此页面由 Cloud Translation API 翻译。

员工身份联合 OAuth 应用集成示例日志

本页面提供了使用 Workforce Identity Federation OAuth 应用集成时生成的审核日志示例。借助员工身份联合 OAuth 应用集成，您可以允许第三方应用通过 OAuth 与 Google Cloud 集成，并使用外部身份访问 Google Cloud 资源。

以下每个示例仅显示日志条目中最相关的字段。

如需详细了解如何启用和查看审核日志，请参阅 Identity and Access Management 审核日志记录。

所需的角色

当您创建和管理 OAuth 客户端时，IAM 可以生成审核日志。如需在管理 OAuth 客户端时启用审核日志，您必须为以下 API 启用数据访问活动审核日志：

Identity and Access Management API（启用日志类型“ADMIN_READ”）

创建 OAuth 客户端时生成的日志

日志条目类似于以下内容：

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

此日志条目包含以下值，您可以使用这些值来过滤日志：

PROJECT_NUMBER：包含 OAuth 应用集成的项目的编号。
PRINCIPAL_EMAIL：拥有 OAuth 客户端的主账号的电子邮件地址。
OAUTH_CLIENT_ID：OAuth 客户端的身份

创建 OAuth 客户端凭据时生成的日志

日志条目类似于以下内容：

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential",
    "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest",
      "oauthClientCredential": {},
      "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

此日志条目包含以下值，您可以使用这些值来过滤日志：

PROJECT_NUMBER：包含 OAuth 应用集成的项目的编号。
PRINCIPAL_EMAIL：拥有（拥有|访问）OAuth 客户端的主账号的电子邮件地址。
OAUTH_CLIENT_ID：OAuth 客户端的身份
OAUTH_CLIENT_CREDENTIAL_ID：OAuth 客户端凭据的身份

后续步骤

为 IAM 配置和查看审核日志。
详细了解 Cloud Audit Logs。
使用 OAuth 客户端设置 Workforce OAuth 应用集成。