# Configuración de OneLogin Identity como origen
## Integración con OneLogin Identity
OneLogin es una plataforma de administración de identidades y accesos (IAM) basada en la nube que proporciona inicio de sesión único (SSO), autenticación multifactor (MFA) y capacidades de aprovisionamiento de usuarios. Las canalizaciones de CloudWatch utilizan la API de eventos de OneLogin para recuperar información sobre eventos de autenticación, actividades de usuarios, decisiones de políticas y cambios administrativos en el entorno de OneLogin. La API de eventos proporciona acceso a datos de eventos mediante puntos de conexión de REST, lo que permite recuperar registros de seguridad y acceso de la cuenta de OneLogin.
## Autenticación con OneLogin Identity
Para leer los registros, la canalización se debe autenticar con la cuenta de OneLogin. En OneLogin, la autenticación se realiza mediante OAuth2.
**Configuración de la autenticación OAuth2 para OneLogin**
+ Inicie sesión en el portal de administración de OneLogin y vaya a Desarrolladores → Credenciales de API. Cree un nuevo par de credenciales de API. Anote de inmediato el ID de cliente y el secreto de cliente.
+ Asigne los permisos adecuados. Seleccione el alcance Leer todo o Administrar todo para garantizar que las credenciales puedan acceder a los datos de los registros de eventos.
+ En AWS Secrets Manager, cree un secreto y almacene el ID de cliente con la clave `client_id` y el secreto de cliente con la clave `client_secret`.
+ Anote el ID de cuenta (subdominio) en el portal de administración de OneLogin, en Configuración → Configuración de la cuenta.
## Configuración de la canalización de CloudWatch
Para configurar la canalización para leer registros, elija OneLogin como origen de datos. Complete la información requerida, como el subdominio y las credenciales de autenticación. De manera opcional, especifique el formato de duración para el intervalo (por ejemplo, PT21H para las últimas 21 horas). Una vez que cree y active la canalización, los datos de los registros de eventos de OneLogin comenzarán a enviarse al grupo de registro de Registros de CloudWatch seleccionado.
## Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles
Esta integración admite la versión 1.5.0 del esquema OCSF y eventos de OneLogin que se asignan a Cambio de cuenta (3001), Autenticación (3002) y Administración de entidades (3004).
El **cambio de cuentas** contiene los siguientes eventos:
+ El usuario solicitó una nueva contraseña
+ Se cambió la contraseña del usuario
+ Usuario desactivado
+ Se aprobó la solicitud de contraseña del usuario
+ Usuario bloqueado
+ Usuario suspendido
+ Usuario bloqueado fuera de la aplicación
+ Dispositivo OTP desbloqueado para el usuario
+ El usuario se suspendió en la aplicación
+ El usuario se suspendió en el directorio
+ Usuario desbloqueado en el directorio
+ Se concedió al usuario permiso para administrar roles
+ Se revocó el permiso del usuario para administrar roles
+ El usuario habilitó SSO de escritorio
+ El usuario deshabilitó SSO de escritorio
+ El administrador cambió la contraseña del usuario
+ Se redirigió a un sitio externo para restablecer la contraseña
+ API: la contraseña del usuario se actualizó
+ API: el usuario fue bloqueado
+ El usuario se suspendió mediante la API
+ Usuario bloqueado mediante la API
+ El usuario habilitó el inicio de sesión adaptativo para la cuenta
+ El usuario deshabilitó el inicio de sesión adaptativo para la cuenta
+ Cambio de contraseña del perfil
+ Se agregó manualmente al usuario a la aplicación
+ Se eliminó manualmente al usuario de la aplicación
+ No se pudo cambiar la contraseña del usuario
+ No se pudo conceder al usuario permiso para administrar roles
+ No se pudo revocar el permiso del usuario para administrar roles
+ Se actualizó la contraseña inteligente del usuario
+ No se pudo actualizar la contraseña inteligente del usuario
+ API: la contraseña del usuario no se actualizó
La **autenticación** contiene los siguientes eventos:
+ El usuario inició sesión en OneLogin
+ El usuario cerró sesión en OneLogin
+ El usuario inició sesión en la aplicación
+ El usuario cerró sesión en la aplicación
+ El usuario se autenticó mediante la configuración de RADIUS
+ El usuario se autenticó mediante la API
+ El usuario se autenticó correctamente con VLDAP
+ El usuario inició sesión en OneLogin mediante una red social
+ El usuario se autenticó correctamente con VLDAP (OneLogin Desktop para Mac)
+ API: cierre de sesión del usuario
+ API: se llamó a la verificación del factor
+ API: la confirmación de la contraseña de un solo uso para el usuario se completó correctamente
+ Se forzó el cierre de sesión del usuario
+ El usuario inició sesión correctamente en un dispositivo de confianza
+ El usuario inició sesión correctamente mediante OneLogin Desktop
+ El usuario rechazó la autenticación mediante una solicitud push de contraseña de un solo uso
+ Se solicitó una contraseña de un solo uso al usuario
+ El usuario volvió a autenticarse en la aplicación
+ El usuario verificó el dispositivo de contraseña de un solo uso
+ La contraseña de OIDC para la aplicación se validó correctamente
+ API: la activación del factor para el usuario se completó correctamente
+ El flujo implícito de OIDC para la aplicación se completó correctamente
+ El código de autorización de OIDC para la aplicación se completó correctamente
+ La obtención del código de OIDC para la aplicación se completó correctamente
+ La validación del token de OIDC para la aplicación se completó correctamente
+ La autenticación del usuario falló
+ El usuario no logró iniciar sesión en la aplicación
+ El usuario fue rechazado por la configuración de RADIUS
+ No se logró iniciar sesión en la aplicación mediante el IdP
+ No fue posible autenticarse en la aplicación
+ La autenticación del usuario mediante la API falló
+ La autenticación del usuario con LDAP virtual falló
+ La política de autenticación del usuario no permite iniciar sesión mediante una red social
+ La autenticación del usuario con LDAP virtual falló (OneLogin Desktop Mac)
+ API: el usuario no logró cerrar sesión
+ API: la verificación del factor falló
+ API: la confirmación de la contraseña de un solo uso para el usuario falló
+ El usuario no logró iniciar sesión en un dispositivo de confianza
+ El usuario no logró iniciar sesión mediante OneLogin Desktop
+ El usuario no logró autenticarse mediante OneLogin Desktop
+ El usuario no superó la verificación de contraseña de un solo uso
+ El flujo implícito de OIDC para la aplicación falló
+ El código de autorización de OIDC para la aplicación falló
+ La contraseña de OIDC para la aplicación falló
+ La validación del token de OIDC para la aplicación falló
+ Error general de OIDC
+ La obtención del código de OIDC para la aplicación falló
La **administración de entidades** contiene los eventos siguientes:
+ Se asignó un rol al usuario
+ El usuario se creó
+ El usuario se actualizó
+ Usuario desactivado
+ El usuario se activó
+ El usuario se eliminó
+ Se registró un dispositivo de contraseña de un solo uso para el usuario
+ Se anuló el registro de un dispositivo de contraseña de un solo uso para el usuario
+ Se actualizó la tarjeta de crédito
+ El usuario se aprovisionó en la aplicación
+ El usuario se actualizó en la aplicación
+ El usuario se suspendió en la aplicación
+ El usuario se reactivó en la aplicación
+ El usuario se eliminó de la aplicación
+ La cuenta recibió permiso para el privilegio
+ A la cuenta se le revocó el permiso para el privilegio
+ El usuario recibió permiso para el privilegio
+ Al usuario se le revocó el permiso para el privilegio
+ Se agregó un IdP de confianza
+ Se eliminó un IdP de confianza
+ Se modificó un IdP de confianza
+ El usuario se aprovisionó en el directorio
+ El usuario se actualizó mediante el directorio
+ El usuario se suspendió en el directorio
+ El usuario se reactivó en el directorio
+ El usuario se eliminó del directorio
+ Se eliminó una nota segura
+ Se actualizó la información de inicio de sesión del usuario
+ Se intentó actualizar la información de inicio de sesión
+ Se cambió el IdP de confianza predeterminado
+ Se agregó el usuario al rol
+ Se eliminó el usuario del rol
+ Política creada
+ Política actualizada
+ Se eliminó la política
+ Se creó el agente proxy
+ Se eliminó el agente proxy
+ Se creó la configuración de RADIUS
+ Se actualizó la configuración de RADIUS
+ Se eliminó la configuración de RADIUS
+ Se habilitó la VPN
+ Se actualizó la configuración de la VPN
+ Se desactivó la VPN
+ Se habilitó la incrustación
+ Se actualizó la configuración de incrustación
+ Se desactivó la incrustación
+ Se creó el factor de autenticación
+ Se actualizó el factor de autenticación
+ Se eliminó el factor de autenticación
+ Se actualizaron las preguntas de seguridad
+ Se actualizó la configuración del SSO de escritorio
+ Se habilitó el SSO de escritorio
+ Se desactivó el SSO de escritorio
+ Se creó el certificado
+ Se eliminó el certificado
+ Se creó la credencial de la API
+ Se eliminó la credencial de la API
+ Se habilitó la credencial de la API
+ Se desactivó la credencial de la API
+ Se habilitó LDAP virtual
+ Se desactivó LDAP virtual
+ Se actualizó la configuración de LDAP virtual
+ Se habilitó la imagen de marca
+ Se desactivó la imagen de marca
+ Se actualizó la imagen de marca
+ Se eliminó la asignación
+ Se desactivó la asignación
+ Se habilitó la asignación
+ Se actualizó la asignación
+ Se eliminaron los campos personalizados del usuario
+ Se actualizó la información de la empresa
+ Se actualizó la configuración de la cuenta
+ Se eliminó el directorio
+ Se eliminó la instancia del conector del directorio
+ Se creó el autorregistro
+ Se actualizó el autorregistro
+ Se eliminó el autorregistro
+ Se creó el registro de pago
+ Se actualizó el registro de pago
+ Se eliminó el registro de pago
+ Se actualizaron los términos y condiciones de la política
+ Se actualizó manualmente el inicio de sesión del usuario para la aplicación
+ El usuario fue creado por el IdP de confianza
+ Se actualizó el ID externo del directorio para el usuario
+ Se eliminó el ID externo del directorio para el usuario
+ Se actualizó el difusor
+ Se eliminó el difusor
+ API: se agregaron roles al usuario
+ API: se eliminaron roles del usuario
+ API: el usuario se actualizó
+ API: el usuario se eliminó
+ API: el usuario se creó
+ Se actualizó el directorio
+ Se actualizaron las unidades organizativas del directorio
+ El usuario se suspendió mediante la API
+ El usuario se reactivó mediante la API
+ La aplicación se actualizó
+ Se creó el conector
+ Se actualizó el conector
+ Se eliminó el conector
+ Se creó el parámetro
+ Se actualizó el parámetro
+ Se eliminó el parámetro
+ Se eliminó el dispositivo para OneLogin Desktop
+ Se revocó el certificado del usuario
+ Se revocó el certificado del dispositivo
+ La aplicación se creó mediante la API
+ La aplicación se actualizó mediante la API
+ La aplicación se destruyó mediante la API
+ Se eliminó el entorno de pruebas
+ Se creó el entorno de pruebas
+ Se actualizó el entorno de pruebas
+ El usuario eliminó el factor de seguridad
+ El usuario cambió el nombre del factor de seguridad
+ Se creó el atributo de RADIUS
+ Se actualizó el atributo de RADIUS
+ Se eliminó el atributo de RADIUS
+ Se creó el rol
+ Se eliminó el rol
+ Se actualizó la configuración de SMTP
+ Se creó el enlace inteligente
+ Se actualizó el enlace inteligente
+ Se eliminó el enlace inteligente
+ Se creó la variable de entorno del enlace inteligente
+ Se actualizó la variable de entorno del enlace inteligente
+ Se eliminó la variable de entorno del enlace inteligente
+ API: se creó un privilegio
+ Se creó el privilegio
+ API: se actualizó un privilegio
+ Se actualizó el privilegio
+ API: se eliminó un privilegio
+ Se eliminó el privilegio
+ API: se asignó un privilegio al usuario
+ Se asignó el privilegio al usuario
+ API: se eliminó un privilegio del usuario
+ Se eliminó el privilegio del usuario
+ API: se asignó un privilegio al rol
+ Se asignó el privilegio al rol
+ API: se eliminó un privilegio del rol
+ Se eliminó el privilegio del rol
+ Se creó el informe
+ Se actualizó el informe
+ Se destruyó el informe
+ Grupo creado
+ Se actualizó el grupo
+ Se destruyó el grupo
+ Se creó la nota segura
+ API: la creación de reglas de la aplicación se completó correctamente
+ API: la actualización de reglas de la aplicación se completó correctamente
+ API: la eliminación de reglas de la aplicación se completó correctamente
+ API: la actualización de roles se completó correctamente
+ La actualización de la tarjeta de crédito falló
+ No fue posible actualizar el usuario
+ No fue posible eliminar el usuario de la aplicación
+ No fue posible actualizar el usuario en la aplicación
+ El usuario no se actualizó en la aplicación
+ API: el usuario no se eliminó
+ API: el usuario no se actualizó
+ API: el usuario no se creó
+ No fue posible crear el conector
+ No fue posible actualizar el conector
+ No fue posible eliminar el conector
+ No fue posible crear el parámetro
+ No fue posible actualizar el parámetro
+ No fue posible eliminar el parámetro
+ La creación de la aplicación mediante la API falló
+ La actualización de la aplicación mediante la API falló
+ La destrucción de la aplicación mediante la API falló
+ No fue posible eliminar el entorno de pruebas
+ No fue posible crear el entorno de pruebas
+ No fue posible actualizar el entorno de pruebas
+ La actualización del enlace inteligente falló
+ La actualización de la variable de entorno del enlace inteligente falló
+ API: la creación de reglas de la aplicación falló
+ API: la actualización de reglas de la aplicación falló
+ API: la eliminación de reglas de la aplicación falló
+ No fue posible agregar el usuario al rol
+ La creación del rol falló
+ La eliminación del rol falló
+ API: la actualización de roles falló