Oracle Cloud Infrastructureドキュメント

監査イベントAPIの使用

アイデンティティ・ドメイン監査イベントRESTエンドポイントでは、重要なイベント、変更またはアクションを含む監査ログを取得できます。これらのAPIを使用して、すべてのセキュリティー情報およびイベント管理(SIEM)、UEBA (User and Entity Behavior Analytics)、およびCloud Access Security Broker (CASB)を統合して、監査データをポーリングできます。

ノート

アイデンティティ・ドメインAuditEventsおよびReports APIの特定のレポート・テンプレートは、2024年12月15日より後に新しいデータの返却を停止します。かわりに、OCI監査サービスを使用してこのデータを取得できます。IAMのサービス変更アナウンスメントを表示するには、IAMのサービス変更アナウンスメントを参照してください。

監査イベントを使用すると、アクションを実行したユーザーやアクションの内容など、監査ログによって提供される詳細を使用して、組織のメンバーが実行したアクションを確認できます。アイデンティティ・ドメインは、システムで発生するすべてのアクティビティの中心的な制御ポイントです。ユーザー・ログイン、アプリケーション・アクセス、パスワードのリセット、ユーザー・プロファイルの更新、ユーザー、グループ、アプリケーションに対するCRUD操作など、すべての管理者およびエンド・ユーザーの操作に応じて監査データを生成します。

ノート

監査イベント関連の日時は、協定世界時(UTC)形式(YYYY-MM-DDThh:mm:ss.mscZ)を使用します。たとえば、2022-03-24T10:24:24.022Zです。

図の左側のアクティビティなど、多くの管理者およびユーザー・アクティビティから包括的なレポートを生成できます。右側には、取得可能な履歴ユーザー・アクティビティと、分析ツールにデータをインポートして生成できる統計および分析の例が示されています。

監査の例

監査の例を使用すると、迅速に確認できます。コレクションのインポート後、フィルタに「audit」を入力してすべての監査リクエストを検索します。idm-samples GitHubリポジトリ内のidcs-rest-clientsフォルダから、アイデンティティ・ドメイン認証ユースケース・サンプル・コレクションおよびグローバル変数ファイルをダウンロードし、Postmanにインポートします。

Identity Domainsの監査イベント

この表は、アイデンティティ・ドメインの最も重要なイベントの一部のイベントIDを示しています。

イベント・カテゴリ イベント イベントID

シングル・サインオン

ユーザーのログインに成功しました

 sso.session.create.success

シングル・サインオン

ユーザー・ログインに失敗

 sso.authentication.failure

アプリケーション・アクセス・イベント

アプリケーション・アクセスに成功

 sso.app.access.success

アプリケーション・アクセス・イベント

アプリケーション・アクセスに失敗

 sso.app.access.failure

マルチファクタ認証

ユーザーのステップアップ認証

sso.auth.factor.initiated

マルチファクタ認証

ByPassコードの作成

 sso.bypasscode.create.success

マルチファクタ認証

ByPassコードの削除

 sso.bypasscode.delete.success

自己登録

ユーザー自己登録に成功

 admin.me.register.success

セルフサービス・アクセス・リクエスト

アクセス・リクエストに成功

 admin.myrequest.create.success

通知

通知配信に成功

 notification.delivery.success

通知

通知配信に失敗

 notification.delivery.failure

アイデンティティ・ブリッジ同期

IDブリッジ同期に成功

 idbridge.sync.success

アイデンティティ・ブリッジ同期

IDブリッジ同期に失敗

 idbridge.sync.failure

パスワード忘れ/リセット

パスワードが正常にリセットされました

 admin.me.password.reset.success

管理者によって開始されたパスワードのリセット

パスワードが正常にリセットされました

 admin.user.password.reset.success

パスワードの変更

パスワードの変更に成功しました

 admin.me.password.change.success

パスワードの変更

パスワードの変更に失敗しました

 admin.me.password.change.failure

ユーザーCRUD操作

ユーザー作成成功

 admin.user.create.success

ユーザーCRUD操作

ユーザーのアクティブ化に成功

 admin.user.activated.success

ユーザーCRUD操作

ユーザーの更新に成功

 admin.user.update.success

ユーザーCRUD操作

ユーザーの削除に成功

 admin.user.delete.success

グループCRUD操作

グループ作成成功

 admin.group.create.success

グループCRUD操作

グループの更新に成功

 admin.group.update.success

グループCRUD操作

グループ削除成功

 admin.group.delete.success

グループCRUD操作

グループ・メンバーシップの割当て

 admin.group.add.member.success

グループCRUD操作

グループ・メンバーシップの削除

 admin.group.remove.member.success

アプリケーションCRUD操作

アプリケーションの作成

 admin.app.create.success

アプリケーションCRUD操作

アプリケーションの更新

 admin.app.update.success

アプリケーションCRUD操作

アプリケーション削除

 admin.app.delete.success

ユーザー・プロビジョニング

ユーザー・プロビジョニングに成功

 admin.account.create.success

ユーザー・プロビジョニング

ユーザー・プロビジョニングに失敗

 admin.account.delete.success

イベント・リソース

次の表に、重要なイベント・リソースを示します。

イベント・リソース 説明

eventID

アイデンティティ・ドメイン・コンポーネントで定義されたイベントID

actorName

セキュリティ・コンテキストからのユーザー名(ログイン名)

actorDisplayName

セキュリティ・コンテキストからのユーザー名

actorId

セキュリティ・コンテキストからのユーザーGUID

actorType

アクター・タイプ(UserまたはClient)

ssoSessionId

Cloud SSO識別子

ssoIdentityProvider

SSOアイデンティティ・プロバイダ

ssoAuthFactor

認証に使用される認証ファクタ

ssoApplicationId

アプリケーション識別子GUID

ssoApplicationType

SSOアプリケーション・タイプ: アプリケーション・タイプは、アプリケーションがOPCとNonOPCのどちらであるか、およびタイプがSAML、OAuthまたはSecure Form Fillのいずれであるかをプロトコルに基づいて示します。

clientIp

リクエストしているクライアント・アプリケーションのIPアドレス

ssoUserAgent

ユーザーのデバイス情報

ssoPlatform

認証の実行に使用されるプラットフォーム

ssoProtectedResource

保護されたリソースのURI (リソースのホスト、ポートおよびコンテキスト)

ssoMatchedSignOnPolicy

一致したサインオン・ポリシー(バージョン18.1.2で追加)

メッセージ

イベント固有の成功または失敗に関するメッセージ

タイムスタンプ

イベント発生時のタイムスタンプ

監査スキーマ

監査スキーマは、アイデンティティ・ドメインREST APIを使用して検索できます。監査スキーマには、このユースケースの表で説明するすべての情報が含まれています。

リクエストの例

AuditEventスキーマを使用して、/SchemasエンドポイントでGETを実行します。

GET <domainURL>>/admin/v1/Schemas/urn:ietf:params:scim:schemas:oracle:idcs:AuditEvent

レスポンスのスナップショットの例

レスポンスのスナップショットを次に示します。

{
    "attributes": [
        {
            "caseExact": false,
            "description": "Unique URI of the schema",
            "idcsDisplayName": "ID",
            "idcsSearchable": true,
            "multiValued": false,
            "mutability": "readOnly",
            "name": "id",
            "required": true,
            "returned": "always",
            "type": "string",
            "uniqueness": "global"
        },
        {
            "caseExact": false,
            "description": "An identifier for the Resource as defined by the Service Consumer. The externalId may simplify identification of the Resource between Service Consumer and Service Provider by allowing the Consumer to refer to the Resource with its own identifier, obviating the need to store a local mapping between the local identifier of the Resource and the identifier used by the Service Provider. Each Resource MAY include a non-empty externalId value. The value of the externalId attribute is always issued by the Service Consumer and can never be specified by the Service Provider. The Service Provider MUST always interpret the externalId as scoped to the Service Consumer's tenant.",
            "idcsDisplayName": "External ID",
            "idcsSearchable": false,
            "multiValued": false,
            "mutability": "readWrite",
            "name": "externalId",
            "required": false,
            "returned": "default",
            "type": "string",
            "uniqueness": "none"
        },
        {
            "caseExact": true,
            "description": "Event correlation ID (ECID) correlating a chain of events as belonging to the same business operation (root task). ECID is generated when the request enters the IDCS web tier.",
            "idcsDisplayName": "Execution Context Id",
            "idcsSearchable": true,
            "multiValued": false,
            "mutability": "readWrite",
            "name": "ecId",
            "required": false,
            "returned": "default",
            "type": "string",
            "uniqueness": "none"
        },
        {
            "caseExact": true,
            "description": "Relationship Identifier (RID). This value indicates the position of a particular event/sub-operation within the tree of tasks that begins with the root task.",
            "idcsDisplayName": "Relationship Id",
            "idcsSearchable": true,
            "multiValued": false,
            "mutability": "readWrite",
            "name": "rId",
            "required": false,
            "returned": "default",
            "type": "string",
            "uniqueness": "none"
        },
        {
            "caseExact": false,
            "description": "Timestamp of when the event occurred, provided by the Event Manager (not supplied by clients)",
            "idcsDisplayName": "Timestamp",
            "idcsSearchable": true,
            "multiValued": false,
            "mutability": "readWrite",
            "name": "timestamp",
            "required": false,
            "returned": "default",
            "type": "dateTime",
            "uniqueness": "none"
        },