# OneLogin 身份的来源配置
<a name="onelogin-identity-source-setup"></a>

## 与 OneLogin 身份集成
<a name="onelogin-identity-integration"></a>

Onelogin 是一个基于云的身份和访问管理（IAM）平台，提供单点登录（SSO）、多重身份验证（MFA）和用户预置功能。CloudWatch 管道使用 OneLogin 事件 API 来检索有关 OneLogin 环境中的身份验证事件、用户活动、策略决策和管理变更的信息。事件 API 支持通过 REST 端点访问事件数据，从而允许从 OneLogin 账户检索安全日志和访问日志。

## 使用 OneLogin 身份进行身份验证
<a name="onelogin-identity-authentication"></a>

要读取日志，该管道需要通过 OneLogin 账户进行身份验证。对于 OneLogin，身份验证使用 OAuth2 执行。

**为 OneLogin 配置 OAuth2 身份验证**
+ 登录 OneLogin 管理门户，然后导航到“开发人员”→“API 凭证”。创建新的 API 凭证对。立即记下客户端 ID 和客户端秘钥。
+ 分配相应的权限。选择“全部读取”或“全部管理”作用域，确保凭证可以访问事件日志数据。
+ 在 AWS Secrets Manager 中创建密钥，将客户端 ID 存储在 `client_id` 键下，将客户端密钥存储在 `client_secret` 键下。
+ 在 OneLogin 管理门户的“设置”→“账户设置”下记下账户 ID（子域名）。

## 配置 CloudWatch 管道
<a name="onelogin-identity-pipeline-config"></a>

要将管道配置为读取日志，请选择 OneLogin 作为数据来源。填写所需信息，例如子域名和身份验证凭证。（可选）指定范围持续时间格式（例如，最近 21 小时为 PT21H）。创建并激活管道后，OneLogin 中的审计日志数据将开始流入选定的 CloudWatch Logs 日志组。

## 支持的开放式网络安全架构框架事件类
<a name="onelogin-identity-ocsf-events"></a>

此集成支持 OCSF 架构版本 1.5.0，以及映射到“账户变更”（3001）、“身份验证”（3002）和“实体管理”（3004）的 OneLogin 事件。

**账户变更**包含以下事件：
+ 用户已请求新密码
+ 已更改用户密码
+ 已停用用户
+ 用户已批准密码请求
+ 用户被锁定
+ 用户暂停
+ 用户已锁定在应用程序之外
+ 已为用户解锁 OTP 设备
+ 用户已在应用程序中暂停
+ 用户已在目录中暂停
+ 已解锁目录中的用户
+ 用户被授予管理角色的权限
+ 用户管理角色的权限已撤销
+ 用户已启用桌面 SSO
+ 用户已禁用桌面 SSO
+ 管理员已更改用户密码
+ 已重定向到外部站点进行密码重置
+ API – 已为用户更新密码
+ API – 用户已锁定
+ 用户通过 API 被暂停
+ 用户通过 API 被锁定
+ 用户已启用账户的自适应登录
+ 用户已禁用账户的自适应登录
+ 配置文件更改密码
+ 已手动将用户添加到应用程序
+ 已从应用程序中手动移除用户
+ 更改用户密码失败
+ 用户被授予管理角色的权限失败
+ 用户管理角色的权限撤销失败
+ 已为用户更新智能密码
+ 无法为用户更新智能密码
+ API – 用户密码未更新

**身份验证**包含以下事件：
+ 用户已登录 OneLogin
+ 用户已退出 OneLogin
+ 用户已登录应用程序
+ 用户已退出应用程序
+ 用户已通过 RADIUS 配置进行身份验证
+ 用户已通过 API 进行身份验证
+ 用户已成功通过 VLDAP 进行身份验证
+ 用户已通过社交网络登录 OneLogin
+ 用户已成功通过 VLDAP 进行身份验证（OneLogin 桌面 Mac）
+ API – 用户已退出
+ API – 已调用验证因子
+ API – 确认用户的 OTP 已成功
+ 用户已被强制退出
+ 用户已成功在可信设备上登录
+ 用户已成功通过 OneLogin 桌面登录
+ 用户已通过 OTP 推送请求拒绝身份验证
+ 用户已触发 OTP
+ 用户已在应用程序中重新进行身份验证
+ 用户已验证 OTP 设备
+ OIDC 应用程序密码验证成功
+ API – 用户触发因子成功
+ OIDC 应用程序隐式流程成功
+ OIDC 应用程序授权码成功
+ OIDC 获取应用程序验代码成功
+ OIDC 验证应用程序令牌成功
+ 用户身份验证失败
+ 用户登录应用程序失败
+ 用户被 RADIUS 配置拒绝
+ 通过 IDP 登录应用程序失败
+ 无法向应用程序进行身份验证
+ 用户通过 API 进行身份验证失败
+ 用户使用 VLDAP 进行身份验证失败
+ 用户身份验证策略不允许通过社交网络登录
+ 用户通过 VLDAP 进行身份验证失败（OneLogin 桌面 Mac）
+ API – 用户退出失败
+ API – 验证因子失败
+ API – 确认用户的 OTP 失败
+ 用户在可信设备上登录失败
+ 用户通过 OneLogin 桌面登录失败
+ 用户通过 OneLogin 桌面进行身份验证失败
+ 用户 OTP 验证失败
+ OIDC 应用程序的隐式流程失败
+ OIDC 应用程序授权码失败
+ OIDC 应用程序密码失败
+ OIDC 验证应用程序令牌失败
+ OIDC 一般失败
+ OIDC 获取应用程序代码失败

**实体管理**包含以下事件：
+ 已将角色分配给用户
+ 用户已创建
+ 用户已更新
+ 已停用用户
+ 用户已激活
+ 用户被删除
+ 已为用户注册 OTP 设备
+ 已为用户取消注册 OTP 设备
+ 已更新信用卡
+ 用户已在应用程序中预置
+ 用户已在应用程序中更新
+ 用户已在应用程序中暂停
+ 用户已在应用程序中重新激活
+ 用户已在应用程序中删除
+ 账户被授予特权权限
+ 已撤销账户特权权限
+ 用户被授予特权权限
+ 已撤销用户特权权限
+ 已添加可信的 IDP
+ 已移除可信的 IDP
+ 已修改可信的 IDP
+ 用户已在目录中预置
+ 用户已按目录更新
+ 用户已在目录中暂停
+ 用户已在目录中重新激活
+ 用户已在目录中删除
+ 已删除安全说明
+ 已更新用户登录信息
+ 已尝试更新登录信息
+ 已更改默认的可信 IDP
+ 已将用户添加到角色
+ 已从角色中移除用户
+ 创建策略
+ 更新了 策略
+ 已删除策略
+ 已创建代理程序
+ 已删除代理程序
+ 已创建 RADIUS 配置
+ 已更新 RADIUS 配置
+ 已删除 RADIUS 配置
+ 已启用 VPN
+ 已更新 VPN 设置
+ 已禁用 VPN
+ 已启用嵌入
+ 已更新嵌入设置
+ 已禁用嵌入
+ 已创建身份验证因素
+ 已更新身份验证因素
+ 删除了身份验证因素
+ 已更新安全问题
+ 已更新桌面 SSO 设置
+ 已启用桌面 RSS
+ 已禁用桌面 RSS
+ 已创建证书
+ 已删除证书
+ 已创建 API 凭证
+ 已删除 API 凭证
+ 已启用 API 凭证
+ 已禁用 API 凭证
+ 已启用虚拟 LDAP
+ 已禁用虚拟 VDAP
+ 已更新虚拟 LDAP 设置
+ 已启用品牌宣传
+ 已禁用品牌宣传
+ 已更新品牌宣传
+ 已删除映射
+ 已禁用映射
+ 已启用映射
+ 已更新映射
+ 已删除自定义用户字段
+ 已更新公司信息
+ 已更新账户设置
+ 已删除目录
+ 已从目录中删除连接器实例
+ 已创建自助注册
+ 已更新自助注册
+ 已删除自助注册
+ 已创建付款记录
+ 已更新付款记录
+ 已删除付款记录
+ 已更新策略的条款和条件
+ 已手动更新应用程序的用户登录信息
+ 用户已由可信的 IDP 创建
+ 已为用户更新目录外部 ID
+ 已为用户删除目录外部 ID
+ 已更新广播公司
+ 已删除广播公司
+ API – 已将角色添加到用户
+ API – 已为用户移除角色
+ API – 已更新用户
+ API – 已删除用户
+ API – 已创建用户
+ 已更新目录
+ 已为目录更新 OU
+ 用户通过 API 被暂停
+ 用户通过 API 被重新激活
+ 应用程序已更新
+ 连接器已创建
+ 连接器已更新
+ 连接器已删除
+ 参数已创建
+ 参数已更新
+ 参数已删除
+ 已删除 OneLogin 桌面的设备
+ 已撤销用户证书
+ 已撤销设备证书
+ 应用程序已通过 API 创建
+ 应用程序已通过 API 更新
+ 应用程序已通过 API 销毁
+ 沙盒已删除
+ 沙盒已创建
+ 沙盒已更新
+ 用户已删除安全因素
+ 用户已重命名安全因素
+ 已创建 RADIUS 属性
+ 已更新 RADIUS 属性
+ 已删除 RADIUS 属性
+ 角色已创建
+ 角色已删除
+ SMTP 配置已更新
+ 智能钩子已创建
+ 智能钩子已更新
+ 智能钩子已删除
+ 智能钩子环境变量已创建
+ 智能钩子环境变量已更新
+ 智能钩子环境变量已删除
+ API – 权限已创建
+ 已创建权限
+ API – 权限已更新
+ 已更新权限
+ API – 权限已删除
+ 已删除权限
+ API – 权限已分配给用户
+ 已为用户分配权限
+ API – 已从用户中移除权限
+ 已移除用户的权限
+ API – 权限已分配给角色
+ 已为角色分配权限
+ API – 已从角色中移除权限
+ 已移除角色的权限
+ 报告已创建
+ 报告已更新
+ 报告已销毁
+ 已创建组
+ 已更新组
+ 销毁了组
+ 已创建安全说明
+ API – 应用程序规则创建成功
+ API – 应用程序规则更新成功
+ API – 应用程序规则删除成功
+ API – 角色更新成功
+ 信用卡更新失败
+ 无法更新用户
+ 无法在应用程序中删除用户
+ 无法在应用程序中更新用户
+ 用户未在应用程序中更新
+ API – 用户未删除
+ API – 用户未更新
+ API – 用户未创建
+ 无法创建连接器
+ 无法更新连接器
+ 无法删除连接器
+ 无法创建参数
+ 无法更新参数
+ 无法删除参数
+ 通过 API 创建应用程序失败
+ 通过 API 更新应用程序失败
+ 通过 API 销毁应用程序失败
+ 删除沙盒失败
+ 创建沙盒失败
+ 更新沙盒失败
+ 智能钩子更新失败
+ 智能钩子环境变量更新失败
+ API – 应用程序规则创建失败
+ API – 应用程序规则更新失败
+ API – 应用程序规则删除失败
+ 将用户添加到角色失败
+ 角色创建失败
+ 角色删除失败
+ API – 角色更新失败