Ce document explique comment collecter les journaux d'authentification unique (SSO) OneLogin en configurant les Webhooks d'événements OneLogin et les Webhooks HTTPS Google Security Operations.
Dans le menu Google Security Operations, sélectionnez Paramètres > Flux.
Cliquez sur Ajouter.
Dans le champ Nom du flux, saisissez un nom pour le flux.
Dans la liste Type de source, sélectionnez Webhook.
Sélectionnez OneLogin comme type de journal.
Cliquez sur Suivant.
Facultatif : saisissez les valeurs des paramètres d'entrée suivants :
Délimiteur de fractionnement : \n.
Espace de noms de l'élément : espace de noms de l'élément.
Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux, puis cliquez sur Envoyer.
Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
Copiez et stockez la clé secrète, car vous ne pourrez plus l'afficher. Vous pouvez générer une nouvelle clé secrète, mais cela rendra l'ancienne obsolète.
Dans l'onglet Détails, copiez l'URL du point de terminaison du flux depuis le champ Informations sur le point de terminaison. Saisissez cette URL de point de terminaison dans votre webhook d'événement OneLogin.
Cliquez sur OK.
Créer une clé API pour le flux de webhook HTTPS
Accédez à la page "Identifiants" de la console Google Cloud .
Cliquez sur Créer des identifiants, puis sélectionnez "Clé API".
Copiez et stockez la clé API.
Restreignez l'accès de la clé API à l'API Chronicle.
Configurer le webhook d'événements OneLogin
Le webhook d'événement OneLogin vous permet de diffuser des données d'événement OneLogin vers Google Security Operations, qui accepte les données au format JSON.
Cette intégration vous permet de surveiller les activités, de recevoir des alertes en cas de menace et d'exécuter des workflows liés à l'identité basés sur des événements dans vos environnements OneLogin et Google Security Operations.
Connectez-vous au portail d'administration OneLogin.
Accédez à l'onglet "Développeurs" > Webhooks > Nouveau webhook, puis sélectionnez Webhook d'événement pour la gestion des journaux.
Saisissez les informations suivantes :
Dans le champ Nom, saisissez Google SecOps.
Dans le champ Format, saisissez SIEM (NDJSON).
Dans URL de l'écouteur, saisissez le point de terminaison du webhook Google SecOps qui recevra les données d'événement de OneLogin.
Dans En-têtes personnalisés, activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant :
X-goog-api-key:API_KEY
X-Webhook-Access-Key:SECRET
Cliquez sur Enregistrer. Actualisez la page pour voir le nouveau webhook comme connecté dans vos diffuseurs d'événements OneLogin.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Collect OneLogin Single Sign-On (SSO) logs\n==========================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document describes how you can collect OneLogin Single Sign-On (SSO) logs\nby configuring OneLogin Event Webhooks and Google Security Operations HTTPS Webhooks.\n\nFor more information, see [Data ingestion to Google Security Operations](/chronicle/docs/data-ingestion-flow).\n\nConfigure Google SecOps HTTPS Webhook\n-------------------------------------\n\n### Create an HTTPS webhook feed\n\n1. From the Google Security Operations menu, select **Settings** \\\u003e **Feeds**.\n2. Click **Add new**.\n3. In the **Feed name** field, enter a name for the feed.\n4. In the **Source Type** list, select **Webhook**.\n5. Select **OneLogin** as the **Log type**.\n6. Click **Next**.\n7. Optional: Enter values for the following input parameters:\n 1. **Split delimiter** : `\\n`.\n 2. **Asset namespace**: the asset namespace.\n 3. **Ingestion labels**: the label to be applied to the events from this feed.\n8. Click **Next**.\n9. Review your new feed configuration, and then click **Submit**.\n10. Click **Generate Secret Key** to generate a secret key to authenticate this feed.\n11. Copy and store the secret key as you cannot view this secret again. You can generate a new secret key, but regeneration of the secret key makes the previous secret key obsolete.\n12. From the **Details** tab, copy the feed endpoint URL from the **Endpoint Information** field. Enter this endpoint URL in your OneLogin Event Webhook.\n13. Click **Done**.\n\n### Create an API key for the HTTPS webhook feed\n\n1. Go to the Google Cloud console console Credentials page.\n2. Click **Create credentials**, and then select API key.\n3. Copy and store the API key.\n4. Restrict the API key access to the Chronicle API.\n\nConfigure OneLogin Event Webhook\n--------------------------------\n\nThe OneLogin Event Webhook lets you stream OneLogin event data to\nGoogle Security Operations which accepts data in JSON format.\nThis integration lets you monitor activities, alert on threats, and execute\nevent-based identity related workflows across your OneLogin and Google Security Operations environment.\n\n1. Log on to the OneLogin admin portal.\n2. Go to the Developers tab \\\u003e **Webhooks** \\\u003e **New Webhook** , and then choose **Event Webhook for Log Management**.\n3. Enter the following details:\n\n - In the **Name** field, enter `Google SecOps`.\n - In the **Format** field, enter `SIEM (NDJSON)`.\n - In the **Listener URL**, enter the Google SecOps Webhook endpoint that will receive the event data from OneLogin.\n - In the **Custom Headers**, enable authentication by specifying the API key and secret key as part of the custom header in the following format:\n\n `X-goog-api-key:API_KEY`\n\n `X-Webhook-Access-Key:SECRET`\n4. Click **Save**. Refresh the page to see the new webhook in your OneLogin Event Broadcasters as connected.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
