Como usar APIs de Evento de Auditoria
Os pontos finais REST de Eventos de Auditoria de domínios de identidades permitem que você obtenha logs de Auditoria que abrangem eventos, alterações ou ações significativas. Usando essas APIs, você pode integrar todas as informações de segurança e gerenciamento de eventos (SIEM), User and Entity Behavior Analytics (UEBA) e Cloud Access Security Broker (CASB) para sondar dados de auditoria.
Os domínios de identidades AuditEvents e determinados modelos de relatórios nas APIs de Relatórios deixarão de retornar novos dados após 15 de dezembro de 2024. Em vez disso, você pode usar o serviço OCI Audit para obter esses dados. Para exibir anúncios de alteração de serviço do serviço IAM, consulte Anúncios de Alteração de Serviço do serviço IAM.
Os eventos de auditoria permitem revisar as ações executadas pelos membros de sua organização usando detalhes fornecidos pelos logs de Auditoria, como quem executou a ação e qual foi a ação. Os domínios de identidade são o ponto central de controle de todas as atividades que ocorrem no sistema. Ele gera dados de auditoria em resposta a todas as operações do administrador e do usuário final, como Log-in do Usuário, Acesso ao Aplicativo, Redefinição de Senha, Atualização de Perfil do Usuário, operações CRUD em Usuários, Grupo, Aplicativos etc.
As datas e horas relacionadas ao evento de auditoria usam o formato UTC (Coordinated Universal Time, Horário Universal Coordenado): AAAA-MM-DDThh:mm:ss.mscZ. Por exemplo, 2022-03-24T10:24:24.022Z.
Relatórios abrangentes podem ser gerados a partir de muitas atividades de administrador e usuário, como as do lado esquerdo do diagrama. Representados no lado direito são exemplos da atividade histórica do usuário que você pode capturar e as estatísticas e análises que você pode gerar importando dados para ferramentas de análise.
Exemplos de Auditoria
Exemplos de auditoria estão disponíveis para ajudar você a se atualizar. Depois de importar a coleção, digite "auditoria" no filtro para localizar todas as solicitações de auditoria. Faça download da coleção de exemplos de caso de uso de autenticação de domínios de identidades e do arquivo de variáveis globais na pasta idcs-rest-clients dentro do repositório idm-samples GitHub e importe-os para o Postman.
Eventos de Auditoria de Domínios de Identidades
Esta tabela fornece IDs de Evento de alguns dos eventos mais cruciais nos domínios de identidades.
Categoria do Evento | Evento | ID do Evento |
---|---|---|
Signon Único |
Log-ins de Usuários com Sucesso |
sso.session.create.success
|
Signon Único |
Falha de Log-ins de Usuário |
sso.authentication.failure
|
Eventos de Acesso ao Aplicativo |
Acesso ao Aplicativo Bem-sucedido |
sso.app.access.success
|
Eventos de Acesso ao Aplicativo |
Falha no Acesso ao Aplicativo |
sso.app.access.failure
|
Autenticação Multifatorial |
Autenticação gradual para o Usuário |
sso.auth.factor.initiated
|
Autenticação Multifatorial |
ByPass Criação de Código |
sso.bypasscode.create.success
|
Autenticação Multifatorial |
ByPass Exclusão de Código |
sso.bypasscode.delete.success
|
Auto-Registro |
Êxito no registro do usuário |
admin.me.register.success
|
Solicitação de Acesso de Autoatendimento |
Solicitação de Acesso Bem-Sucedida |
admin.myrequest.create.success
|
Notificações |
Sucesso na Entrega da Notificação |
notification.delivery.success
|
Notificações |
Falha na Entrega de Notificação |
notification.delivery.failure
|
Sincronização do Identity Bridge |
Êxito na Sincronização da Ponte de ID |
idbridge.sync.success
|
Sincronização do Identity Bridge |
Falha de Sincronização da Ponte de ID |
idbridge.sync.failure
|
Esqueceu/Redefiniu a Senha |
Sucesso na redefinição da senha |
admin.me.password.reset.success
|
Redefinir Senha Iniciada pelo Administrador |
Sucesso na redefinição da senha |
admin.user.password.reset.success
|
Alterar Senha |
Falha na Alteração da Senha |
admin.me.password.change.success
|
Alterar Senha |
Falha na Alteração da Senha |
admin.me.password.change.failure
|
Operações CRUD do Usuário |
Êxito na Criação do Usuário |
admin.user.create.success
|
Operações CRUD do Usuário |
Êxito na Ativação do Usuário |
admin.user.activated.success
|
Operações CRUD do Usuário |
Sucesso na Atualização do Usuário |
admin.user.update.success
|
Operações CRUD do Usuário |
Falha na Exclusão do Usuário |
admin.user.delete.success
|
Operações CRUD do Grupo |
Êxito na Criação do Grupo |
admin.group.create.success
|
Operações CRUD do Grupo |
Grupo Atualizado com Sucesso |
admin.group.update.success
|
Operações CRUD do Grupo |
Êxito na Exclusão do Grupo |
admin.group.delete.success
|
Operações CRUD do Grupo |
Atribuição de Associação de Grupo |
admin.group.add.member.success
|
Operações CRUD do Grupo |
Remoção de Membros do Grupo |
admin.group.remove.member.success
|
Operações CRUD do Aplicativo |
Criação do Aplicativo |
admin.app.create.success
|
Operações CRUD do Aplicativo |
Atualização do Aplicativo |
admin.app.update.success
|
Operações CRUD do Aplicativo |
Exclusão do Aplicativo |
admin.app.delete.success
|
Provisionamento do Usuário |
Provisionamento do Usuário com Sucesso |
admin.account.create.success
|
Provisionamento do Usuário |
Provisionamento de Usuário Malsucedido |
admin.account.delete.success
|
Recursos do Evento
A tabela a seguir descreve os recursos cruciais do evento.
Recursos do evento | Descrição |
---|---|
eventID |
ID do Evento conforme definido pelos componentes dos domínios de identidades |
actorName |
Nome de usuário (nome de login) do contexto de segurança |
actorDisplayName |
Nome para exibição do usuário do contexto de segurança |
actorId |
GUID do usuário no contexto de segurança |
actorType |
O tipo de ator, Usuário ou Cliente |
ssoSessionId |
Identificador de SSO na nuvem |
ssoIdentityProvider |
Provedor de Identidades SSO |
ssoAuthFactor |
O Fator de Autenticação usado para autenticação |
ssoApplicationId |
GUID do identificador do aplicativo |
ssoApplicationType |
Tipo de Aplicativo SSO: O Tipo de Aplicativo indica se o aplicativo é um OPC ou um aplicativo NonOPC e se o tipo é SAML, OAuth ou Secure Form Fill com base no protocolo. |
clientIp |
Endereço IP do aplicativo cliente que está fazendo a solicitação |
ssoUserAgent |
Informações do dispositivo do usuário |
ssoPlatform |
Plataforma usada para executar autenticação |
ssoProtectedResource |
URI do recurso protegido (Host, porta e contexto do recurso) |
ssoMatchedSignOnPolicy |
Política de Sign-On Correspondida, adicionada na versão 18.1.2 |
Mensagem |
Mensagem de sucesso ou falha específica do evento |
Timestamp |
Timestamp de quando o evento ocorreu |
Esquema de Auditoria
Você pode encontrar o Esquema de Auditoria usando a API REST dos domínios de identidade. O Esquema de Auditoria contém todas as informações discutidas nas tabelas desse caso de uso.
Exemplo de Solicitação
Execute um GET no ponto final /Schemas
usando o esquema AuditEvent
.
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEvent
Exemplo de Snapshot de Resposta
Veja a seguir um snapshot da resposta.
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},