本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# OneLogin Identity 的來源組態
## 與 OneLogin Identity 整合
OneLogin 是以雲端為基礎的身分和存取管理 (IAM) 平台,可提供單一登入 (SSO)、多重驗證 (MFA) 和使用者佈建功能。CloudWatch 管道使用 OneLogin Events API 擷取 OneLogin 環境中身分驗證事件、使用者活動、政策決策和管理變更的相關資訊。Events API 可讓您透過 REST 端點存取事件資料,進而從您的 OneLogin 帳戶擷取安全性和存取日誌。
## 使用 OneLogin Identity 驗證
若要讀取日誌,管道需要向您的 OneLogin 帳戶進行身分驗證。對於 OneLogin,身分驗證是使用 OAuth2 執行。
**設定 OneLogin 的 OAuth2 身分驗證**
+ 登入 OneLogin 管理員入口網站並導覽至開發人員 → API 登入資料。建立新的 API 登入資料對。立即記下用戶端 ID 和用戶端秘密。
+ 指派適當的許可。選取全部讀取或全部管理範圍,以確保登入資料可存取事件日誌資料。
+ 在 中 AWS Secrets Manager,建立秘密,並將用戶端 ID 存放在金鑰 下,`client_id`並將用戶端秘密存放在金鑰 下`client_secret`。
+ 在 OneLogin 管理員入口網站的設定 → 帳戶設定下記下您的帳戶 ID (子網域)。
## 設定 CloudWatch 管道
若要設定管道讀取日誌,請選擇 OneLogin 做為資料來源。填寫必要資訊,例如子網域和身分驗證登入資料。或者,指定範圍持續時間格式 (例如,過去 21 小時內的 PT21H)。建立並啟用管道後,OneLogin 的事件日誌資料將開始流入選取的 CloudWatch Logs 日誌群組。
## 支援的開放式網路安全結構描述架構事件類別
此整合支援對應至帳戶變更 (3001)、身分驗證 (3002) 和實體管理 (3004) 的 OCSF 結構描述版本 v1.5.0 和 OneLogin 事件。
**帳戶變更**包含下列事件:
+ 使用者請求新密碼
+ 使用者的密碼已變更
+ 使用者已停用
+ 使用者核准的密碼請求
+ 使用者已鎖定
+ 使用者已暫停
+ 使用者遭應用程式鎖定
+ 為使用者解除鎖定的 OTP 裝置
+ 使用者在應用程式中暫停
+ 使用者在目錄中暫停
+ 目錄中已解除鎖定的使用者
+ 使用者授予管理角色的許可
+ 使用者管理角色的許可已撤銷
+ 使用者啟用的桌面 SSO
+ 使用者停用桌面 SSO
+ 使用者的管理員變更密碼
+ 重新導向至外部網站以進行密碼重設
+ API - 使用者的密碼已更新
+ API - 使用者鎖定
+ 透過 API 暫停使用者
+ 透過 API 鎖定的使用者
+ 使用者啟用帳戶的適應性登入
+ 帳戶的使用者停用自適應登入
+ 設定檔變更密碼
+ 手動將使用者新增至應用程式
+ 從應用程式手動移除使用者
+ 無法變更使用者的密碼
+ 使用者授予管理角色的許可失敗
+ 使用者管理角色的許可已撤銷失敗
+ 使用者智慧密碼已更新
+ 無法更新使用者的智慧密碼
+ API - 使用者的密碼未更新
**身分驗證**包含下列事件:
+ 登入 OneLogin 的使用者
+ 使用者登出 OneLogin
+ 使用者登入應用程式
+ 使用者登出應用程式
+ RADIUS 組態驗證的使用者
+ 透過 API 驗證的使用者
+ 使用者已成功使用 VLDAP 進行身分驗證
+ 使用者透過社交網路登入 OneLogin
+ 使用者已成功通過 VLDAP (OneLogin 桌面 Mac) 驗證
+ API - 使用者登出
+ API - 驗證稱為 的因素
+ API - 確認使用者 OTP 成功
+ 使用者被強制登出
+ 使用者在信任的裝置上成功登入
+ 使用者已成功透過 OneLogin Desktop 登入
+ 使用者拒絕透過 OTP 推送請求進行身分驗證
+ 對 OTP 提出挑戰的使用者
+ 使用者已重新驗證為應用程式
+ 使用者驗證的 OTP 裝置
+ 應用程式成功的 OIDC 密碼
+ API - 使用者成功的觸發因素
+ 應用程式成功的 OIDC 隱含流程
+ 應用程式成功的 OIDC 授權碼
+ OIDC 取得應用程式成功的程式碼
+ OIDC 驗證權杖以確保應用程式成功
+ 使用者身分驗證失敗
+ 使用者無法登入應用程式
+ RADIUS 組態拒絕的使用者
+ 無法透過 IDP 登入應用程式
+ 無法向應用程式進行身分驗證
+ 透過 API 的使用者身分驗證失敗
+ 使用者無法使用 VLDAP 進行身分驗證
+ 使用者身分驗證政策不允許透過社交網路登入
+ 使用者無法使用 VLDAP 進行身分驗證 (OneLogin 桌面 Mac)
+ API - 使用者無法登出
+ API - 驗證因素失敗
+ API - 確認使用者的 OTP 失敗
+ 使用者無法在信任的裝置上登入
+ 使用者無法透過 OneLogin Desktop 登入
+ 使用者無法透過 OneLogin Desktop 驗證
+ 使用者失敗的 OTP 挑戰
+ 應用程式 OIDC 隱含流程失敗
+ 應用程式 OIDC 授權碼失敗
+ 應用程式 OIDC 密碼失敗
+ 應用程式 OIDC 驗證權杖失敗
+ OIDC 一般失敗
+ OIDC 取得應用程式的程式碼失敗
**實體管理**包含下列事件:
+ 指派給使用者的角色
+ 已建立使用者
+ 使用者已更新
+ 使用者已停用
+ 使用者已啟用
+ 已刪除使用者
+ 為使用者註冊的 OTP 裝置
+ 為使用者取消註冊的 OTP 裝置
+ 更新的信用卡
+ 在應用程式中佈建的使用者
+ 在應用程式中更新的使用者
+ 使用者在應用程式中暫停
+ 在應用程式中重新啟用的使用者
+ 在應用程式中刪除的使用者
+ 授予權限的帳戶
+ 帳戶撤銷權限的許可
+ 使用者授予權限的許可
+ 撤銷權限的使用者許可
+ 新增信任的 IDP
+ 已移除信任的 IDP
+ 修改信任的 IDP
+ 在 目錄中佈建的使用者
+ 依目錄更新的使用者
+ 使用者在目錄中暫停
+ 在 目錄中重新啟用的使用者
+ 在 目錄中刪除的使用者
+ 刪除的安全備註
+ 已更新使用者登入資訊
+ 嘗試更新登入資訊
+ 變更預設信任 IDP
+ 使用者已新增至角色
+ 從角色移除的使用者
+ 建立的政策
+ 更新的 政策
+ 已刪除的政策
+ 建立的代理程式
+ 已刪除代理程式
+ 建立的 RADIUS 組態
+ 已更新 RADIUS 組態
+ 已刪除的 RADIUS 組態
+ 已啟用 VPN
+ 已更新 VPN 設定
+ 已停用 VPN
+ 啟用內嵌
+ 已更新內嵌設定
+ 停用內嵌
+ 建立的身分驗證因素
+ 更新身分驗證因素
+ 已刪除身分驗證因素
+ 已更新安全性問題
+ 已更新桌面 SSO 設定
+ 啟用的桌面 SSO
+ 已停用桌面 SSO
+ 建立的憑證
+ 已刪除的憑證
+ 建立的 API 登入資料
+ 已刪除的 API 登入資料
+ 啟用的 API 登入資料
+ 停用的 API 登入資料
+ 啟用的虛擬 LDAP
+ 已停用虛擬 LDAP
+ 已更新虛擬 LDAP 設定
+ 啟用品牌
+ 停用品牌
+ 更新品牌
+ 已刪除的映射
+ 已停用的映射
+ 啟用的映射
+ 已更新映射
+ 刪除的自訂使用者欄位
+ 更新公司資訊
+ 已更新帳戶設定
+ 已刪除的目錄
+ 從目錄刪除的連接器執行個體
+ 建立的自我註冊
+ 更新自我註冊
+ 刪除的自我註冊
+ 建立的付款記錄
+ 已更新付款記錄
+ 已刪除的付款記錄
+ 已更新政策的條款與條件
+ 手動更新應用程式的使用者登入
+ 使用者是由信任的 IDP 建立
+ 已更新使用者的目錄外部 ID
+ 已刪除使用者的目錄外部 ID
+ 已更新廣播者
+ 已刪除的廣播者
+ API - 新增至使用者的角色
+ API - 為使用者移除的角色
+ API - 使用者已更新
+ API - 已刪除使用者
+ API - 使用者已建立
+ 已更新目錄
+ 目錄的 OUs已更新
+ 透過 API 暫停使用者
+ 透過 API 重新啟用的使用者
+ 應用程式已更新
+ 連接器已建立
+ 連接器已更新
+ 連接器已刪除
+ 參數已建立
+ 參數已更新
+ 參數已刪除
+ 已刪除 OneLogin 桌面裝置
+ 撤銷的使用者憑證
+ 撤銷的裝置憑證
+ 應用程式是透過 API 建立
+ 應用程式已透過 API 更新
+ 應用程式已透過 API 銷毀
+ 沙盒已刪除
+ 已建立沙盒
+ 沙盒已更新
+ 使用者刪除的安全因素
+ 使用者重新命名的安全因素
+ 建立的 RADIUS 屬性
+ 更新的 RADIUS 屬性
+ 已刪除的 RADIUS 屬性
+ 已建立角色
+ 角色已刪除
+ SMTP 組態已更新
+ 已建立智慧勾點
+ 智慧勾點已更新
+ 已刪除智慧勾點
+ 已建立智慧勾點環境變數
+ 智慧勾點環境變數已更新
+ 已刪除智慧勾點環境變數
+ API - 已建立權限
+ 建立的權限
+ API - 權限已更新
+ 已更新權限
+ API - 權限已刪除
+ 刪除的權限
+ API - 權限已指派給使用者
+ 指派給使用者的權限
+ API - 從使用者移除的權限
+ 從使用者移除權限
+ API - 指派給角色的權限
+ 指派給角色的權限
+ API - 從角色移除的權限
+ 從角色移除的權限
+ 已建立報告
+ 報告已更新
+ 報告已銷毀
+ 建立的群組
+ 已更新 群組
+ 已銷毀的群組
+ 建立的安全備註
+ API - 應用程式規則建立成功
+ API - 應用程式規則更新成功
+ API - 應用程式規則刪除成功
+ API - 角色更新成功
+ 信用卡更新失敗
+ 無法更新使用者
+ 無法在應用程式中刪除使用者
+ 無法在應用程式中更新使用者
+ 使用者未在應用程式中更新
+ API - 未刪除使用者
+ API - 使用者未更新
+ API - 未建立使用者
+ 無法建立連接器
+ 連接器無法更新
+ 連接器無法刪除
+ 無法建立參數
+ 參數無法更新
+ 無法刪除參數
+ 應用程式無法透過 API 建立
+ 應用程式無法透過 API 更新
+ 應用程式無法透過 API 銷毀
+ 無法刪除沙盒
+ 無法建立沙盒
+ 無法更新沙盒
+ 智慧勾點更新失敗
+ 智慧勾點環境變數更新失敗
+ API - 應用程式規則建立失敗
+ API - 應用程式規則更新失敗
+ API - 應用程式規則刪除失敗
+ 新增至角色的使用者失敗
+ 角色建立失敗
+ 角色刪除失敗
+ API - 角色更新失敗