Questa pagina fornisce esempi di audit log generati quando utilizzi Integrazione delle applicazioni OAuth della federazione delle identità per la forza lavoro Con l'integrazione delle applicazioni OAuth di Workforce Identity Federation, puoi consentire alle applicazioni di terze parti di integrarsi con Google Cloud tramite OAuth e utilizzare identità esterne per accedere alle risorse Google Cloud.
Ciascuno dei seguenti esempi mostra solo i campi più pertinenti nelle voci del log.
Per ulteriori informazioni sull'abilitazione e la visualizzazione degli audit log, consulta Log di controllo di Identity and Access Management.
Ruoli obbligatori
IAM può generare log di controllo quando crei e gestisci client OAuth. Per abilitare gli audit log durante la gestione dei client OAuth, è necessario abilitare gli audit log per l'attività di accesso ai dati per nell'API seguente:
- API Identity and Access Management (abilita il tipo di log "ADMIN_READ")
Log per la creazione di un client OAuth
La voce di log è simile alla seguente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Questa voce di log include i seguenti valori, che puoi utilizzare per filtrare i log:
PROJECT_NUMBER: il numero del progetto che contiene l'integrazione dell'applicazione OAuth.
PRINCIPAL_EMAIL: l'indirizzo email del principale proprietario del client OAuth.
OAUTH_CLIENT_ID: l'identità del client OAuth
Log per la creazione di una credenziale client OAuth
La voce di log è simile alla seguente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Questa voce di log include i seguenti valori, che puoi utilizzare per filtrare i log:
PROJECT_NUMBER: il numero del progetto che contiene l'integrazione dell'applicazione OAuth.
PRINCIPAL_EMAIL: l'indirizzo email del principale che (possiede|ha eseguito l'accesso) al client OAuth.
OAUTH_CLIENT_ID: l'identità del client OAuth
OAUTH_CLIENT_CREDENTIAL_ID: l'identità della credenziale client OAuth
Passaggi successivi
- Configura e visualizza gli audit log per IAM.
- Scopri di più su Cloud Audit Logs.
- Configura l'integrazione dell'applicazione OAuth di Workforce utilizzando i client OAuth.