OneLogin 身份的来源配置
与 OneLogin 身份集成
Onelogin 是一个基于云的身份和访问管理(IAM)平台,提供单点登录(SSO)、多重身份验证(MFA)和用户预置功能。CloudWatch 管道使用 OneLogin 事件 API 来检索有关 OneLogin 环境中的身份验证事件、用户活动、策略决策和管理变更的信息。事件 API 支持通过 REST 端点访问事件数据,从而允许从 OneLogin 账户检索安全日志和访问日志。
使用 OneLogin 身份进行身份验证
要读取日志,该管道需要通过 OneLogin 账户进行身份验证。对于 OneLogin,身份验证使用 OAuth2 执行。
为 OneLogin 配置 OAuth2 身份验证
登录 OneLogin 管理门户,然后导航到“开发人员”→“API 凭证”。创建新的 API 凭证对。立即记下客户端 ID 和客户端秘钥。
分配相应的权限。选择“全部读取”或“全部管理”作用域,确保凭证可以访问事件日志数据。
在 AWS Secrets Manager 中创建密钥,将客户端 ID 存储在
client_id键下,将客户端密钥存储在client_secret键下。在 OneLogin 管理门户的“设置”→“账户设置”下记下账户 ID(子域名)。
配置 CloudWatch 管道
要将管道配置为读取日志,请选择 OneLogin 作为数据来源。填写所需信息,例如子域名和身份验证凭证。(可选)指定范围持续时间格式(例如,最近 21 小时为 PT21H)。创建并激活管道后,OneLogin 中的审计日志数据将开始流入选定的 CloudWatch Logs 日志组。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 1.5.0,以及映射到“账户变更”(3001)、“身份验证”(3002)和“实体管理”(3004)的 OneLogin 事件。
账户变更包含以下事件:
用户已请求新密码
已更改用户密码
已停用用户
用户已批准密码请求
用户被锁定
用户暂停
用户已锁定在应用程序之外
已为用户解锁 OTP 设备
用户已在应用程序中暂停
用户已在目录中暂停
已解锁目录中的用户
用户被授予管理角色的权限
用户管理角色的权限已撤销
用户已启用桌面 SSO
用户已禁用桌面 SSO
管理员已更改用户密码
已重定向到外部站点进行密码重置
API – 已为用户更新密码
API – 用户已锁定
用户通过 API 被暂停
用户通过 API 被锁定
用户已启用账户的自适应登录
用户已禁用账户的自适应登录
配置文件更改密码
已手动将用户添加到应用程序
已从应用程序中手动移除用户
更改用户密码失败
用户被授予管理角色的权限失败
用户管理角色的权限撤销失败
已为用户更新智能密码
无法为用户更新智能密码
API – 用户密码未更新
身份验证包含以下事件:
用户已登录 OneLogin
用户已退出 OneLogin
用户已登录应用程序
用户已退出应用程序
用户已通过 RADIUS 配置进行身份验证
用户已通过 API 进行身份验证
用户已成功通过 VLDAP 进行身份验证
用户已通过社交网络登录 OneLogin
用户已成功通过 VLDAP 进行身份验证(OneLogin 桌面 Mac)
API – 用户已退出
API – 已调用验证因子
API – 确认用户的 OTP 已成功
用户已被强制退出
用户已成功在可信设备上登录
用户已成功通过 OneLogin 桌面登录
用户已通过 OTP 推送请求拒绝身份验证
用户已触发 OTP
用户已在应用程序中重新进行身份验证
用户已验证 OTP 设备
OIDC 应用程序密码验证成功
API – 用户触发因子成功
OIDC 应用程序隐式流程成功
OIDC 应用程序授权码成功
OIDC 获取应用程序验代码成功
OIDC 验证应用程序令牌成功
用户身份验证失败
用户登录应用程序失败
用户被 RADIUS 配置拒绝
通过 IDP 登录应用程序失败
无法向应用程序进行身份验证
用户通过 API 进行身份验证失败
用户使用 VLDAP 进行身份验证失败
用户身份验证策略不允许通过社交网络登录
用户通过 VLDAP 进行身份验证失败(OneLogin 桌面 Mac)
API – 用户退出失败
API – 验证因子失败
API – 确认用户的 OTP 失败
用户在可信设备上登录失败
用户通过 OneLogin 桌面登录失败
用户通过 OneLogin 桌面进行身份验证失败
用户 OTP 验证失败
OIDC 应用程序的隐式流程失败
OIDC 应用程序授权码失败
OIDC 应用程序密码失败
OIDC 验证应用程序令牌失败
OIDC 一般失败
OIDC 获取应用程序代码失败
实体管理包含以下事件:
已将角色分配给用户
用户已创建
用户已更新
已停用用户
用户已激活
用户被删除
已为用户注册 OTP 设备
已为用户取消注册 OTP 设备
已更新信用卡
用户已在应用程序中预置
用户已在应用程序中更新
用户已在应用程序中暂停
用户已在应用程序中重新激活
用户已在应用程序中删除
账户被授予特权权限
已撤销账户特权权限
用户被授予特权权限
已撤销用户特权权限
已添加可信的 IDP
已移除可信的 IDP
已修改可信的 IDP
用户已在目录中预置
用户已按目录更新
用户已在目录中暂停
用户已在目录中重新激活
用户已在目录中删除
已删除安全说明
已更新用户登录信息
已尝试更新登录信息
已更改默认的可信 IDP
已将用户添加到角色
已从角色中移除用户
创建策略
更新了 策略
已删除策略
已创建代理程序
已删除代理程序
已创建 RADIUS 配置
已更新 RADIUS 配置
已删除 RADIUS 配置
已启用 VPN
已更新 VPN 设置
已禁用 VPN
已启用嵌入
已更新嵌入设置
已禁用嵌入
已创建身份验证因素
已更新身份验证因素
删除了身份验证因素
已更新安全问题
已更新桌面 SSO 设置
已启用桌面 RSS
已禁用桌面 RSS
已创建证书
已删除证书
已创建 API 凭证
已删除 API 凭证
已启用 API 凭证
已禁用 API 凭证
已启用虚拟 LDAP
已禁用虚拟 VDAP
已更新虚拟 LDAP 设置
已启用品牌宣传
已禁用品牌宣传
已更新品牌宣传
已删除映射
已禁用映射
已启用映射
已更新映射
已删除自定义用户字段
已更新公司信息
已更新账户设置
已删除目录
已从目录中删除连接器实例
已创建自助注册
已更新自助注册
已删除自助注册
已创建付款记录
已更新付款记录
已删除付款记录
已更新策略的条款和条件
已手动更新应用程序的用户登录信息
用户已由可信的 IDP 创建
已为用户更新目录外部 ID
已为用户删除目录外部 ID
已更新广播公司
已删除广播公司
API – 已将角色添加到用户
API – 已为用户移除角色
API – 已更新用户
API – 已删除用户
API – 已创建用户
已更新目录
已为目录更新 OU
用户通过 API 被暂停
用户通过 API 被重新激活
应用程序已更新
连接器已创建
连接器已更新
连接器已删除
参数已创建
参数已更新
参数已删除
已删除 OneLogin 桌面的设备
已撤销用户证书
已撤销设备证书
应用程序已通过 API 创建
应用程序已通过 API 更新
应用程序已通过 API 销毁
沙盒已删除
沙盒已创建
沙盒已更新
用户已删除安全因素
用户已重命名安全因素
已创建 RADIUS 属性
已更新 RADIUS 属性
已删除 RADIUS 属性
角色已创建
角色已删除
SMTP 配置已更新
智能钩子已创建
智能钩子已更新
智能钩子已删除
智能钩子环境变量已创建
智能钩子环境变量已更新
智能钩子环境变量已删除
API – 权限已创建
已创建权限
API – 权限已更新
已更新权限
API – 权限已删除
已删除权限
API – 权限已分配给用户
已为用户分配权限
API – 已从用户中移除权限
已移除用户的权限
API – 权限已分配给角色
已为角色分配权限
API – 已从角色中移除权限
已移除角色的权限
报告已创建
报告已更新
报告已销毁
已创建组
已更新组
销毁了组
已创建安全说明
API – 应用程序规则创建成功
API – 应用程序规则更新成功
API – 应用程序规则删除成功
API – 角色更新成功
信用卡更新失败
无法更新用户
无法在应用程序中删除用户
无法在应用程序中更新用户
用户未在应用程序中更新
API – 用户未删除
API – 用户未更新
API – 用户未创建
无法创建连接器
无法更新连接器
无法删除连接器
无法创建参数
无法更新参数
无法删除参数
通过 API 创建应用程序失败
通过 API 更新应用程序失败
通过 API 销毁应用程序失败
删除沙盒失败
创建沙盒失败
更新沙盒失败
智能钩子更新失败
智能钩子环境变量更新失败
API – 应用程序规则创建失败
API – 应用程序规则更新失败
API – 应用程序规则删除失败
将用户添加到角色失败
角色创建失败
角色删除失败
API – 角色更新失败
