Utilizzo delle API degli eventi di audit
Gli endpoint REST degli eventi di audit dei domini di Identity consentono di ottenere i log di audit che coprono eventi, modifiche o azioni significative. Utilizzando queste API, puoi integrare tutte le Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA) e Cloud Access Security Broker (CASB) per eseguire il polling dei dati di audit.
I domini di Identity AuditEvents e alcuni modelli di report nelle API dei report non restituiranno più nuovi dati dopo il 15 dicembre 2024. In alternativa, è possibile utilizzare il servizio di audit OCI per ottenere questi dati. Per visualizzare gli annunci di modifica del servizio per IAM, vedere gli annunci di modifica del servizio per IAM.
Gli eventi di audit consentono di rivedere le azioni eseguite dai membri dell'organizzazione utilizzando i dettagli forniti dai log di audit, ad esempio l'utente che ha eseguito l'azione e lo stato dell'azione. I domini di Identity sono il punto di controllo centrale per tutte le attività che si verificano nel sistema. Genera dati di audit in risposta a tutte le operazioni dell'amministratore e dell'utente finale, ad esempio Login utente, Accesso all'applicazione, Reimpostazione password, Aggiornamento profilo utente, Operazioni CRUD su utenti, Gruppo, Applicazioni e così via.
Le date e le ore relative agli eventi di audit utilizzano il formato UTC (Coordinated Universal Time): AAAA-MM-GGThh:mm:ss.mscZ. Ad esempio, 2022-03-24T10:24:24.022Z.
È possibile generare report completi da molte attività dell'amministratore e dell'utente, ad esempio quelle sul lato sinistro del diagramma. Rappresentati sul lato destro sono esempi dell'attività utente cronologica che è possibile acquisire e delle statistiche e dell'analitica che è possibile generare importando i dati negli strumenti di analisi.
Esempi di audit
Sono disponibili esempi di audit che consentono di essere sempre aggiornati. Dopo aver importato la raccolta, digitare "audit" nel filtro per trovare tutte le richieste di audit. Scaricare la raccolta di esempi di casi d'uso di autenticazione dei domini di Identity e il file delle variabili globali dalla cartella idcs-rest-clients all'interno del repository idm-samples GitHub, quindi importarli in Postman.
Eventi di audit domini di Identity
Questa tabella fornisce gli ID evento di alcuni degli eventi più importanti nei domini di Identity.
| Categoria eventi | Evento | ID evento |
|---|---|---|
|
Single Sign-On. |
Login dell'utente riusciti |
sso.session.create.success
|
|
Single Sign-On. |
Login utente non riusciti |
sso.authentication.failure
|
|
Eventi di accesso applicazione |
Accesso all'applicazione riuscito |
sso.app.access.success
|
|
Eventi di accesso applicazione |
Errore di accesso all'applicazione |
sso.app.access.failure
|
|
autenticazione con più fattori; |
Autenticazione dettagliata per l'utente |
sso.auth.factor.initiated
|
|
autenticazione con più fattori; |
ByPass Creazione codice |
sso.bypasscode.create.success
|
|
autenticazione con più fattori; |
Eliminazione codice ByPass |
sso.bypasscode.delete.success
|
|
Registrazione automatica |
Autoregistrazione utente riuscita |
admin.me.register.success
|
|
Richiesta di accesso self-service |
Richiesta di accesso riuscita |
admin.myrequest.create.success
|
|
Notifiche |
Consegna delle notifiche riuscita |
notification.delivery.success
|
|
Notifiche |
Errore di consegna notifiche |
notification.delivery.failure
|
|
Sincronizzazione Identity Bridge |
Sincronizzazione bridge ID riuscita |
idbridge.sync.success
|
|
Sincronizzazione Identity Bridge |
Errore sincronizzazione bridge ID |
idbridge.sync.failure
|
|
Password dimenticata/reimpostata |
Reimpostazione password riuscita |
admin.me.password.reset.success
|
|
Reimpostazione della password avviata dall'amministratore |
Reimpostazione password riuscita |
admin.user.password.reset.success
|
|
Modifica password |
Modifica password riuscita |
admin.me.password.change.success
|
|
Modifica password |
Modifica password non riuscita |
admin.me.password.change.failure
|
|
Operazioni CRUD utente |
Creazione utente riuscita |
admin.user.create.success
|
|
Operazioni CRUD utente |
Attivazione dell'utente riuscita |
admin.user.activated.success
|
|
Operazioni CRUD utente |
Aggiornamento utente riuscito |
admin.user.update.success
|
|
Operazioni CRUD utente |
Eliminazione utente riuscita |
admin.user.delete.success
|
|
Operazioni CRUD gruppo |
Creazione gruppo riuscita |
admin.group.create.success
|
|
Operazioni CRUD gruppo |
Aggiornamento gruppo riuscito |
admin.group.update.success
|
|
Operazioni CRUD gruppo |
Eliminazione gruppo riuscita |
admin.group.delete.success
|
|
Operazioni CRUD gruppo |
Assegnazione appartenenza a gruppo |
admin.group.add.member.success
|
|
Operazioni CRUD gruppo |
Rimozione appartenenza a gruppo |
admin.group.remove.member.success
|
|
Operazioni CRUD applicazione |
Creazione applicazione |
admin.app.create.success
|
|
Operazioni CRUD applicazione |
Aggiornamento applicazione |
admin.app.update.success
|
|
Operazioni CRUD applicazione |
Eliminazione applicazioni |
admin.app.delete.success
|
|
Attivazione utente |
Attivazione utente completata |
admin.account.create.success
|
|
Attivazione utente |
Assegnazione ruoli utente non riuscita |
admin.account.delete.success
|
Risorse evento
Nella tabella riportata di seguito vengono descritte le risorse eventi cruciali.
| Risorsa evento | descrizione; |
|---|---|
|
eventID |
ID evento definito dai componenti dei domini di Identity |
|
actorName |
Nome utente (nome di login) dal contesto di sicurezza |
|
actorDisplayName |
Nome visualizzato dell'utente dal contesto di sicurezza |
|
actorId |
GUID utente dal contesto di sicurezza |
|
actorType |
Tipo di attore, Utente o Client |
|
ssoSessionId |
Identificativo SSO cloud |
|
ssoIdentityProvider |
Provider di identità SSO |
|
ssoAuthFactor |
Fattore di autenticazione utilizzato per l'autenticazione |
|
ssoApplicationId |
GUID identificativo applicazione |
|
ssoApplicationType |
Tipo di applicazione SSO: il tipo di applicazione indica se l'applicazione è un'applicazione OPC o NonOPC e se il tipo è SAML, OAuth o Secure Form Fill in base al protocollo. |
|
clientIp |
Indirizzo IP dell'applicazione client che effettua la richiesta |
|
ssoUserAgent |
Informazioni sul dispositivo dell'utente |
|
ssoPlatform |
Piattaforma utilizzata per eseguire l'autenticazione |
|
ssoProtectedResource |
URI della risorsa protetta (host, porta e contesto della risorsa) |
|
ssoMatchedSignOnPolicy |
Criteri di accesso corrispondenti, aggiunti nella versione 18.1.2 |
|
Messaggio |
Messaggio per operazione riuscita o non riuscita specifica dell'evento |
|
Indicatore orario |
Data e ora in cui si è verificato l'evento |
Schema audit
È possibile trovare lo schema di audit utilizzando l'API REST dei domini di Identity. Lo schema di audit contiene tutte le informazioni discusse nelle tabelle di questo caso d'uso.
Richiesta di esempio
Eseguire un comando GET sull'endpoint /Schemas utilizzando lo schema AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventEsempio di snapshot della risposta
Di seguito è riportato uno snapshot della risposta.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},