Utilisation des API d'événement de vérification
Les points d'extrémité REST des événements de vérification des domaines d'identité vous permettent d'obtenir des journaux de vérification couvrant des événements, des modifications ou des actions importants. À l'aide de ces API, vous pouvez intégrer tous les services Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA) et Cloud Access Security Broker (CASB) pour interroger les données de vérification.
Les domaines d'identité AuditEvents et certains modèles de rapports dans les API de rapports cesseront de renvoyer de nouvelles données après le 15 décembre 2024. Vous pouvez plutôt utiliser le service de vérification OCI pour obtenir ces données. Pour voir les annonces de modification de service pour IAM, voir les annonces de modification de service pour IAM.
Les événements de vérification vous permettent de vérifier les actions effectuées par les membres de votre organisation à l'aide des détails fournis par les journaux de vérification, tels que la personne qui a effectué l'action et la nature de l'action. Les domaines d'identité sont le point central de contrôle de toutes les activités qui se déroulent dans le système. Il génère des données de vérification en réponse à toutes les opérations d'administrateur et d'utilisateur final, telles que la connexion d'utilisateur, l'accès à l'application, la réinitialisation du mot de passe, la mise à jour du profil d'utilisateur, les opérations CRUD sur les utilisateurs, le groupe, les applications, etc.
Les dates et heures liées aux événements de vérification utilisent le format UTC (Heure universelle coordonnée) : AAAA-MM-JJThh:mm:ss.mscZ. Par exemple, 2022-03-24T10 :24 :24.022Z.
Des rapports complets peuvent être générés à partir de nombreuses activités d'administrateur et d'utilisateur, telles que celles du côté gauche du diagramme. Sur le côté droit se trouvent des exemples d'activité utilisateur historique que vous pouvez saisir, ainsi que des statistiques et des analyses que vous pouvez générer en important des données dans des outils d'analyse.
Exemples de vérification
Des exemples d'audit sont disponibles pour vous aider à être au courant. Après avoir importé la collection, tapez "audit" dans le filtre pour rechercher toutes les demandes de vérification. Téléchargez la collection d'exemples de cas d'utilisation pour l'authentification des domaines d'identité et le fichier de variables globales à partir du dossier idcs-rest-clients dans le référentiel idm-samples GitHub, puis importez-les dans Postman.
Événements de vérification des domaines d'identité
Ce tableau fournit les ID événement de certains des événements les plus importants dans les domaines d'identité.
| Catégorie d'événement | Événement | ID événement |
|---|---|---|
|
Connexion unique |
Connexions d'utilisateur réussies |
sso.session.create.success
|
|
Connexion unique |
Échec de la connexion d'utilisateur |
sso.authentication.failure
|
|
Événements d'accès à l'application |
Accès à l'application réussi |
sso.app.access.success
|
|
Événements d'accès à l'application |
Échec d'accès à l'application |
sso.app.access.failure
|
|
authentification multifacteur |
Authentification par étapes pour l'utilisateur |
sso.auth.factor.initiated
|
|
authentification multifacteur |
Création de code ByPass |
sso.bypasscode.create.success
|
|
authentification multifacteur |
ByPass Suppression de code |
sso.bypasscode.delete.success
|
|
Auto-inscription |
Succès de l'auto-inscription de l'utilisateur |
admin.me.register.success
|
|
Demande d'accès en libre-service |
Demande d'accès réussie |
admin.myrequest.create.success
|
|
Avis |
Succès de la transmission d'avis |
notification.delivery.success
|
|
Avis |
Échec de la transmission d'avis |
notification.delivery.failure
|
|
Synchronisation du pont d'identités |
Succès de la synchronisation du pont d'ID |
idbridge.sync.success
|
|
Synchronisation du pont d'identités |
Échec de la synchronisation du pont d'ID |
idbridge.sync.failure
|
|
Mot de passe oublié/réinitialisé |
Réinitialisation du mot de passe réussie |
admin.me.password.reset.success
|
|
Réinitialiser le mot de passe lancé par l'administrateur |
Réinitialisation du mot de passe réussie |
admin.user.password.reset.success
|
|
Modifier le mot de passe |
Mot de passe changé |
admin.me.password.change.success
|
|
Modifier le mot de passe |
Échec de la modification du mot de passe |
admin.me.password.change.failure
|
|
Opérations CRUD d'utilisateur |
Succès de la création de l'utilisateur |
admin.user.create.success
|
|
Opérations CRUD d'utilisateur |
Utilisateur activé |
admin.user.activated.success
|
|
Opérations CRUD d'utilisateur |
Utilisateur mis à jour |
admin.user.update.success
|
|
Opérations CRUD d'utilisateur |
Utilisateur supprimé |
admin.user.delete.success
|
|
Regrouper les opérations CRUD |
Groupe créé avec succès |
admin.group.create.success
|
|
Regrouper les opérations CRUD |
Groupe mis à jour |
admin.group.update.success
|
|
Regrouper les opérations CRUD |
Groupe supprimé |
admin.group.delete.success
|
|
Regrouper les opérations CRUD |
Affectation d'appartenance à un groupe |
admin.group.add.member.success
|
|
Regrouper les opérations CRUD |
Suppression de l'appartenance à un groupe |
admin.group.remove.member.success
|
|
Opérations CRUD d'application |
Création d'application |
admin.app.create.success
|
|
Opérations CRUD d'application |
Mise à jour de l'application |
admin.app.update.success
|
|
Opérations CRUD d'application |
Suppression d'application |
admin.app.delete.success
|
|
Provisionnement des utilisateurs |
Le provisionnement des utilisateurs a réussi |
admin.account.create.success
|
|
Provisionnement des utilisateurs |
Échec du provisionnement des utilisateurs |
admin.account.delete.success
|
Ressources d'événement
Le tableau suivant décrit les ressources d'événement cruciales.
| Ressource d'événement | Description |
|---|---|
|
eventID |
ID événement tel que défini par les composants des domaines d'identité |
|
actorName |
Nom d'utilisateur (nom de connexion) à partir du contexte de sécurité |
|
actorDisplayName |
Nom d'affichage de l'utilisateur à partir du contexte de sécurité |
|
actorId |
GUID utilisateur du contexte de sécurité |
|
actorType |
Type d'acteur, Utilisateur ou Client |
|
ssoSessionId |
Identificateur d'authentification unique en nuage |
|
ssoIdentityProvider |
Fournisseur d'identité pour l'authentification unique |
|
ssoAuthFactor |
Facteur d'authentification utilisé pour l'authentification |
|
ssoApplicationId |
GUID de l'identificateur de l'application |
|
ssoApplicationType |
Type d'application d'authentification unique : Le type d'application indique si l'application est une application OPC ou NonOPC et si le type est SAML, OAuth ou Remplissage de formulaire sécurisé en fonction du protocole. |
|
clientIp |
Adresse IP de l'application client qui effectue la demande |
|
ssoUserAgent |
Informations sur l'appareil de l'utilisateur |
|
ssoPlatform |
Plate-forme utilisée pour effectuer l'authentification |
|
ssoProtectedResource |
URI de la ressource protégée (hôte, port et contexte de la ressource) |
|
ssoMatchedSignOnPolicy |
Politique d'authentification correspondante, ajoutée dans la version 18.1.2 |
|
Message |
Message de réussite ou d'échec propre à l'événement |
|
Horodatage |
Horodatage de l'événement |
Système de vérification
Vous pouvez trouver le schéma de vérification à l'aide de l'API REST des domaines d'identité. Le schéma d'audit contient toutes les informations décrites dans les tableaux de ce cas d'utilisation.
Exemple de demande
Effectuez une opération GET sur le point d'extrémité /Schemas à l'aide du schéma AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventExemple d'instantané de réponse
Voici un instantané de la réponse.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},