Como usar APIs de Evento de Auditoria
Os pontos finais REST de Eventos de Auditoria de domínios de identidades permitem que você obtenha logs de Auditoria que abrangem eventos, alterações ou ações significativos. Usando essas APIs, você pode integrar todas as Security Information and Event Management (SIEM), User and Entity Behavior Analytics (UEBA) e Cloud Access Security Broker (CASB) para pesquisar dados de Auditoria.
Os domínios de identidade AuditEvents e determinados modelos de relatórios nas APIs de Relatórios interromperão o retorno de novos dados após 15 de dezembro de 2024. Em vez disso, você pode usar o serviço OCI Audit para obter esses dados. Para exibir anúncios de alteração de serviço para o serviço IAM, consulte Anúncios de Alteração do Serviço IAM.
Os eventos de auditoria permitem que você revise as ações executadas pelos membros da sua organização usando detalhes fornecidos pelos logs de Auditoria, como quem executou a ação e qual foi a ação. Os domínios de identidade são o ponto central de controle de todas as atividades que acontecem no sistema. Ele gera dados de auditoria em resposta a todas as operações do administrador e do usuário final, como Logon do Usuário, Acesso ao Aplicativo, Redefinição de Senha, Atualização do Perfil do Usuário, operações CRUD em Usuários, Grupo, Aplicativos etc.
As datas e horas relacionadas ao evento de auditoria usam o formato UTC (Coordinated Universal Time): AAAA-MM-DDThh:mm:ss.mscZ. Por exemplo, 2022-03-24T10:24:24.022Z.
Relatórios abrangentes podem ser gerados a partir de muitas atividades de administrador e usuário, como as do lado esquerdo do diagrama. Representados no lado direito estão exemplos da atividade histórica do usuário que você pode capturar e as estatísticas e análises que você pode gerar importando dados para ferramentas de análise.
Exemplos de Auditoria
Exemplos de auditoria estão disponíveis para ajudar você a se atualizar. Depois de importar a coleção, digite "audit" no filtro para localizar todas as solicitações de auditoria. Faça download da coleção de exemplos de casos de uso de autenticação de domínios de identidades e do arquivo de variáveis globais da pasta idcs-rest-clients no repositório GitHub de idm-samples e importe-os para o Postman.
Eventos de Auditoria de Domínios de Identidades
Esta tabela fornece IDs de Evento de alguns dos eventos mais cruciais nos domínios de identidades.
| Categoria do Evento | Evento | ID do Evento |
|---|---|---|
|
Sign-on Único |
Êxito no Log-ins do Usuário |
sso.session.create.success
|
|
Sign-on Único |
Falha nos logins do usuário |
sso.authentication.failure
|
|
Eventos de Acesso do Aplicativo |
Êxito no Acesso ao Aplicativo |
sso.app.access.success
|
|
Eventos de Acesso do Aplicativo |
Falha no acesso ao aplicativo |
sso.app.access.failure
|
|
Autenticação Multifatorial |
Autenticação aumentada para usuário |
sso.auth.factor.initiated
|
|
Autenticação Multifatorial |
Criação de Código ByPass |
sso.bypasscode.create.success
|
|
Autenticação Multifatorial |
Exclusão de Código ByPass |
sso.bypasscode.delete.success
|
|
Autorregistro |
Êxito no Autorregistro do Usuário |
admin.me.register.success
|
|
Solicitação de Acesso de Autoatendimento |
Solicitação de Acesso Bem-Sucedida |
admin.myrequest.create.success
|
|
Notificações |
Entrega de Notificação bem-sucedida |
notification.delivery.success
|
|
Notificações |
Falha na Entrega da Notificação |
notification.delivery.failure
|
|
Sincronização do Identity Bridge |
Êxito na Sincronização da Ponte de ID |
idbridge.sync.success
|
|
Sincronização do Identity Bridge |
Falha de Sincronização da Ponte de ID |
idbridge.sync.failure
|
|
Esqueceu/Redefinir Senha |
Senha Redefinida com sucesso |
admin.me.password.reset.success
|
|
Redefinir Senha Iniciada pelo Administrador |
Senha Redefinida com sucesso |
admin.user.password.reset.success
|
|
Alterar Senha |
Senha Alterada com Sucesso |
admin.me.password.change.success
|
|
Alterar Senha |
Falha na Alteração da Senha |
admin.me.password.change.failure
|
|
Operações CRUD do Usuário |
Êxito na Criação do Usuário |
admin.user.create.success
|
|
Operações CRUD do Usuário |
Ativação do Usuário Bem-Sucedida |
admin.user.activated.success
|
|
Operações CRUD do Usuário |
Êxito na Atualização do Usuário |
admin.user.update.success
|
|
Operações CRUD do Usuário |
Êxito na Exclusão do Usuário |
admin.user.delete.success
|
|
Operações CRUD do Grupo |
Criação do Grupo com Sucesso |
admin.group.create.success
|
|
Operações CRUD do Grupo |
Grupo Atualizado com Sucesso |
admin.group.update.success
|
|
Operações CRUD do Grupo |
Êxito na Exclusão do Grupo |
admin.group.delete.success
|
|
Operações CRUD do Grupo |
Atribuição de Associação do Grupo |
admin.group.add.member.success
|
|
Operações CRUD do Grupo |
Remoção de associação do grupo |
admin.group.remove.member.success
|
|
Operações CRUD do Aplicativo |
Criação do Aplicativo |
admin.app.create.success
|
|
Operações CRUD do Aplicativo |
Atualização do Aplicativo |
admin.app.update.success
|
|
Operações CRUD do Aplicativo |
Exclusão do Aplicativo |
admin.app.delete.success
|
|
Provisionamento do Usuário |
Provisionamento de Usuários Bem-Sucedido |
admin.account.create.success
|
|
Provisionamento do Usuário |
Provisionamento de Usuário Malsucedido |
admin.account.delete.success
|
Recursos do Evento
A tabela a seguir descreve recursos de evento cruciais.
| Recurso do Evento | Descrição |
|---|---|
|
eventID |
ID do evento conforme definido pelos componentes de domínios de identidades |
|
actorName |
Nome de usuário (nome de log-in) do contexto de segurança |
|
actorDisplayName |
Nome de exibição do usuário do contexto de segurança |
|
actorId |
GUID do usuário do contexto de segurança |
|
actorType |
O tipo de ator, Usuário ou Cliente |
|
ssoSessionId |
Identificador de SSO na nuvem |
|
ssoIdentityProvider |
Provedor de Identidades SSO |
|
ssoAuthFactor |
O Fator de Autenticação usado para autenticação |
|
ssoApplicationId |
GUID do identificador do aplicativo |
|
ssoApplicationType |
Tipo de Aplicativo SSO: Tipo de Aplicativo indica se o aplicativo é um OPC ou um aplicativo NonOPC e se o tipo é SAML, OAuth ou Preenchimento de Formulário Seguro com base no protocolo. |
|
clientIp |
Endereço IP do aplicativo cliente que está fazendo a solicitação |
|
ssoUserAgent |
Informações do dispositivo do usuário |
|
ssoPlatform |
Plataforma usada para executar autenticação |
|
ssoProtectedResource |
URI do recurso protegido (Host, porta e contexto do recurso) |
|
ssoMatchedSignOnPolicy |
Política de Sign-On Correspondente, adicionada à versão18.1.2 |
|
Mensagem |
Mensagem de sucesso ou falha específica do evento |
|
Timestamp |
Timestamp de quando ocorreu o evento |
Esquema de Auditoria
Você pode encontrar o Esquema de Auditoria usando a API REST de domínios de identidades. O Esquema de Auditoria contém todas as informações discutidas nas tabelas desse caso de uso.
Exemplo de Solicitação
Execute GET no ponto final /Schemas usando o esquema AuditEvent.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventExemplo de Snapshot de Resposta
Veja a seguir um instantâneo da resposta.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},