Utilizzo delle API degli eventi di audit
Gli endpoint REST degli eventi di audit dei domini di Identity consentono di ottenere i log di audit che coprono eventi, modifiche o azioni significative. Utilizzando queste API, è possibile integrare tutte le informazioni di sicurezza e gestione degli eventi (SIEM), User and Entity Behavior Analytics (UEBA) e Cloud Access Security Broker (CASB) per eseguire il polling dei dati di audit.
I domini di Identity AuditEvents e alcuni modelli di report nelle API Reports non restituiranno più nuovi dati dopo il 15 dicembre 2024. È possibile, invece, utilizzare il servizio di audit OCI per ottenere questi dati. Per visualizzare gli annunci di modifica del servizio per IAM, vedere Annunci di modifica del servizio IAM.
Gli eventi di audit consentono di rivedere le azioni eseguite dai membri dell'organizzazione utilizzando i dettagli forniti dai log di audit, ad esempio chi ha eseguito l'azione e qual è stata l'azione. I domini di identità sono il punto di controllo centrale per tutte le attività che si verificano nel sistema. Genera dati di audit in risposta a tutte le operazioni dell'amministratore e dell'utente finale, ad esempio Login utente, Accesso applicazione, Reimpostazione password, Aggiornamento profilo utente, Operazioni CRUD su Utenti, Gruppo, Applicazioni e così via.
Le date e gli orari relativi agli eventi di audit utilizzano il formato UTC (Coordinated Universal Time, tempo coordinato universale): AAAA-MM-GGThh:mm:ss.mscZ. Ad esempio, 2022-03-24T10:24:24.022Z.
I report completi possono essere generati da molte attività di amministratore e utente, ad esempio quelle sul lato sinistro del diagramma. Rappresentati sul lato destro sono esempi dell'attività utente cronologica che è possibile acquisire e delle statistiche e dell'analitica che è possibile generare importando i dati negli strumenti di analitica.
Esempi di audit
Sono disponibili esempi di audit per aiutarti a velocizzare l'operazione. Dopo aver importato la raccolta, digitare "audit" nel filtro per trovare tutte le richieste di audit. Scaricare la raccolta di esempi di casi d'uso di autenticazione dei domini di Identity e il file delle variabili globali dalla cartella idcs-rest-clients all'interno del repository GitHub idm-samples, quindi importarli in Postman.
Eventi di audit domini di Identity
Questa tabella fornisce gli ID evento di alcuni degli eventi più importanti nei domini di Identity.
| Categoria eventi | Evento | ID evento |
|---|---|---|
|
Single Sign-On |
Login utente riusciti |
sso.session.create.success
|
|
Single Sign-On |
Errore login utente |
sso.authentication.failure
|
|
Eventi di accesso applicazione |
Accesso all'applicazione riuscito |
sso.app.access.success
|
|
Eventi di accesso applicazione |
Errore di accesso all'applicazione |
sso.app.access.failure
|
|
Autenticazione con più fattore |
Autenticazione step-up per utente |
sso.auth.factor.initiated
|
|
Autenticazione con più fattore |
ByPass Creazione codice |
sso.bypasscode.create.success
|
|
Autenticazione con più fattore |
Eliminazione del codice ByPass |
sso.bypasscode.delete.success
|
|
Autoregistrazione |
Autoregistrazione utente riuscita |
admin.me.register.success
|
|
Richiesta di accesso self-service |
Richiesta di accesso riuscita |
admin.myrequest.create.success
|
|
Notifiche |
Consegna notifiche riuscita |
notification.delivery.success
|
|
Notifiche |
Errore consegna notifica |
notification.delivery.failure
|
|
Sincronizzazione Identity Bridge |
Sincronizzazione bridge ID riuscita |
idbridge.sync.success
|
|
Sincronizzazione Identity Bridge |
Errore di sincronizzazione bridge ID |
idbridge.sync.failure
|
|
Password dimenticata/Reimposta |
Reimpostazione password riuscita |
admin.me.password.reset.success
|
|
Reimposta password avviata dall'amministratore |
Reimpostazione password riuscita |
admin.user.password.reset.success
|
|
Modifica password |
Modifica della password riuscita |
admin.me.password.change.success
|
|
Modifica password |
Modifica della password non riuscita |
admin.me.password.change.failure
|
|
Operazioni CRUD utente |
Creazione utente riuscita |
admin.user.create.success
|
|
Operazioni CRUD utente |
Attivazione utente riuscita |
admin.user.activated.success
|
|
Operazioni CRUD utente |
Aggiornamento utente completato |
admin.user.update.success
|
|
Operazioni CRUD utente |
Eliminazione utente riuscita |
admin.user.delete.success
|
|
Operazioni CRUD gruppo |
Creazione gruppo riuscita |
admin.group.create.success
|
|
Operazioni CRUD gruppo |
Aggiornamento gruppo completato |
admin.group.update.success
|
|
Operazioni CRUD gruppo |
Eliminazione del gruppo completata |
admin.group.delete.success
|
|
Operazioni CRUD gruppo |
Assegnazione appartenenza a gruppi |
admin.group.add.member.success
|
|
Operazioni CRUD gruppo |
Rimozione appartenenza gruppo |
admin.group.remove.member.success
|
|
Operazioni CRUD applicazione |
Creazione applicazione |
admin.app.create.success
|
|
Operazioni CRUD applicazione |
Aggiornamento applicazione |
admin.app.update.success
|
|
Operazioni CRUD applicazione |
Eliminazione applicazione |
admin.app.delete.success
|
|
Provisioning utente |
Provisioning utente riuscito |
admin.account.create.success
|
|
Provisioning utente |
Provisioning utente non riuscito |
admin.account.delete.success
|
Risorse evento
Nella tabella seguente vengono descritte le risorse degli eventi cruciali.
| Risorsa evento | Descrizione |
|---|---|
|
eventID |
ID evento definito dai componenti dei domini di Identity |
|
actorName |
Nome utente (nome di login) dal contesto di sicurezza |
|
actorDisplayName |
Nome visualizzato utente dal contesto di sicurezza |
|
actorId |
GUID utente dal contesto di sicurezza |
|
actorType |
Tipo di attore, Utente o Cliente |
|
ssoSessionId |
Identificativo SSO cloud |
|
ssoIdentityProvider |
Provider di identità SSO |
|
ssoAuthFactor |
Fattore di autenticazione utilizzato per l'autenticazione |
|
ssoApplicationId |
GUID identificativo applicazione |
|
ssoApplicationType |
Tipo di applicazione SSO: il tipo di applicazione indica se l'applicazione è un'applicazione OPC o NonOPC e se il tipo è SAML, OAuth o Secure Form Fill in base al protocollo. |
|
clientIp |
Indirizzo IP dell'applicazione client che effettua la richiesta |
|
ssoUserAgent |
Informazioni sul dispositivo dell'utente |
|
ssoPlatform |
Piattaforma utilizzata per eseguire l'autenticazione |
|
ssoProtectedResource |
URI della risorsa protetta (host, porta e contesto della risorsa) |
|
ssoMatchedSignOnPolicy |
Criterio di accesso corrispondente, aggiunto nella versione 18.1.2 |
|
Messaggio |
Messaggio per operazioni riuscite o non riuscite specifiche dell'evento |
|
Indicatore orario |
Indicatore data/ora in cui si è verificato l'evento |
Schema audit
È possibile trovare lo schema di audit utilizzando l'API REST dei domini di Identity. Lo schema di audit contiene tutte le informazioni descritte nelle tabelle di questo caso d'uso.
Richiesta di esempio
Eseguire un comando GET sull'endpoint /Schemas utilizzando lo schema AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventSnapshot risposta di esempio
Di seguito è riportata un'istantanea della risposta.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},