監査イベントAPIの使用
アイデンティティ・ドメインの監査イベントRESTエンドポイントでは、重要なイベント、変更またはアクションに関する監査ログを取得できます。これらのAPIを使用して、すべてのセキュリティ情報およびイベント管理(SIEM)、ユーザーおよびエンティティの行動分析(UEBA)およびクラウド・アクセス・セキュリティ・ブローカ(CASB)を統合し、監査データをポーリングできます。
アイデンティティ・ドメインAuditEventsおよびReports APIの特定のレポート・テンプレートは、2024年12月15日以降に新しいデータの返却を停止します。かわりに、OCI監査サービスを使用してこのデータを取得できます。IAMのサービス変更のお知らせを表示するには、IAMサービス変更のお知らせを参照してください。
監査イベントを使用すると、アクションを実行したユーザーやアクションの内容など、監査ログによって提供される詳細を使用して、組織のメンバーが実行したアクションを確認できます。アイデンティティ・ドメインは、システムで発生するすべてのアクティビティを集中管理するポイントです。ユーザー・ログイン、アプリケーションのアクセス、パスワードのリセット、ユーザー・プロファイルの更新、ユーザー、グループ、アプリケーションへのCRUD操作など、すべての管理者およびエンド・ユーザーの操作に応じて監査データを生成します。
監査イベント関連の日時では、協定世界時(UTC)形式YYYY-MM-DDThh:mm:ss.mscZを使用します。たとえば、2022-03-24T10:24:24.022Zです。
図の左側にあるアクティビティなど、多くの管理者およびユーザー・アクティビティから包括的なレポートを生成できます。右側には、取得可能な履歴ユーザー・アクティビティと、分析ツールにデータをインポートして生成できる統計および分析の例が示されています。
監査の例
監査の例を使用すると、迅速に確認できます。コレクションをインポートした、フィルタに「audit」と入力してすべての監査リクエストを検索します。idm-samples GitHubリポジトリ内のidcs-rest-clientsフォルダからアイデンティティ・ドメイン認証ユースケース・サンプル・コレクションおよびグローバル変数ファイルをダウンロードし、Postmanにインポートします。
アイデンティティ・ドメイン監査イベント
この表では、アイデンティティ・ドメインの最も重要なイベントの一部のイベントIDを示します。
| イベント・カテゴリ | イベント | イベントID |
|---|---|---|
|
シングル・サインオン |
ユーザー・ログイン成功 |
sso.session.create.success
|
|
シングル・サインオン |
ユーザー・ログインに失敗 |
sso.authentication.failure
|
|
アプリケーション・アクセス・イベント |
アプリケーション・アクセスに成功 |
sso.app.access.success
|
|
アプリケーション・アクセス・イベント |
アプリケーション・アクセスに失敗 |
sso.app.access.failure
|
|
多要素認証 |
ユーザーのステップアップ認証 |
sso.auth.factor.initiated
|
|
多要素認証 |
ByPassコードの作成 |
sso.bypasscode.create.success
|
|
多要素認証 |
ByPassコードの削除 |
sso.bypasscode.delete.success
|
|
自己登録 |
ユーザー自己登録に成功 |
admin.me.register.success
|
|
セルフサービス・アクセス・リクエスト |
アクセス・リクエストに成功 |
admin.myrequest.create.success
|
|
通知 |
通知配信に成功 |
notification.delivery.success
|
|
通知 |
通知配信に失敗 |
notification.delivery.failure
|
|
アイデンティティ・ブリッジ同期 |
IDブリッジ同期に成功 |
idbridge.sync.success
|
|
アイデンティティ・ブリッジ同期 |
IDブリッジ同期に失敗 |
idbridge.sync.failure
|
|
パスワードを忘れた場合/リセット |
パスワードのリセットに成功しました |
admin.me.password.reset.success
|
|
管理者によって開始されたパスワードのリセット |
パスワードのリセットに成功しました |
admin.user.password.reset.success
|
|
パスワードの変更 |
パスワードの変更に成功しました |
admin.me.password.change.success
|
|
パスワードの変更 |
パスワードの変更に失敗しました |
admin.me.password.change.failure
|
|
ユーザーCRUD操作 |
ユーザー作成成功 |
admin.user.create.success
|
|
ユーザーCRUD操作 |
ユーザーのアクティブ化に成功 |
admin.user.activated.success
|
|
ユーザーCRUD操作 |
ユーザー更新成功 |
admin.user.update.success
|
|
ユーザーCRUD操作 |
ユーザー削除成功 |
admin.user.delete.success
|
|
グループCRUD操作 |
グループ作成成功 |
admin.group.create.success
|
|
グループCRUD操作 |
グループの更新に成功しました |
admin.group.update.success
|
|
グループCRUD操作 |
グループ削除成功 |
admin.group.delete.success
|
|
グループCRUD操作 |
グループ・メンバーシップの割当て |
admin.group.add.member.success
|
|
グループCRUD操作 |
グループ・メンバーシップの削除 |
admin.group.remove.member.success
|
|
アプリケーションCRUD操作 |
アプリケーションの作成 |
admin.app.create.success
|
|
アプリケーションCRUD操作 |
アプリケーションの更新 |
admin.app.update.success
|
|
アプリケーションCRUD操作 |
アプリケーションの削除 |
admin.app.delete.success
|
|
ユーザー・プロビジョニング |
ユーザー・プロビジョニングに成功 |
admin.account.create.success
|
|
ユーザー・プロビジョニング |
ユーザー・プロビジョニングに失敗 |
admin.account.delete.success
|
イベント・リソース
次の表では、重要なイベント・リソースについて説明します。
| イベント・リソース | 説明 |
|---|---|
|
eventID |
アイデンティティ・ドメイン・コンポーネントによって定義されたイベントID |
|
actorName |
セキュリティ・コンテキストからのユーザー名(ログイン名)。 |
|
actorDisplayName |
セキュリティ・コンテキストからのユーザー表示名 |
|
actorId |
セキュリティ・コンテキストからのユーザーGUID |
|
actorType |
アクター・タイプ(UserまたはClient) |
|
ssoSessionId |
Cloud SSO識別子 |
|
ssoIdentityProvider |
SSOアイデンティティ・プロバイダ |
|
ssoAuthFactor |
認証に使用される認証ファクタ |
|
ssoApplicationId |
アプリケーション識別子GUID |
|
ssoApplicationType |
SSOアプリケーション・タイプ: アプリケーション・タイプは、アプリケーションがOPCとNonOPCのどちらのアプリケーションであるか、およびタイプがSAML、OAuthまたはSecure Form Fillのいずれであるかをプロトコルに基づいて示します。 |
|
clientIp |
リクエストしているクライアント・アプリケーションのIPアドレス |
|
ssoUserAgent |
ユーザーのデバイス情報 |
|
ssoPlatform |
認証の実行に使用されるプラットフォーム |
|
ssoProtectedResource |
保護されたリソースのURI (リソースのホスト、ポートおよびコンテキスト)。 |
|
ssoMatchedSignOnPolicy |
一致するサインオン・ポリシー(バージョン18.1.2で追加) |
|
メッセージ |
イベント固有の成功または失敗に関するメッセージ |
|
タイムスタンプ |
このイベント発生時のタイムスタンプ |
監査スキーマ
監査スキーマは、アイデンティティ・ドメインREST APIを使用して検索できます。監査スキーマには、このユースケースの表で説明するすべての情報が含まれています。
リクエストの例
AuditEventスキーマを使用して、/SchemasエンドポイントでGETを実行します。
GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEventレスポンスのスナップショットの例
レスポンスのスナップショットを次に示します。
{
"attributes": [
{
"caseExact": false,
"description": "Unique URI of the schema",
"idcsDisplayName": "ID",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readOnly",
"name": "id",
"required": true,
"returned": "always",
"type": "string",
"uniqueness": "global"
},
{
"caseExact": false,
"description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
"idcsDisplayName": "External ID",
"idcsSearchable": false,
"multiValued": false,
"mutability": "readWrite",
"name": "externalId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
"idcsDisplayName": "Execution Context Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "ecId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": true,
"description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
"idcsDisplayName": "Relationship Id",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "rId",
"required": false,
"returned": "default",
"type": "string",
"uniqueness": "none"
},
{
"caseExact": false,
"description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
"idcsDisplayName": "Timestamp",
"idcsSearchable": true,
"multiValued": false,
"mutability": "readWrite",
"name": "timestamp",
"required": false,
"returned": "default",
"type": "dateTime",
"uniqueness": "none"
},