員工身分聯盟 OAuth 應用程式整合的記錄範例

本頁提供使用員工身分聯盟 OAuth 應用程式整合時產生的稽核記錄範例。透過 Workforce Identity Federation OAuth 應用程式整合,您可以允許第三方應用程式透過 OAuth 與 Google Cloud 整合,並使用外部身分存取 Google Cloud 資源。

下列每個範例只會顯示記錄項目中最相關的欄位。

如要進一步瞭解如何啟用及查看稽核記錄,請參閱「Identity and Access Management 稽核記錄」一文。

必要的角色

建立及管理 OAuth 用戶端時,IAM 可以產生稽核記錄。如要在管理 OAuth 用戶端時啟用稽核記錄,您必須為下列 API 啟用資料存取活動的稽核記錄

  • Identity and Access Management API (啟用「ADMIN_READ」記錄類型)

建立 OAuth 用戶端的記錄

記錄項目內容大致如下:

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient",
    "resourceName": "projects/PROJECT_NUMBER/locations/global",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest",
      "oauthClient": {},
      "oauthClientId": OAUTH_CLIENT_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

這筆記錄項目包含下列值,可用於篩選記錄:

  • PROJECT_NUMBER:包含 OAuth 應用程式整合的專案編號。

  • PRINCIPAL_EMAIL:擁有 OAuth 用戶端的主體電子郵件地址。

  • OAUTH_CLIENT_ID:OAuth 用戶端的 ID

建立 OAuth 用戶端憑證的記錄

記錄項目內容大致如下:

{
  "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity",
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": PRINCIPAL_EMAIL,
    },
    "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential",
    "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID",
    "serviceName": "iam.googleapis.com",
    "request": {
      "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest",
      "oauthClientCredential": {},
      "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID,
      "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID"
    }
  },
  "resource": {
    "type": "audited_resource"
  }
}

這筆記錄項目包含下列值,可用於篩選記錄:

  • PROJECT_NUMBER:包含 OAuth 應用程式整合的專案編號。

  • PRINCIPAL_EMAIL:(擁有|存取) OAuth 用戶端的主體電子郵件地址。

  • OAUTH_CLIENT_ID:OAuth 用戶端的 ID

  • OAUTH_CLIENT_CREDENTIAL_ID:OAuth 用戶端憑證的身分

後續步驟