En este documento, se describe cómo puedes recopilar registros de inicio de sesión único (SSO) de OneLogin configurando webhooks de eventos de OneLogin y webhooks HTTPS de Operaciones de seguridad de Google.
En el menú de Google Security Operations, selecciona Configuración > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed.
En la lista Tipo de fuente, selecciona Webhook.
Selecciona OneLogin como el Tipo de registro.
Haz clic en Siguiente.
Opcional: Ingresa valores para los siguientes parámetros de entrada:
Delimitador de división: \n.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed y, luego, haz clic en Enviar.
Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
Copia y almacena la clave secreta, ya que no podrás volver a verla. Puedes generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Ingresa esta URL de extremo en tu webhook de eventos de OneLogin.
Haz clic en Listo.
Crea una clave de API para el feed de webhook HTTPS
Ve a la página Credenciales de la consola de Google Cloud console.
Haz clic en Crear credenciales y, luego, selecciona Clave de API.
Copia y almacena la clave de API.
Restringe el acceso a la API de Chronicle con la clave de API.
Configura el webhook de eventos de OneLogin
El webhook de eventos de OneLogin te permite transmitir datos de eventos de OneLogin a Google Security Operations, que acepta datos en formato JSON.
Esta integración te permite supervisar actividades, generar alertas sobre amenazas y ejecutar flujos de trabajo relacionados con la identidad basados en eventos en tu entorno de OneLogin y Operaciones de seguridad de Google.
Accede al portal de administración de OneLogin.
Ve a la pestaña Developers > Webhooks > New Webhook y, luego, elige Event Webhook for Log Management.
Ingresa los siguientes detalles:
En el campo Nombre, ingresa Google SecOps.
En el campo Formato, ingresa SIEM (NDJSON).
En la URL del objeto de escucha, ingresa el extremo del webhook de Google SecOps que recibirá los datos del evento de OneLogin.
En Custom Headers, habilita la autenticación especificando la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:
X-goog-api-key:API_KEY
X-Webhook-Access-Key:SECRET
Haz clic en Guardar. Actualiza la página para ver el nuevo webhook en tus emisores de eventos de OneLogin como conectado.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)"],[],[],null,["# Collect OneLogin Single Sign-On (SSO) logs\n==========================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document describes how you can collect OneLogin Single Sign-On (SSO) logs\nby configuring OneLogin Event Webhooks and Google Security Operations HTTPS Webhooks.\n\nFor more information, see [Data ingestion to Google Security Operations](/chronicle/docs/data-ingestion-flow).\n\nConfigure Google SecOps HTTPS Webhook\n-------------------------------------\n\n### Create an HTTPS webhook feed\n\n1. From the Google Security Operations menu, select **Settings** \\\u003e **Feeds**.\n2. Click **Add new**.\n3. In the **Feed name** field, enter a name for the feed.\n4. In the **Source Type** list, select **Webhook**.\n5. Select **OneLogin** as the **Log type**.\n6. Click **Next**.\n7. Optional: Enter values for the following input parameters:\n 1. **Split delimiter** : `\\n`.\n 2. **Asset namespace**: the asset namespace.\n 3. **Ingestion labels**: the label to be applied to the events from this feed.\n8. Click **Next**.\n9. Review your new feed configuration, and then click **Submit**.\n10. Click **Generate Secret Key** to generate a secret key to authenticate this feed.\n11. Copy and store the secret key as you cannot view this secret again. You can generate a new secret key, but regeneration of the secret key makes the previous secret key obsolete.\n12. From the **Details** tab, copy the feed endpoint URL from the **Endpoint Information** field. Enter this endpoint URL in your OneLogin Event Webhook.\n13. Click **Done**.\n\n### Create an API key for the HTTPS webhook feed\n\n1. Go to the Google Cloud console console Credentials page.\n2. Click **Create credentials**, and then select API key.\n3. Copy and store the API key.\n4. Restrict the API key access to the Chronicle API.\n\nConfigure OneLogin Event Webhook\n--------------------------------\n\nThe OneLogin Event Webhook lets you stream OneLogin event data to\nGoogle Security Operations which accepts data in JSON format.\nThis integration lets you monitor activities, alert on threats, and execute\nevent-based identity related workflows across your OneLogin and Google Security Operations environment.\n\n1. Log on to the OneLogin admin portal.\n2. Go to the Developers tab \\\u003e **Webhooks** \\\u003e **New Webhook** , and then choose **Event Webhook for Log Management**.\n3. Enter the following details:\n\n - In the **Name** field, enter `Google SecOps`.\n - In the **Format** field, enter `SIEM (NDJSON)`.\n - In the **Listener URL**, enter the Google SecOps Webhook endpoint that will receive the event data from OneLogin.\n - In the **Custom Headers**, enable authentication by specifying the API key and secret key as part of the custom header in the following format:\n\n `X-goog-api-key:API_KEY`\n\n `X-Webhook-Access-Key:SECRET`\n4. Click **Save**. Refresh the page to see the new webhook in your OneLogin Event Broadcasters as connected.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]