本頁面由 Cloud Translation API 翻譯而成。

員工身分聯盟 OAuth 應用程式整合的記錄範例

本頁提供使用員工身分聯盟 OAuth 應用程式整合時產生的稽核記錄範例。透過 Workforce Identity Federation OAuth 應用程式整合，您可以允許第三方應用程式透過 OAuth 與 Google Cloud 整合，並使用外部身分存取 Google Cloud 資源。

下列每個範例只會顯示記錄項目中最相關的欄位。

如要進一步瞭解如何啟用及查看稽核記錄，請參閱「Identity and Access Management 稽核記錄」一文。

必要的角色

建立及管理 OAuth 用戶端時，IAM 可以產生稽核記錄。如要在管理 OAuth 用戶端時啟用稽核記錄，您必須為下列 API 啟用資料存取活動的稽核記錄：

Identity and Access Management API (啟用「ADMIN_READ」記錄類型)

建立 OAuth 用戶端的記錄

記錄項目內容大致如下：

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

這筆記錄項目包含下列值，可用於篩選記錄：

PROJECT_NUMBER：包含 OAuth 應用程式整合的專案編號。
PRINCIPAL_EMAIL：擁有 OAuth 用戶端的主體電子郵件地址。
OAUTH_CLIENT_ID：OAuth 用戶端的 ID

建立 OAuth 用戶端憑證的記錄