Utilisation des API d'événement d'audit
Les adresses REST des événements d'audit des domaines d'identité vous permettent d'obtenir des journaux d'audit couvrant des événements, des modifications ou des actions importants. A l'aide de ces API, vous pouvez intégrer toutes les informations de sécurité et la gestion des événements (SIEM), User and Entity Behavior Analytics (UEBA) et Cloud Access Security Broker (CASB) pour interroger les données d'audit.
Les domaines d'identité AuditEvents et certains modèles de rapport dans les API de rapports cesseront de renvoyer de nouvelles données après le 15 décembre 2024. A la place, vous pouvez utiliser le service OCI Audit pour obtenir ces données. Afin d'afficher les annonces de modification de service pour IAM, reportez-vous aux annonces de modification de service pour IAM.
Les événements d'audit vous permettent de vérifier les actions effectuées par les membres de votre organisation à l'aide des détails fournis par les journaux d'audit, tels que la personne qui a effectué l'action et la nature de l'action. Les domaines d'identité constituent le point de contrôle central de toutes les activités se déroulant dans le système. Il génère des données d'audit en réponse à toutes les opérations de l'administrateur et de l'utilisateur final, telles que la connexion utilisateur, l'accès à l'application, la réinitialisation du mot de passe, la mise à jour du profil utilisateur, les opérations CRUD sur les utilisateurs, le groupe, les applications, etc.
Les dates et heures associées aux événements d'audit utilisent le format de temps universel coordonné (UTC) : AAAA-MM-JJThh:mm:ss.mscZ. Par exemple, 2022-03-24T10 :24 :24.022Z.
Des rapports complets peuvent être générés à partir de nombreuses activités d'administrateur et d'utilisateur, telles que celles du côté gauche du diagramme. Le côté droit présente des exemples d'activité utilisateur historique que vous pouvez capturer, ainsi que les statistiques et analyses que vous pouvez générer en important des données dans des outils d'analyse.
Exemples d'audit
Des exemples d'audit sont disponibles pour vous aider à vous mettre au courant. Après avoir importé la collection, tapez "audit" dans le filtre pour rechercher toutes les demandes d'audit. Téléchargez la collection d'exemples de cas d'utilisation d'authentification des domaines d'identité et le fichier de variables globales à partir du dossier idcs-rest-clients dans le référentiel idm-samples GitHub, puis importez-les dans Postman.
Evénements d'audit des domaines d'identité
Ce tableau fournit les ID d'événement de certains des événements les plus cruciaux dans les domaines d'identité.
| Catégorie d'événements | Evénement | ID d'événement |
|---|---|---|
|
SSO |
Connexions utilisateur réussies |
sso.session.create.success
|
|
SSO |
Echec des connexions utilisateur |
sso.authentication.failure
|
|
Evénements d'accès à l'application |
Accès à l'application réussi |
sso.app.access.success
|
|
Evénements d'accès à l'application |
Echec de l'accès à l'application |
sso.app.access.failure
|
|
Authentification à plusieurs facteurs |
Authentification progressive pour l'utilisateur |
sso.auth.factor.initiated
|
|
Authentification à plusieurs facteurs |
ByPass Création de code |
sso.bypasscode.create.success
|
|
Authentification à plusieurs facteurs |
ByPass Suppression de code |
sso.bypasscode.delete.success
|
|
Auto-inscription |
Succès de l'auto-inscription de l'utilisateur |
admin.me.register.success
|
|
Demande d'accès en libre-service |
Demande d'accès réussie |
admin.myrequest.create.success
|
|
Notifications |
Echec de la transmission de la notification |
notification.delivery.success
|
|
Notifications |
Echec de la distribution des notifications |
notification.delivery.failure
|
|
Synchronisation de pont d'identité |
Succès de la synchronisation du pont d'ID |
idbridge.sync.success
|
|
Synchronisation de pont d'identité |
Echec de la synchronisation du pont d'ID |
idbridge.sync.failure
|
|
Mot de passe oublié/réinit. |
Réinitialisation du mot de passe réussie |
admin.me.password.reset.success
|
|
Réinitialisation du mot de passe initiée par l'administrateur |
Réinitialisation du mot de passe réussie |
admin.user.password.reset.success
|
|
Modifier le mot de passe |
Mot de passe modifié |
admin.me.password.change.success
|
|
Modifier le mot de passe |
Echec de la modification du mot de passe |
admin.me.password.change.failure
|
|
Opérations CRUD utilisateur |
Création d'un utilisateur réussie |
admin.user.create.success
|
|
Opérations CRUD utilisateur |
L'activation de l'utilisateur a réussi |
admin.user.activated.success
|
|
Opérations CRUD utilisateur |
Mise à jour de l'utilisateur réussie |
admin.user.update.success
|
|
Opérations CRUD utilisateur |
L'utilisateur a été supprimé |
admin.user.delete.success
|
|
Opérations CRUD de groupe |
Création du groupe réussie |
admin.group.create.success
|
|
Opérations CRUD de groupe |
Le groupe a été mis à jour |
admin.group.update.success
|
|
Opérations CRUD de groupe |
La suppression du groupe a réussi |
admin.group.delete.success
|
|
Opérations CRUD de groupe |
Affectation d'appartenance à un groupe |
admin.group.add.member.success
|
|
Opérations CRUD de groupe |
Suppression d'appartenance à un groupe |
admin.group.remove.member.success
|
|
Opérations CRUD d'application |
Création d'application |
admin.app.create.success
|
|
Opérations CRUD d'application |
Mise à jour de l'application |
admin.app.update.success
|
|
Opérations CRUD d'application |
Suppression d'application |
admin.app.delete.success
|
|
provisionnement des utilisateurs |
Provisionnement des utilisateurs réussi |
admin.account.create.success
|
|
provisionnement des utilisateurs |
Echec du provisionnement des utilisateurs |
admin.account.delete.success
|
Ressources d'événement
Le tableau suivant décrit les ressources d'événement cruciales.
| Ressource d'événement | Description |
|---|---|
|
eventID |
ID d'événement tel que défini par les composants des domaines d'identité |
|
actorName |
Nom utilisateur (nom de connexion) du contexte de sécurité |
|
actorDisplayName |
Nom d'affichage de l'utilisateur à partir du contexte de sécurité |
|
actorId |
GUID utilisateur provenant du contexte de sécurité |
|
actorType |
Type d'acteur : Utilisateur ou Client |
|
ssoSessionId |
Identificateur SSO cloud |
|
ssoIdentityProvider |
Fournisseur d'identités SSO |
|
ssoAuthFactor |
Facteur d'authentification utilisé pour l'authentification |
|
ssoApplicationId |
GUID d'identificateur d'application |
|
ssoApplicationType |
Type d'application SSO : le type d'application indique si l'application est une application OPC ou NonOPC et si le type est SAML, OAuth ou Secure Form Fill en fonction du protocole. |
|
clientIp |
Adresse IP de l'application client qui effectue la demande |
|
ssoUserAgent |
Informations sur l'appareil de l'utilisateur |
|
ssoPlatform |
Plate-forme utilisée pour effectuer l'authentification |
|
ssoProtectedResource |
URI de la ressource protégée (contexte, port et hôte de la ressource) |
|
ssoMatchedSignOnPolicy |
Stratégie de connexion mise en correspondance, ajoutée dans la version 18.1.2 |
|
Message |
Message de réussite ou d'échec spécifique à un événement |
|
Horodatage |
Date et heure auxquelles l'événement s'est produit |
Schéma d'audit
Vous pouvez trouver le schéma d'audit à l'aide de l'API REST des domaines d'identité. Le schéma d'audit contient toutes les informations présentées dans les tables de ce cas d'emploi.
Exemple de demande
Exécutez une opération GET sur l'adresse /Schemas à l'aide du schéma AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventExemple de cliché de réponse
Voici un instantané de la réponse.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},