
Esta tabla proporciona los ID de eventos de algunos de los eventos más importantes en los dominios de identidad.
| Categoría de Eventos | Evento | ID de evento |
|---|---|---|
|
Inicio de sesión único |
Conexiones de usuario correctas |
sso.session.create.success
|
|
Inicio de sesión único |
Error de inicios de sesión de usuario |
sso.authentication.failure
|
|
Eventos de acceso a la aplicación |
Acceso correcto a la aplicación |
sso.app.access.success
|
|
Eventos de acceso a la aplicación |
Fallo de acceso a la aplicación |
sso.app.access.failure
|
|
Autenticación Multifactor |
Autenticación de paso para el usuario |
sso.auth.factor.initiated
|
|
Autenticación Multifactor |
Creación de código ByPass |
sso.bypasscode.create.success
|
|
Autenticación Multifactor |
ByPass Supresión de código |
sso.bypasscode.delete.success
|
|
Autorregistro |
Autorregistro de usuario correcto |
admin.me.register.success
|
|
Solicitud de acceso de autoservicio |
Solicitud de acceso correcta |
admin.myrequest.create.success
|
|
Notificaciones |
Entrega de notificación correcta |
notification.delivery.success
|
|
Notificaciones |
Fallo de entrega de notificación |
notification.delivery.failure
|
|
Sincronización del puente de identidades |
Sincronización de puente de ID correcta |
idbridge.sync.success
|
|
Sincronización del puente de identidades |
Fallo de sincronización de puente de ID |
idbridge.sync.failure
|
|
Contraseña olvidada/restablecida |
Restablecimiento de contraseña correcto |
admin.me.password.reset.success
|
|
Restablecer contraseña iniciada por el administrador |
Restablecimiento de contraseña correcto |
admin.user.password.reset.success
|
|
Cambiar Contraseña |
Cambio de contraseña correcto |
admin.me.password.change.success
|
|
Cambiar Contraseña |
Fallo al cambiar la contraseña |
admin.me.password.change.failure
|
|
Operaciones CRUD de Usuario |
Creación de usuario correcta |
admin.user.create.success
|
|
Operaciones CRUD de Usuario |
Activación de usuario correcta |
admin.user.activated.success
|
|
Operaciones CRUD de Usuario |
Actualización de usuario correcta |
admin.user.update.success
|
|
Operaciones CRUD de Usuario |
Supresión de Usuario Correcta |
admin.user.delete.success
|
|
Operaciones CRUD de Grupo |
Creación de grupo correcta |
admin.group.create.success
|
|
Operaciones CRUD de Grupo |
El grupo se ha actualizado correctamente |
admin.group.update.success
|
|
Operaciones CRUD de Grupo |
Supresión de Grupo Correcta |
admin.group.delete.success
|
|
Operaciones CRUD de Grupo |
Asignación de afiliación de grupo |
admin.group.add.member.success
|
|
Operaciones CRUD de Grupo |
Eliminación de miembros de grupo |
admin.group.remove.member.success
|
|
Operaciones CRUD de Aplicación |
Creación de la Aplicación |
admin.app.create.success
|
|
Operaciones CRUD de Aplicación |
Actualización de la Aplicación |
admin.app.update.success
|
|
Operaciones CRUD de Aplicación |
Supresión de la Aplicación |
admin.app.delete.success
|
|
Provisionamiento de Usuarios |
Aprovisionamiento de usuario correcto |
admin.account.create.success
|
|
Provisionamiento de Usuarios |
Aprovisionamiento de usuario incorrecto |
admin.account.delete.success
|
Recursos de eventos
En la siguiente tabla, se describen los recursos de eventos cruciales.
| Recurso de evento | Descripción |
|---|---|
|
eventID |
ID de evento definido por los componentes de los dominios de identidad |
|
actorName |
Nombre de usuario (nombre de conexión) del contexto de seguridad |
|
actorDisplayName |
Nombre mostrado del usuario del contexto de seguridad |
|
actorId |
GUID de usuario del contexto de seguridad |
|
actorType |
El tipo de actor, ya sea Usuario o Cliente |
|
ssoSessionId |
Identificador de SSO de nube |
|
ssoIdentityProvider |
Proveedor de Identidad SSO |
|
ssoAuthFactor |
Factor de autenticación utilizado para la autenticación |
|
ssoApplicationId |
GUID de identificador de aplicación |
|
ssoApplicationType |
Tipo de aplicación SSO: el tipo de aplicación indica si la aplicación es una aplicación OPC o NonOPC y si el tipo es SAML, OAuth o relleno de formulario seguro según el protocolo. |
|
clientIp |
Dirección IP de la aplicación cliente que realiza la solicitud |
|
ssoUserAgent |
Información del dispositivo del usuario |
|
ssoPlatform |
Plataforma utilizada para realizar la autenticación |
|
ssoProtectedResource |
URI del recurso protegido (host, puerto y contexto del recurso) |
|
ssoMatchedSignOnPolicy |
Política de conexión coincidente, agregada a la versión 18.1.2 |
|
Mensaje |
Mensaje de éxito o fallo específico del evento |
|
Registro de hora |
Registro de hora de cuándo se produjo el evento |
Esquema de auditoría
Puede encontrar el esquema de auditoría mediante la API de REST de los dominios de identidad. El esquema de auditoría contiene toda la información tratada en las tablas de este caso de uso.
Solicitud de ejemplo
Realice un GET en el punto final /Schemas mediante el esquema AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventEjemplo de instantánea de respuesta
A continuación, se muestra una instantánea de la respuesta.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},