Esta página mostra exemplos dos registros de auditoria gerados quando você usa a integração de aplicativos OAuth da federação de identidade da força de trabalho. Com a integração de aplicativos OAuth da federação de identidade da força de trabalho, é possível permitir que aplicativos de terceiros sejam integrados ao Google Cloud por meio do OAuth e usem identidades externas para acessar os recursos do Google Cloud.
Cada um dos exemplos a seguir mostra apenas os campos mais relevantes nas entradas de registro.
Para mais informações sobre como ativar e visualizar registros de auditoria, consulte Geração de registros de auditoria do Identity and Access Management.
Funções exigidas
O IAM pode gerar registros de auditoria quando você cria e gerencia clientes OAuth. Para ativar os registros de auditoria ao gerenciar clientes OAuth, é necessário ativar os registros de auditoria para a atividade de acesso a dados na seguinte API:
- API Identity and Access Management (ative o tipo de registro "ADMIN_READ")
Registros para criar um cliente OAuth
A entrada de registro é semelhante a esta:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Esta entrada de registro inclui os seguintes valores, que podem ser usados para filtrar registros:
PROJECT_NUMBER: o número do projeto que contém a integração do aplicativo OAuth.
PRINCIPAL_EMAIL: o endereço de e-mail do principal proprietário do cliente OAuth.
OAUTH_CLIENT_ID: a identidade do cliente OAuth
Registros para criar uma credencial de cliente OAuth
A entrada de registro é semelhante a esta:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Esta entrada de registro inclui os seguintes valores, que podem ser usados para filtrar registros:
PROJECT_NUMBER: o número do projeto que contém a integração do aplicativo OAuth.
PRINCIPAL_EMAIL: o endereço de e-mail do principal que (possui|acesso) ao cliente OAuth.
OAUTH_CLIENT_ID: a identidade do cliente OAuth
OAUTH_CLIENT_CREDENTIAL_ID: a identidade da credencial do cliente OAuth
A seguir
- Configure e visualize os registros de auditoria do IAM.
- Veja mais informações sobre registros de auditoria do Cloud.
- Configure a integração de aplicativos OAuth do Workforce usando clientes OAuth.