Log di esempio per l'integrazione dell'applicazione OAuth di Workforce Identity Federation

Questa pagina fornisce esempi di audit log generati quando utilizzi l'integrazione dell'applicazione OAuth di Workforce Identity Federation. Con l'integrazione delle applicazioni OAuth di Workforce Identity Federation, puoi consentire alle applicazioni di terze parti di integrarsi con Google Cloud tramite OAuth e utilizzare le identità esterne per accedere Google Cloud alle risorse.

Ciascuno dei seguenti esempi mostra solo i campi più pertinenti nelle voci del log.

Per ulteriori informazioni su come attivare e visualizzare i log di controllo, consulta Log di controllo di Identity and Access Management.

Ruoli obbligatori

IAM può generare log di controllo quando crei e gestisci client OAuth. Per attivare i log di controllo durante la gestione dei client OAuth, devi attivare i log di controllo per l'attività di accesso ai dati per la seguente API:

• API Identity and Access Management (attiva il tipo di log "ADMIN_READ")

Log per la creazione di un client OAuth

La voce di log è simile alla seguente:

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

Questa voce di log include i seguenti valori, che puoi utilizzare per filtrare i log:

• PROJECT_NUMBER: il numero del progetto che contiene l'integrazione dell'applicazione OAuth.

• PRINCIPAL_EMAIL: l'indirizzo email del principale proprietario del client OAuth.

• OAUTH_CLIENT_ID: l'identità del client OAuth

Log per la creazione di una credenziale client OAuth

La voce di log è simile alla seguente:

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential",
    "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest",
      "oauthClientCredential": {},
      "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

Questa voce di log include i seguenti valori, che puoi utilizzare per filtrare i log:

• PROJECT_NUMBER: il numero del progetto che contiene l'integrazione dell'applicazione OAuth.

• PRINCIPAL_EMAIL: l'indirizzo email del principale che (possiede|ha eseguito l'accesso) al client OAuth.

• OAUTH_CLIENT_ID: l'identità del client OAuth

• OAUTH_CLIENT_CREDENTIAL_ID: l'identità della credenziale client OAuth

Passaggi successivi

• Configura e visualizza gli audit log per IAM.
• Scopri di più su Cloud Audit Logs.
• Configura l'integrazione dell'applicazione OAuth di Workforce utilizzando i client OAuth.