Configuración de OneLogin Identity como origen
Integración con OneLogin Identity
OneLogin es una plataforma de administración de identidades y accesos (IAM) basada en la nube que proporciona inicio de sesión único (SSO), autenticación multifactor (MFA) y capacidades de aprovisionamiento de usuarios. Las canalizaciones de CloudWatch utilizan la API de eventos de OneLogin para recuperar información sobre eventos de autenticación, actividades de usuarios, decisiones de políticas y cambios administrativos en el entorno de OneLogin. La API de eventos proporciona acceso a datos de eventos mediante puntos de conexión de REST, lo que permite recuperar registros de seguridad y acceso de la cuenta de OneLogin.
Autenticación con OneLogin Identity
Para leer los registros, la canalización se debe autenticar con la cuenta de OneLogin. En OneLogin, la autenticación se realiza mediante OAuth2.
Configuración de la autenticación OAuth2 para OneLogin
Inicie sesión en el portal de administración de OneLogin y vaya a Desarrolladores → Credenciales de API. Cree un nuevo par de credenciales de API. Anote de inmediato el ID de cliente y el secreto de cliente.
Asigne los permisos adecuados. Seleccione el alcance Leer todo o Administrar todo para garantizar que las credenciales puedan acceder a los datos de los registros de eventos.
En AWS Secrets Manager, cree un secreto y almacene el ID de cliente con la clave
client_idy el secreto de cliente con la claveclient_secret.Anote el ID de cuenta (subdominio) en el portal de administración de OneLogin, en Configuración → Configuración de la cuenta.
Configuración de la canalización de CloudWatch
Para configurar la canalización para leer registros, elija OneLogin como origen de datos. Complete la información requerida, como el subdominio y las credenciales de autenticación. De manera opcional, especifique el formato de duración para el intervalo (por ejemplo, PT21H para las últimas 21 horas). Una vez que cree y active la canalización, los datos de los registros de eventos de OneLogin comenzarán a enviarse al grupo de registro de Registros de CloudWatch seleccionado.
Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles
Esta integración admite la versión 1.5.0 del esquema OCSF y eventos de OneLogin que se asignan a Cambio de cuenta (3001), Autenticación (3002) y Administración de entidades (3004).
El cambio de cuentas contiene los siguientes eventos:
El usuario solicitó una nueva contraseña
Se cambió la contraseña del usuario
Usuario desactivado
Se aprobó la solicitud de contraseña del usuario
Usuario bloqueado
Usuario suspendido
Usuario bloqueado fuera de la aplicación
Dispositivo OTP desbloqueado para el usuario
El usuario se suspendió en la aplicación
El usuario se suspendió en el directorio
Usuario desbloqueado en el directorio
Se concedió al usuario permiso para administrar roles
Se revocó el permiso del usuario para administrar roles
El usuario habilitó SSO de escritorio
El usuario deshabilitó SSO de escritorio
El administrador cambió la contraseña del usuario
Se redirigió a un sitio externo para restablecer la contraseña
API: la contraseña del usuario se actualizó
API: el usuario fue bloqueado
El usuario se suspendió mediante la API
Usuario bloqueado mediante la API
El usuario habilitó el inicio de sesión adaptativo para la cuenta
El usuario deshabilitó el inicio de sesión adaptativo para la cuenta
Cambio de contraseña del perfil
Se agregó manualmente al usuario a la aplicación
Se eliminó manualmente al usuario de la aplicación
No se pudo cambiar la contraseña del usuario
No se pudo conceder al usuario permiso para administrar roles
No se pudo revocar el permiso del usuario para administrar roles
Se actualizó la contraseña inteligente del usuario
No se pudo actualizar la contraseña inteligente del usuario
API: la contraseña del usuario no se actualizó
La autenticación contiene los siguientes eventos:
El usuario inició sesión en OneLogin
El usuario cerró sesión en OneLogin
El usuario inició sesión en la aplicación
El usuario cerró sesión en la aplicación
El usuario se autenticó mediante la configuración de RADIUS
El usuario se autenticó mediante la API
El usuario se autenticó correctamente con VLDAP
El usuario inició sesión en OneLogin mediante una red social
El usuario se autenticó correctamente con VLDAP (OneLogin Desktop para Mac)
API: cierre de sesión del usuario
API: se llamó a la verificación del factor
API: la confirmación de la contraseña de un solo uso para el usuario se completó correctamente
Se forzó el cierre de sesión del usuario
El usuario inició sesión correctamente en un dispositivo de confianza
El usuario inició sesión correctamente mediante OneLogin Desktop
El usuario rechazó la autenticación mediante una solicitud push de contraseña de un solo uso
Se solicitó una contraseña de un solo uso al usuario
El usuario volvió a autenticarse en la aplicación
El usuario verificó el dispositivo de contraseña de un solo uso
La contraseña de OIDC para la aplicación se validó correctamente
API: la activación del factor para el usuario se completó correctamente
El flujo implícito de OIDC para la aplicación se completó correctamente
El código de autorización de OIDC para la aplicación se completó correctamente
La obtención del código de OIDC para la aplicación se completó correctamente
La validación del token de OIDC para la aplicación se completó correctamente
La autenticación del usuario falló
El usuario no logró iniciar sesión en la aplicación
El usuario fue rechazado por la configuración de RADIUS
No se logró iniciar sesión en la aplicación mediante el IdP
No fue posible autenticarse en la aplicación
La autenticación del usuario mediante la API falló
La autenticación del usuario con LDAP virtual falló
La política de autenticación del usuario no permite iniciar sesión mediante una red social
La autenticación del usuario con LDAP virtual falló (OneLogin Desktop Mac)
API: el usuario no logró cerrar sesión
API: la verificación del factor falló
API: la confirmación de la contraseña de un solo uso para el usuario falló
El usuario no logró iniciar sesión en un dispositivo de confianza
El usuario no logró iniciar sesión mediante OneLogin Desktop
El usuario no logró autenticarse mediante OneLogin Desktop
El usuario no superó la verificación de contraseña de un solo uso
El flujo implícito de OIDC para la aplicación falló
El código de autorización de OIDC para la aplicación falló
La contraseña de OIDC para la aplicación falló
La validación del token de OIDC para la aplicación falló
Error general de OIDC
La obtención del código de OIDC para la aplicación falló
La administración de entidades contiene los eventos siguientes:
Se asignó un rol al usuario
El usuario se creó
El usuario se actualizó
Usuario desactivado
El usuario se activó
El usuario se eliminó
Se registró un dispositivo de contraseña de un solo uso para el usuario
Se anuló el registro de un dispositivo de contraseña de un solo uso para el usuario
Se actualizó la tarjeta de crédito
El usuario se aprovisionó en la aplicación
El usuario se actualizó en la aplicación
El usuario se suspendió en la aplicación
El usuario se reactivó en la aplicación
El usuario se eliminó de la aplicación
La cuenta recibió permiso para el privilegio
A la cuenta se le revocó el permiso para el privilegio
El usuario recibió permiso para el privilegio
Al usuario se le revocó el permiso para el privilegio
Se agregó un IdP de confianza
Se eliminó un IdP de confianza
Se modificó un IdP de confianza
El usuario se aprovisionó en el directorio
El usuario se actualizó mediante el directorio
El usuario se suspendió en el directorio
El usuario se reactivó en el directorio
El usuario se eliminó del directorio
Se eliminó una nota segura
Se actualizó la información de inicio de sesión del usuario
Se intentó actualizar la información de inicio de sesión
Se cambió el IdP de confianza predeterminado
Se agregó el usuario al rol
Se eliminó el usuario del rol
Política creada
Política actualizada
Se eliminó la política
Se creó el agente proxy
Se eliminó el agente proxy
Se creó la configuración de RADIUS
Se actualizó la configuración de RADIUS
Se eliminó la configuración de RADIUS
Se habilitó la VPN
Se actualizó la configuración de la VPN
Se desactivó la VPN
Se habilitó la incrustación
Se actualizó la configuración de incrustación
Se desactivó la incrustación
Se creó el factor de autenticación
Se actualizó el factor de autenticación
Se eliminó el factor de autenticación
Se actualizaron las preguntas de seguridad
Se actualizó la configuración del SSO de escritorio
Se habilitó el SSO de escritorio
Se desactivó el SSO de escritorio
Se creó el certificado
Se eliminó el certificado
Se creó la credencial de la API
Se eliminó la credencial de la API
Se habilitó la credencial de la API
Se desactivó la credencial de la API
Se habilitó LDAP virtual
Se desactivó LDAP virtual
Se actualizó la configuración de LDAP virtual
Se habilitó la imagen de marca
Se desactivó la imagen de marca
Se actualizó la imagen de marca
Se eliminó la asignación
Se desactivó la asignación
Se habilitó la asignación
Se actualizó la asignación
Se eliminaron los campos personalizados del usuario
Se actualizó la información de la empresa
Se actualizó la configuración de la cuenta
Se eliminó el directorio
Se eliminó la instancia del conector del directorio
Se creó el autorregistro
Se actualizó el autorregistro
Se eliminó el autorregistro
Se creó el registro de pago
Se actualizó el registro de pago
Se eliminó el registro de pago
Se actualizaron los términos y condiciones de la política
Se actualizó manualmente el inicio de sesión del usuario para la aplicación
El usuario fue creado por el IdP de confianza
Se actualizó el ID externo del directorio para el usuario
Se eliminó el ID externo del directorio para el usuario
Se actualizó el difusor
Se eliminó el difusor
API: se agregaron roles al usuario
API: se eliminaron roles del usuario
API: el usuario se actualizó
API: el usuario se eliminó
API: el usuario se creó
Se actualizó el directorio
Se actualizaron las unidades organizativas del directorio
El usuario se suspendió mediante la API
El usuario se reactivó mediante la API
La aplicación se actualizó
Se creó el conector
Se actualizó el conector
Se eliminó el conector
Se creó el parámetro
Se actualizó el parámetro
Se eliminó el parámetro
Se eliminó el dispositivo para OneLogin Desktop
Se revocó el certificado del usuario
Se revocó el certificado del dispositivo
La aplicación se creó mediante la API
La aplicación se actualizó mediante la API
La aplicación se destruyó mediante la API
Se eliminó el entorno de pruebas
Se creó el entorno de pruebas
Se actualizó el entorno de pruebas
El usuario eliminó el factor de seguridad
El usuario cambió el nombre del factor de seguridad
Se creó el atributo de RADIUS
Se actualizó el atributo de RADIUS
Se eliminó el atributo de RADIUS
Se creó el rol
Se eliminó el rol
Se actualizó la configuración de SMTP
Se creó el enlace inteligente
Se actualizó el enlace inteligente
Se eliminó el enlace inteligente
Se creó la variable de entorno del enlace inteligente
Se actualizó la variable de entorno del enlace inteligente
Se eliminó la variable de entorno del enlace inteligente
API: se creó un privilegio
Se creó el privilegio
API: se actualizó un privilegio
Se actualizó el privilegio
API: se eliminó un privilegio
Se eliminó el privilegio
API: se asignó un privilegio al usuario
Se asignó el privilegio al usuario
API: se eliminó un privilegio del usuario
Se eliminó el privilegio del usuario
API: se asignó un privilegio al rol
Se asignó el privilegio al rol
API: se eliminó un privilegio del rol
Se eliminó el privilegio del rol
Se creó el informe
Se actualizó el informe
Se destruyó el informe
Grupo creado
Se actualizó el grupo
Se destruyó el grupo
Se creó la nota segura
API: la creación de reglas de la aplicación se completó correctamente
API: la actualización de reglas de la aplicación se completó correctamente
API: la eliminación de reglas de la aplicación se completó correctamente
API: la actualización de roles se completó correctamente
La actualización de la tarjeta de crédito falló
No fue posible actualizar el usuario
No fue posible eliminar el usuario de la aplicación
No fue posible actualizar el usuario en la aplicación
El usuario no se actualizó en la aplicación
API: el usuario no se eliminó
API: el usuario no se actualizó
API: el usuario no se creó
No fue posible crear el conector
No fue posible actualizar el conector
No fue posible eliminar el conector
No fue posible crear el parámetro
No fue posible actualizar el parámetro
No fue posible eliminar el parámetro
La creación de la aplicación mediante la API falló
La actualización de la aplicación mediante la API falló
La destrucción de la aplicación mediante la API falló
No fue posible eliminar el entorno de pruebas
No fue posible crear el entorno de pruebas
No fue posible actualizar el entorno de pruebas
La actualización del enlace inteligente falló
La actualización de la variable de entorno del enlace inteligente falló
API: la creación de reglas de la aplicación falló
API: la actualización de reglas de la aplicación falló
API: la eliminación de reglas de la aplicación falló
No fue posible agregar el usuario al rol
La creación del rol falló
La eliminación del rol falló
API: la actualización de roles falló
