Workforce Identity 連携 OAuth アプリケーション統合のログの例

このページには、Workforce Identity 連携 OAuth アプリケーション統合の使用時に生成される監査ログの例が示されています。Workforce Identity 連携 OAuth アプリケーション統合を使用すると、サードパーティアプリケーションが OAuth を介して Google Cloud と統合し、外部 ID を使用して Google Cloud リソースにアクセスすることを許可できます。

次の例は、ログエントリの最も関連性の高いフィールドのみを示しています。

監査ログの有効化と表示の詳細については、Identity and Access Management 監査ロギングをご覧ください。

必要なロール

IAM では、OAuth クライアントの作成時と管理時に監査ログを生成できます。OAuth クライアントを管理するときに監査ログを有効にするには、次の API のデータアクセスアクティビティの監査ログを有効にする必要があります。

Identity and Access Management API（ログタイプ「ADMIN_READ」を有効にする）

OAuth クライアントの作成に関するログ

ログエントリは次のようになります。

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

このログエントリには、ログのフィルタに使用できる次の値が含まれています。

PROJECT_NUMBER: OAuth アプリケーション統合を含むプロジェクトのプロジェクト番号。
PRINCIPAL_EMAIL: OAuth クライアントを所有するプリンシパルのメールアドレス。
OAUTH_CLIENT_ID: OAuth クライアントの ID

OAuth クライアント認証情報の作成に関するログ

ログエントリは次のようになります。

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential",
    "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest",
      "oauthClientCredential": {},
      "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

このログエントリには、ログのフィルタに使用できる次の値が含まれています。

PROJECT_NUMBER: OAuth アプリケーション統合を含むプロジェクトのプロジェクト番号。
PRINCIPAL_EMAIL: OAuth クライアントを所有または OAuth クライアントにアクセスしたプリンシパルのメールアドレス。
OAUTH_CLIENT_ID: OAuth クライアントの ID
OAUTH_CLIENT_CREDENTIAL_ID: OAuth クライアント認証情報の ID

次のステップ

IAM の監査ログを構成、表示する。
Cloud Audit Logs の詳細を確認する。
OAuth クライアントを使用して Workforce OAuth アプリケーション統合を設定する。