# Configuração de fonte no OneLogin Identity
## Integrar com o OneLogin Identity
O OneLogin é uma plataforma de gerenciamento de identidade e acesso (IAM) baseada em nuvem que fornece autenticação única (SSO), autenticação multifator (MFA) e recursos de provisionamento de usuários. O CloudWatch Pipeline usa a API Eventos do OneLogin para recuperar informações sobre eventos de autenticação, atividades de usuários, decisões de políticas e mudanças administrativas por todo o ambiente do OneLogin. A API Eventos permite acesso a dados de eventos por endpoints REST, permitindo recuperar logs de segurança e acesso da sua organização do OneLogin.
## Autenticar no OneLogin Identity
Para ler os logs, o pipeline precisa ser autenticado no ambiente do OneLogin. No OneLogin, a autenticação é realizada com o OAuth2.
**Configurar a autenticação OAuth2 para o OneLogin**
+ Entre no portal de administração do OneLogin e navegue até Desenvolvedores → Credenciais de API. Crie um novo par de credenciais de API. Anote imediatamente o ID e a chave secreta do cliente.
+ Atribua as permissões apropriadas. Selecione Ler tudo ou Gerenciar tudo para garantir que as credenciais possam acessar os dados do log de eventos.
+ No AWS Secrets Manager, crie um segredo e armazene o ID do cliente com a chave `client_id` e o segredo do cliente com a chave `client_secret`.
+ Anote o ID da sua conta (subdomínio) no Portal de administração do OneLogin em Configurações → Configurações da conta.
## Configurar o CloudWatch Pipeline
Para configurar o pipeline para ler logs, escolha o OneLogin como a fonte de dados. Preencha as informações necessárias, como subdomínio e credenciais de autenticação. Opcionalmente, especifique o formato de duração do intervalo (por exemplo, PT21H para as últimas 21 horas). Depois que o pipeline é criado e ativado, os dados de log de auditoria do OneLogin começam a fluir para o grupo de logs selecionado do CloudWatch Logs.
## Classes de eventos do Open Cybersecurity Schema Framework compatíveis
Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do OneLogin que são mapeados para Account Change (3001), Authentication (3002) e Entity Management (3004).
**Account Change** inclui os seguintes eventos:
+ O usuário solicitou uma nova senha
+ Senha alterada para o usuário
+ Usuário desativado
+ Solicitação de senha do usuário aprovada
+ Usuário bloqueado
+ Usuário suspenso
+ Entrada do usuário na aplicação bloqueada
+ Dispositivo OTP desbloqueado para o usuário
+ Usuário suspenso na aplicação
+ Usuário suspenso no diretório
+ Usuário desbloqueado no diretório
+ Permissão para gerenciar perfil concedida ao usuário
+ Permissão do usuário para gerenciar perfil revogada
+ SSO de desktop habilitado para o usuário
+ SSO de desktop desabilitado para o usuário
+ O administrador alterou a senha para o usuário
+ Redirecionado para um site externo para redefinição de senha
+ API: senha atualizada para o usuário
+ API: usuário bloqueado
+ Usuário suspenso via API
+ Usuário bloqueado via API
+ O usuário habilitou o login adaptativo para a conta
+ O usuário desabilitou o login adaptativo para a conta
+ Alterar senha de perfil
+ Usuário adicionado manualmente à aplicação
+ Usuário removido manualmente da aplicação
+ Não foi possível alterar a senha para o usuário
+ Não foi possível conceder ao usuário permissão para gerenciar o perfil
+ Não foi possível revogar a permissão do usuário para gerenciar o perfil
+ Senha inteligente atualizada para o usuário
+ Não foi possível atualizar a senha inteligente para o usuário
+ API: senha não atualizada para o usuário
**Authentication** inclui os seguintes eventos:
+ O usuário iniciou a sessão no OneLogin
+ O usuário encerrou a sessão do OneLogin
+ O usuário iniciou a sessão na aplicação
+ O usuário sessão na aplicação
+ Usuário autenticado pela configuração do RADIUS
+ Usuário autenticado via API
+ Usuário autenticado com sucesso no VLDAP
+ Usuário entrou no OneLogin via rede social
+ Usuário autenticado com sucesso no VLDAP (OneLogin Desktop Mac)
+ API: usuário encerrou sessão
+ API: verificar fator chamado
+ API: sucesso em confirmar OTP para o usuário
+ Usuário forçado a encerrar sessão
+ O usuário iniciou sessão em um dispositivo confiável com sucesso
+ O usuário iniciou sessão via área de trabalho do OneLogin com sucesso
+ Autorização via solicitação de envio de OTP negada ao usuário
+ Usuário desafiado por OTP
+ Usuário reautenticado na aplicação
+ Dispositivo de OTP verificado pelo usuário
+ Sucesso de senha do OIDC para a aplicação
+ API: sucesso de fator de gatilho para o usuário
+ Sucesso do fluxo implícito do OIDC para a aplicação
+ Sucesso da autorização do OIDC para a aplicação
+ Sucesso da obtenção de código do OIDC para a aplicação
+ Sucesso do token de validação do OIDC para a aplicação
+ Não foi possível autenticar o usuário
+ O usuário não teve sucesso em iniciar sessão na aplicação
+ Usuário rejeitado pela configuração do RADIUS
+ Não foi possível iniciar sessão na aplicação via IDP
+ Não foi possível fazer a autenticação na aplicação
+ Não foi possível autenticar o usuário via API
+ Não foi possível autenticar o usuário no VLDAP
+ A política de autenticação de usuário não permite iniciar sessão via rede social
+ Não foi possível autenticar o usuário no VLDAP (OneLogin Desktop Mac)
+ API: o usuário não teve sucesso em encerrar a sessão
+ API: não foi possível verificar o fator
+ API: não foi possível confirmar a OTP para o usuário
+ O usuário não teve sucesso em iniciar sessão em um dispositivo confiável
+ O usuário não teve sucesso em iniciar sessão via OneLogin Desktop
+ Não foi possível autenticar o usuário via OneLogin Desktop
+ O usuário não teve sucesso no desafio de OTP
+ Falha no fluxo implícito do OIDC para a aplicação
+ Não foi possível autorizar o código do OIDC para a aplicação
+ Falha na senha do OIDC para a aplicação
+ Não foi possível validar o token do OIDC para a aplicação
+ Falha geral do OIDC
+ Não foi possível obter o código do OIDC para a aplicação
**Entity Management** inclui os seguintes eventos:
+ Perfil atribuído ao usuário
+ O usuário foi criado
+ Usuário atualizado
+ Usuário desativado
+ O usuário foi ativado
+ O usuário foi excluído
+ Dispositivo de OTP registrado para o usuário
+ Dispositivo de OTP cancelado para o usuário
+ Cartão de crédito atualizado
+ Usuário provisionado na aplicação
+ Usuário atualizado na aplicação
+ Usuário suspenso na aplicação
+ Usuário reativado na aplicação
+ Usuário excluído da aplicação
+ Permissão de privilégio concedida à conta
+ Permissão de privilégio revogada para a conta
+ Permissão de privilégio concedida ao usuário
+ Permissão de privilégio revogada para o usuário
+ IDP confiável adicionado
+ IDP confiável removido
+ IDP confiável modificado
+ Usuário provisionado no diretório
+ Usuário atualizado por diretório
+ Usuário suspenso no diretório
+ Usuário reativado no diretório
+ Usuário excluído do diretório
+ Observação de segurança excluída
+ Informações de login de usuário atualizadas
+ Tentativa de atualizar as informações de login
+ Alterado o IDP confiável padrão
+ Usuário adicionado a perfil
+ Usuário removido de perfil
+ Política criada
+ Política atualizada
+ Política excluída
+ Agente proxy criado
+ Agente proxy excluído
+ Configuração do RADIUS criada
+ Configuração do RADIUS atualizada
+ Configuração do RADIUS excluída
+ VPN habilitada
+ Configurações de VPN atualizadas
+ VPN desabilitada
+ Incorporação habilitada
+ Configurações de incorporação atualizadas
+ Incorporação desabilitada
+ Fator de autenticação criado
+ Fator de autenticação atualizado
+ Fator de autenticação excluído
+ Perguntas de segurança atualizadas
+ Configurações de SSO de desktop atualizadas
+ SSO de desktop habilitado
+ SSO de desktop desabilitado
+ Certificado criado
+ Certificado excluído
+ Credencial de API criada
+ Credencial de API excluída
+ Credencial de API habilitada
+ Credencial de API desabilitada
+ LDAP virtual habilitado
+ LDAP virtual desabilitado
+ Configurações de LDAP virtual atualizadas
+ Branding habilitado
+ Branding desabilitado
+ Branding atualizado
+ Mapeamento excluído
+ Mapeamento desabilitado
+ Mapeamento habilitado
+ Mapeamento atualizado
+ Campos de usuário personalizados excluídos
+ Informações de empresa atualizadas
+ Configurações de conta atualizadas
+ Diretório excluído
+ Instância do conector excluída do diretório
+ Autorregistro criado
+ Autorregistro atualizado
+ Autoregistro excluído
+ Registro de pagamento criado
+ Registro de pagamento atualizado
+ Registro de pagamento excluído
+ Termos e condições de política atualizados
+ Login de usuário atualizado manualmente para aplicação
+ O usuário foi criado por IDP confiável
+ O ID externo do diretório foi atualizado para o usuário
+ O ID externo do diretório foi excluído para o usuário
+ Emissor atualizado
+ Emissor excluído
+ API: perfis adicionados ao usuário
+ API: perfis removidos do usuário
+ API: usuário atualizado
+ API: usuário excluído
+ API: usuário criado
+ Diretório atualizado
+ As UOs foram atualizadas para o diretório
+ Usuário suspenso via API
+ Usuário reativado via API
+ A aplicação foi atualizada
+ O conector foi criado
+ O conector foi atualizado
+ O conector foi excluído
+ O parâmetro foi criado
+ O parâmetro foi atualizado
+ O parâmetro foi excluído
+ Dispositivo excluído do OneLogin Desktop
+ Revogado certificado de usuário
+ Revogado certificado de dispositivo
+ A aplicação foi criada via API
+ A aplicação foi atualizada via API
+ A aplicação foi destruída via API
+ Sandbox excluído
+ Sandbox criado
+ Sandbox atualizado
+ Fator de segurança excluído pelo usuário
+ Fator de segurança renomeado pelo usuário
+ Atributo do RADIUS criado
+ Atributo do RADIUS atualizado
+ Atributo do RADIUS excluído
+ Perfil criado
+ Perfis excluídos
+ Configuração de SMTP atualizada
+ Smart hook criado
+ Smart hook atualizado
+ Smart hook excluído
+ Variável de ambiente do smart hook criada
+ Variável de ambiente do smart hook atualizada
+ Variável de ambiente do smart hook excluída
+ API: o privilégio foi criado
+ Privilégio criado
+ API: o privilégio foi atualizado
+ Privilégio atualizado
+ API: o privilégio foi excluído
+ Privilégio excluído
+ API: o privilégio foi atribuído ao usuário
+ Privilégio atribuído ao usuário
+ API: o privilégio foi removido do usuário
+ Privilégio removido do usuário
+ API: privilégio atribuído ao perfil
+ Privilégio atribuído ao perfil
+ API: privilégio removido do perfil
+ Privilégio removido do perfil
+ Relatório criado
+ Relatório atualizado
+ Relatório destruído
+ Grupo criado
+ Grupo atualizado
+ Grupo destruído
+ Observação de segurança criada
+ API: regras da aplicação criadas com sucesso
+ API: regras da aplicação atualizadas com sucesso
+ API: regras da aplicação excluídas com sucesso
+ API: perfis atualizados com sucesso
+ Não foi possível validar o cartão de crédito
+ Não foi possível atualizar o usuário
+ Não foi possível excluir o usuário da aplicação
+ Não foi possível atualizar o usuário na aplicação
+ Usuário não atualizado na aplicação
+ API: usuário não excluído
+ API: usuário não atualizado
+ API: usuário não criado
+ Não foi possível criar o conector
+ Não foi possível atualizar o conector
+ Não foi possível excluir o conector
+ Não foi possível criar o parâmetro
+ Não foi possível atualizar o parâmetro
+ Não foi possível excluir o parâmetro
+ Não foi possível criar a aplicação via API
+ Não foi possível atualizar a aplicação via API
+ Não foi possível destruir a aplicação via API
+ Não foi possível excluir o sandbox
+ Não foi possível criar o sandbox
+ Não foi possível atualizar o sandbox
+ Não foi possível validar o smart hook
+ Não foi possível atualizar a variável de ambiente do smart hook
+ API: não foi possível criar as regras da aplicação
+ API: não foi possível atualizar as regras da aplicação
+ API: não foi possível excluir as regras da aplicação
+ Não foi possível adicionar o usuário ao perfil
+ Não foi possível criar o perfil
+ Não foi possível excluir o perfil
+ API: não foi possível atualizar os perfis