Utilisation des API d'événement d'audit
Les adresses REST d'événements d'audit de domaines d'identité vous permettent d'obtenir des journaux d'audit couvrant des événements, des modifications ou des actions importants. Grâce à ces API, vous pouvez intégrer toutes les fonctions SIEM (Security Information and Event Management), UEFA (User and Entity Behavior Analytics) et CASB (Cloud Access Security Broker) pour interroger les données d'audit.
Les domaines d'identité AuditEvents et certains modèles de rapport dans les API Reports cesseront de renvoyer de nouvelles données après le 15 décembre 2024. A la place, vous pouvez utiliser le service OCI Audit pour obtenir ces données. Afin de visualiser les annonces de modification de service pour IAM, reportez-vous à Annonces de modification de service IAM.
Les événements d'audit vous permettent de vérifier les actions effectuées par les membres de votre organisation à l'aide des détails fournis par les journaux d'audit, tels que l'auteur de l'action et la nature de l'action. Les domaines d'identité sont le point de contrôle central de toutes les activités du système. Il génère des données d'audit en réponse à toutes les opérations de l'administrateur et de l'utilisateur final, telles que la connexion utilisateur, l'accès à l'application, la réinitialisation du mot de passe, la mise à jour du profil utilisateur, les opérations CRUD sur les utilisateurs, le groupe, les applications, etc.
Les dates et heures liées aux événements d'audit utilisent le format de temps universel coordonné (UTC) : AAAA-MM-JJThh:mm:ss.mscZ. Par exemple, 2022-03-24T10 :24 :24.022Z.
Des rapports complets peuvent être générés à partir de nombreuses activités d'administrateur et d'utilisateur, telles que celles du côté gauche du diagramme. Vous trouverez à droite des exemples d'activité utilisateur historique que vous pouvez capturer, ainsi que les statistiques et analyses que vous pouvez générer en important des données dans des outils d'analyse.
Exemples d'audit
Des exemples d'audit sont disponibles pour vous aider à vous mettre à jour. Après avoir importé la collection, tapez "audit" dans le filtre pour rechercher toutes les demandes d'audit. Téléchargez la collection d'exemples d'utilisation de l'authentification des domaines d'identité et le fichier de variables globales à partir du dossier idcs-rest-clients dans le référentiel idm-samples GitHub, puis importez-les dans Postman.
Evénements d'audit des domaines d'identité
Ce tableau fournit les ID d'événement de certains des événements les plus cruciaux dans les domaines d'identité.
| Catégorie d'événements | Evénement | ID d'événement |
|---|---|---|
|
Connexion unique (SSO) |
Succès des connexions utilisateur |
sso.session.create.success
|
|
Connexion unique (SSO) |
Echec des connexions utilisateur |
sso.authentication.failure
|
|
Evénements d'accès à l'application |
Accès à l'application réussi |
sso.app.access.success
|
|
Evénements d'accès à l'application |
Echec de l'accès à l'application |
sso.app.access.failure
|
|
Authentification multifacteurs |
Authentification par étape pour l'utilisateur |
sso.auth.factor.initiated
|
|
Authentification multifacteurs |
ByPass Création de code |
sso.bypasscode.create.success
|
|
Authentification multifacteurs |
ByPassSuppression de code |
sso.bypasscode.delete.success
|
|
Auto-inscription |
Auto-inscription utilisateur - Succès |
admin.me.register.success
|
|
Demande d'accès en libre-service |
Demande d'accès réussie |
admin.myrequest.create.success
|
|
Notifications |
Succès de la transmission des notifications |
notification.delivery.success
|
|
Notifications |
Echec de la transmission de la notification |
notification.delivery.failure
|
|
Synchronisation de pont d'identité |
Succès de la synchronisation de pont d'ID |
idbridge.sync.success
|
|
Synchronisation de pont d'identité |
Echec de la synchronisation de pont d'ID |
idbridge.sync.failure
|
|
Mot de passe oublié/réinitialiser |
Réinitialisation du mot de passe réussie |
admin.me.password.reset.success
|
|
Réinitialiser le mot de passe lancé par l'administrateur |
Réinitialisation du mot de passe réussie |
admin.user.password.reset.success
|
|
Modifier le mot de passe |
Mot de passe modifié |
admin.me.password.change.success
|
|
Modifier le mot de passe |
Echec de la modification du mot de passe |
admin.me.password.change.failure
|
|
Opérations CRUD utilisateur |
Création de l'utilisateur réussie |
admin.user.create.success
|
|
Opérations CRUD utilisateur |
Succès d'activation de l'utilisateur |
admin.user.activated.success
|
|
Opérations CRUD utilisateur |
Mise à jour de l'utilisateur réussie |
admin.user.update.success
|
|
Opérations CRUD utilisateur |
Suppression de l'utilisateur réussie |
admin.user.delete.success
|
|
Opérations CRUD de groupe |
Création de groupe réussie |
admin.group.create.success
|
|
Opérations CRUD de groupe |
Le groupe a été mis à jour |
admin.group.update.success
|
|
Opérations CRUD de groupe |
Suppression du groupe réussie |
admin.group.delete.success
|
|
Opérations CRUD de groupe |
Affectation appartenance groupe |
admin.group.add.member.success
|
|
Opérations CRUD de groupe |
Suppression de l'appartenance au groupe |
admin.group.remove.member.success
|
|
Opérations CRUD de l'application |
Création d'application |
admin.app.create.success
|
|
Opérations CRUD de l'application |
Mise à jour de l'application |
admin.app.update.success
|
|
Opérations CRUD de l'application |
Suppression d'application |
admin.app.delete.success
|
|
Provisionnement des utilisateurs |
Provisionnement d'utilisateurs réussi |
admin.account.create.success
|
|
Provisionnement des utilisateurs |
Echec du provisionnement des utilisateurs |
admin.account.delete.success
|
Ressources de l'événement
Le tableau suivant décrit les ressources d'événement cruciales.
| Ressource d'événement | Description |
|---|---|
|
eventID |
ID d'événement défini par les composants des domaines d'identité |
|
actorName |
Nom utilisateur (nom de connexion) à partir du contexte de sécurité |
|
actorDisplayName |
Nom d'affichage utilisateur à partir du contexte de sécurité |
|
actorId |
GUID utilisateur à partir du contexte de sécurité |
|
actorType |
Type d'acteur, Utilisateur ou Client |
|
ssoSessionId |
Identificateur SSO cloud |
|
ssoIdentityProvider |
Fournisseur d'identités SSO |
|
ssoAuthFactor |
Facteur d'authentification utilisé pour l'authentification |
|
ssoApplicationId |
GUID de l'identificateur d'application |
|
ssoApplicationType |
Type d'application SSO : le type d'application indique si l'application est une application OPC ou NonOPC et si le type est SAML, OAuth ou Secure Form Fill en fonction du protocole. |
|
clientIp |
Adresse IP de l'application client qui fait la demande |
|
ssoUserAgent |
Informations sur l'appareil de l'utilisateur |
|
ssoPlatform |
Plate-forme utilisée pour effectuer l'authentification |
|
ssoProtectedResource |
URI de la ressource protégée (contexte, port et hôte de la ressource) |
|
ssoMatchedSignOnPolicy |
Stratégie de connexion mise en correspondance, ajoutée dans la version 18.1.2 |
|
Message |
Message de réussite ou d'échec propre à un événement |
|
Horodatage |
Horodatage du moment où l'événement s'est produit |
Schéma d'audit
Vous pouvez trouver le schéma d'audit à l'aide de l'API REST des domaines d'identité. Le schéma d'audit contient toutes les informations abordées dans les tableaux de ce cas d'emploi.
Exemple de requête
Exécutez une opération GET sur l'adresse /Schemas à l'aide du schéma AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventExemple de cliché de réponse
Voici un instantané de la réponse.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},