In diesem Dokument wird beschrieben, wie Sie Protokolle für die Einmalanmeldung (Single Sign-On, SSO) von OneLogin erfassen können, indem Sie OneLogin-Event-Webhooks und Google Security Operations-HTTPS-Webhooks konfigurieren.
Wählen Sie im Google Security Operations-Menü Einstellungen > Feeds aus.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein.
Wählen Sie in der Liste Quelltyp die Option Webhook aus.
Wählen Sie OneLogin als Log type (Protokolltyp) aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter ein:
Trennzeichen für Aufteilung: \n.
Asset-Namespace: Der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration und klicken Sie dann auf Senden.
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren, aber durch die Neugenerierung wird der vorherige geheime Schlüssel ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Geben Sie diese Endpunkt-URL in Ihren OneLogin-Event-Webhook ein.
Klicken Sie auf Fertig.
API-Schlüssel für den HTTPS-Webhook-Feed erstellen
Rufen Sie in der Google Cloud Console die Seite „Anmeldedaten“ auf.
Klicken Sie auf Anmeldedaten erstellen und wählen Sie dann „API-Schlüssel“ aus.
Kopieren und speichern Sie den API-Schlüssel.
Schränken Sie den API-Schlüsselzugriff auf die Chronicle API ein.
OneLogin-Ereignis-Webhook konfigurieren
Mit dem OneLogin-Ereignis-Webhook können Sie OneLogin-Ereignisdaten an Google Security Operations streamen, das Daten im JSON-Format akzeptiert.
Mit dieser Integration können Sie Aktivitäten überwachen, bei Bedrohungen Benachrichtigungen erhalten und ereignisbasierte identitätsbezogene Workflows in Ihrer OneLogin- und Google Security Operations-Umgebung ausführen.
Melden Sie sich im OneLogin-Adminportal an.
Rufen Sie den Tab „Entwickler“ > Webhooks > Neuer Webhook auf und wählen Sie dann Event-Webhook für die Log-Verwaltung aus.
Geben Sie die folgenden Informationen ein:
Geben Sie im Feld NameGoogle SecOps ein.
Geben Sie im Feld Format den Wert SIEM (NDJSON) ein.
Geben Sie in das Feld Listener URL (Listener-URL) den Google SecOps-Webhook-Endpunkt ein, der die Ereignisdaten von OneLogin empfängt.
Aktivieren Sie im Bereich Benutzerdefinierte Header die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:
X-goog-api-key:API_KEY
X-Webhook-Access-Key:SECRET
Klicken Sie auf Speichern. Aktualisieren Sie die Seite, damit der neue Webhook in Ihren OneLogin Event Broadcasters als verbunden angezeigt wird.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[],[],null,["# Collect OneLogin Single Sign-On (SSO) logs\n==========================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document describes how you can collect OneLogin Single Sign-On (SSO) logs\nby configuring OneLogin Event Webhooks and Google Security Operations HTTPS Webhooks.\n\nFor more information, see [Data ingestion to Google Security Operations](/chronicle/docs/data-ingestion-flow).\n\nConfigure Google SecOps HTTPS Webhook\n-------------------------------------\n\n### Create an HTTPS webhook feed\n\n1. From the Google Security Operations menu, select **Settings** \\\u003e **Feeds**.\n2. Click **Add new**.\n3. In the **Feed name** field, enter a name for the feed.\n4. In the **Source Type** list, select **Webhook**.\n5. Select **OneLogin** as the **Log type**.\n6. Click **Next**.\n7. Optional: Enter values for the following input parameters:\n 1. **Split delimiter** : `\\n`.\n 2. **Asset namespace**: the asset namespace.\n 3. **Ingestion labels**: the label to be applied to the events from this feed.\n8. Click **Next**.\n9. Review your new feed configuration, and then click **Submit**.\n10. Click **Generate Secret Key** to generate a secret key to authenticate this feed.\n11. Copy and store the secret key as you cannot view this secret again. You can generate a new secret key, but regeneration of the secret key makes the previous secret key obsolete.\n12. From the **Details** tab, copy the feed endpoint URL from the **Endpoint Information** field. Enter this endpoint URL in your OneLogin Event Webhook.\n13. Click **Done**.\n\n### Create an API key for the HTTPS webhook feed\n\n1. Go to the Google Cloud console console Credentials page.\n2. Click **Create credentials**, and then select API key.\n3. Copy and store the API key.\n4. Restrict the API key access to the Chronicle API.\n\nConfigure OneLogin Event Webhook\n--------------------------------\n\nThe OneLogin Event Webhook lets you stream OneLogin event data to\nGoogle Security Operations which accepts data in JSON format.\nThis integration lets you monitor activities, alert on threats, and execute\nevent-based identity related workflows across your OneLogin and Google Security Operations environment.\n\n1. Log on to the OneLogin admin portal.\n2. Go to the Developers tab \\\u003e **Webhooks** \\\u003e **New Webhook** , and then choose **Event Webhook for Log Management**.\n3. Enter the following details:\n\n - In the **Name** field, enter `Google SecOps`.\n - In the **Format** field, enter `SIEM (NDJSON)`.\n - In the **Listener URL**, enter the Google SecOps Webhook endpoint that will receive the event data from OneLogin.\n - In the **Custom Headers**, enable authentication by specifying the API key and secret key as part of the custom header in the following format:\n\n `X-goog-api-key:API_KEY`\n\n `X-Webhook-Access-Key:SECRET`\n4. Click **Save**. Refresh the page to see the new webhook in your OneLogin Event Broadcasters as connected.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
