Utilisation des API d'événement de vérification
Les points d'extrémité REST d'événements de vérification de domaines d'identité vous permettent d'obtenir des journaux de vérification couvrant les événements, les modifications ou les actions importants. À l'aide de ces API, vous pouvez intégrer toutes les fonctions SIEM (Security Information and Event Management), UEBA (User and Entity Behavior Analytics) et CASB (Cloud Access Security Broker) pour interroger les données de vérification.
Les domaines d'identité AuditEvents et certains modèles de rapports dans les API de rapports cesseront de retourner de nouvelles données après le 15 décembre 2024. À la place, vous pouvez utiliser le service de vérification pour OCI pour obtenir ces données. Pour voir les annonces de modification de service pour IAM, voir Annonces de modification de service IAM.
Les événements de vérification vous permettent de vérifier les actions effectuées par les membres de votre organisation à l'aide des détails fournis par les journaux de vérification, tels que la personne qui a effectué l'action et l'action. Les domaines d'identité sont le point de contrôle central de toutes les activités qui se déroulent dans le système. Il génère des données d'audit en réponse à toutes les opérations d'administrateur et d'utilisateur final, telles que la connexion d'utilisateur, l'accès à l'application, la réinitialisation du mot de passe, la mise à jour du profil d'utilisateur, les opérations CRUD sur les utilisateurs, le groupe, les applications, etc.
Les dates et les heures associées aux événements de vérification utilisent le format de temps universel coordonné (UTC) : AAAA-MM-JJThh:mm:ss.mscZ. Par exemple 2022-03-24T10 :24 :24.022Z.
Des rapports complets peuvent être générés à partir de nombreuses activités d'administrateur et d'utilisateur, telles que celles du côté gauche du diagramme. Sur le côté droit se trouvent des exemples de l'activité historique des utilisateurs que vous pouvez capturer, ainsi que des statistiques et des analyses que vous pouvez générer en important des données dans les outils d'analyse.
Exemples de vérification
Des exemples d'audit sont disponibles pour vous aider à vous mettre au courant. Après avoir importé la collection, tapez "audit" dans le filtre pour rechercher toutes les demandes de vérification. Téléchargez la collection d'exemples de cas d'utilisation d'authentification de domaines d'identité et le fichier de variables globales à partir du dossier idcs-rest-clients dans le référentiel idm-samples GitHub, puis importez-les dans Postman.
Événements de vérification des domaines d'identité
Ce tableau fournit les ID événements de certains des événements les plus cruciaux dans les domaines d'identité.
| Catégorie d'événement | Événement | ID d'événement |
|---|---|---|
|
Connexion unique |
Connexions d'utilisateur réussies |
sso.session.create.success
|
|
Connexion unique |
Échec des connexions de l'utilisateur |
sso.authentication.failure
|
|
Événements d'accès à l'application |
Accès à l'application réussi |
sso.app.access.success
|
|
Événements d'accès à l'application |
Échec de l'accès à l'application |
sso.app.access.failure
|
|
Authentification multifacteur |
Authentification progressive pour l'utilisateur |
sso.auth.factor.initiated
|
|
Authentification multifacteur |
ByPass Création de code |
sso.bypasscode.create.success
|
|
Authentification multifacteur |
ByPass Suppression de code |
sso.bypasscode.delete.success
|
|
Auto-inscription |
Succès de l'auto-inscription d'utilisateur |
admin.me.register.success
|
|
Demande d'accès en libre-service |
Demande d'accès réussie |
admin.myrequest.create.success
|
|
Avis |
Transmission d'avis réussie |
notification.delivery.success
|
|
Avis |
Échec de transmission d'avis |
notification.delivery.failure
|
|
Synchronisation du pont d'identités |
Synchronisation du pont d'ID réussie |
idbridge.sync.success
|
|
Synchronisation du pont d'identités |
Échec de la synchronisation du pont d'ID |
idbridge.sync.failure
|
|
Mot de passe oublié/réinitialiser |
Réinitialisation du mot de passe réussie |
admin.me.password.reset.success
|
|
Réinitialiser le mot de passe lancé par l'administrateur |
Réinitialisation du mot de passe réussie |
admin.user.password.reset.success
|
|
Modifier le mot de passe |
Mot de passe modifié |
admin.me.password.change.success
|
|
Modifier le mot de passe |
Échec de la modification du mot de passe |
admin.me.password.change.failure
|
|
Opérations CRUD d'utilisateur |
Utilisateur créé |
admin.user.create.success
|
|
Opérations CRUD d'utilisateur |
Utilisateur activé |
admin.user.activated.success
|
|
Opérations CRUD d'utilisateur |
Utilisateur mis à jour |
admin.user.update.success
|
|
Opérations CRUD d'utilisateur |
Utilisateur supprimé |
admin.user.delete.success
|
|
Regrouper les opérations CRUD |
Groupe créé |
admin.group.create.success
|
|
Regrouper les opérations CRUD |
Groupe mis à jour |
admin.group.update.success
|
|
Regrouper les opérations CRUD |
Groupe supprimé |
admin.group.delete.success
|
|
Regrouper les opérations CRUD |
Affectation d'appartenance à un groupe |
admin.group.add.member.success
|
|
Regrouper les opérations CRUD |
Suppression d'appartenance à un groupe |
admin.group.remove.member.success
|
|
Opérations CRUD d'application |
Création d'application |
admin.app.create.success
|
|
Opérations CRUD d'application |
Mise à jour de l'application |
admin.app.update.success
|
|
Opérations CRUD d'application |
Suppression d'application |
admin.app.delete.success
|
|
Provisionnement des utilisateurs |
Provisionnement d'utilisateurs réussi |
admin.account.create.success
|
|
Provisionnement des utilisateurs |
Échec du provisionnement de l'utilisateur |
admin.account.delete.success
|
Ressources d'événement
Le tableau suivant décrit les ressources d'événement cruciales.
| Ressource d'événement | Description |
|---|---|
|
eventID |
ID événement tel que défini par les composants des domaines d'identité |
|
actorName |
Nom d'utilisateur (nom de connexion) du contexte de sécurité |
|
actorDisplayName |
Nom d'affichage de l'utilisateur à partir du contexte de sécurité |
|
actorId |
GUID d'utilisateur à partir du contexte de sécurité |
|
actorType |
Type d'acteur, Utilisateur ou Client |
|
ssoSessionId |
Identificateur d'authentification unique en nuage |
|
ssoIdentityProvider |
Fournisseur d'identité pour authentification unique |
|
ssoAuthFactor |
Facteur d'authentification utilisé pour l'authentification |
|
ssoApplicationId |
GUID de l'identificateur d'application |
|
ssoApplicationType |
Type d'application d'authentification unique : Le type d'application indique si l'application est une application OPC ou NonOPC et si le type est SAML, OAuth ou Remplissage de formulaire sécurisé en fonction du protocole. |
|
clientIp |
Adresse IP de l'application client qui effectue la demande |
|
ssoUserAgent |
Informations sur l'appareil de l'utilisateur |
|
ssoPlatform |
Plate-forme utilisée pour effectuer l'authentification |
|
ssoProtectedResource |
URI de la ressource protégée (hôte, port et contexte de la ressource) |
|
ssoMatchedSignOnPolicy |
Politique d'authentification correspondante, ajoutée dans la version 18.1.2 |
|
Message |
Message de réussite ou d'échec propre à l'événement |
|
Estampille |
Horodatage de l'événement |
Schéma du service de vérification
Vous pouvez trouver le schéma de vérification à l'aide de l'API REST des domaines d'identité. Le schéma d'audit contient toutes les informations décrites dans les tables de ce cas d'utilisation.
Exemple de demande
Exécutez un GET sur le point d'extrémité /Schemas à l'aide du schéma AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventExemple d'instantané de réponse
Voici un instantané de la réponse.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},