Exemples de journaux pour l'intégration d'applications OAuth de la fédération des identités des employés

Cette page fournit des exemples de journaux d'audit générés lorsque vous utilisez l'intégration d'applications OAuth avec la fédération d'identités des employés. Grâce à l'intégration d'applications OAuth de la fédération des identités des employés, vous pouvez autoriser les applications tierces à s'intégrer à Google Cloud via OAuth et à utiliser des identités externes pour accéder aux ressources Google Cloud .

Chacun des exemples suivants n'affiche que les champs les plus pertinents des entrées de journal.

Pour en savoir plus sur l'activation et l'affichage des journaux d'audit, consultez la page Journaux d'audit Identity and Access Management.

Rôles requis

Cloud IAM peut générer des journaux d'audit lorsque vous créez et gérez des clients OAuth. Pour activer les journaux d'audit lors de la gestion des clients OAuth, vous devez activer les journaux d'audit pour l'accès aux données pour l'API suivante:

• API Identity and Access Management (activer le type de journal "ADMIN_READ")

Journaux permettant de créer un client OAuth

L'entrée de journal est semblable à ceci :

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

Cette entrée de journal comprend les valeurs suivantes, que vous pouvez utiliser pour filtrer les journaux:

• PROJECT_NUMBER: numéro du projet contenant l'intégration de l'application OAuth.

• PRINCIPAL_EMAIL: adresse e-mail du principal propriétaire du client OAuth.

• OAUTH_CLIENT_ID: identité du client OAuth

Journaux de création d'un identifiant client OAuth

L'entrée de journal est semblable à ceci :

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential",
    "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest",
      "oauthClientCredential": {},
      "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

Cette entrée de journal comprend les valeurs suivantes, que vous pouvez utiliser pour filtrer les journaux:

• PROJECT_NUMBER: numéro du projet contenant l'intégration de l'application OAuth.

• PRINCIPAL_EMAIL: adresse e-mail du principal qui (possède|a accédé) au client OAuth.

• OAUTH_CLIENT_ID: identité du client OAuth

• OAUTH_CLIENT_CREDENTIAL_ID: identité des identifiants du client OAuth

Étape suivante

• Configurez et affichez les journaux d'audit pour Cloud IAM.
• Apprenez-en plus sur les journaux d'audit Cloud.
• Configurez l'intégration d'applications OAuth Workforce à l'aide de clients OAuth.