En esta página se proporcionan ejemplos de los registros de auditoría que se generan cuando se usa la integración de aplicaciones OAuth de Workforce Identity Federation. Con la integración de aplicaciones OAuth de la federación de identidades de la fuerza de trabajo, puedes permitir que aplicaciones de terceros se integren con Google Cloud mediante OAuth y que usen identidades externas para acceder a recursos de Google Cloud .
En cada uno de los siguientes ejemplos solo se muestran los campos más relevantes de las entradas de registro.
Para obtener más información sobre cómo habilitar y ver los registros de auditoría, consulta Registro de auditoría de gestión de identidades y accesos.
Roles obligatorios
La gestión de identidades y accesos puede generar registros de auditoría cuando creas y gestionas clientes de OAuth. Para habilitar los registros de auditoría al gestionar clientes de OAuth, debe habilitar los registros de auditoría de la actividad de acceso a datos para la siguiente API:
- API Identity and Access Management (habilita el tipo de registro "ADMIN_READ")
Registros de la creación de un cliente de OAuth
La entrada de registro es similar a la siguiente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClient", "resourceName": "projects/PROJECT_NUMBER/locations/global", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientRequest", "oauthClient": {}, "oauthClientId": OAUTH_CLIENT_ID, "parent": "projects/PROJECT_NUMBER/locations/global" } }, "resource": { "type": "audited_resource" } }
Esta entrada de registro incluye los siguientes valores, que puede usar para filtrar registros:
PROJECT_NUMBER: el número del proyecto que contiene la integración de la aplicación OAuth.
PRINCIPAL_EMAIL: la dirección de correo del principal propietario del cliente de OAuth.
OAUTH_CLIENT_ID: la identidad del cliente de OAuth
Registros para crear una credencial de cliente de OAuth
La entrada de registro es similar a la siguiente:
{ "logName": "projects/PROJECT_NUMBER/logs/cloudaudit.googleapis.com%2Factivity", "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": PRINCIPAL_EMAIL, }, "methodName": "google.iam.admin.v1.OauthClients.CreateOauthClientCredential", "resourceName": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID", "serviceName": "iam.googleapis.com", "request": { "@type": "type.googleapis.com/google.iam.admin.v1.CreateOauthClientCredentialRequest", "oauthClientCredential": {}, "oauthClientCredentialId": OAUTH_CLIENT_CREDENTIAL_ID, "parent": "projects/PROJECT_NUMBER/locations/global/oauthClients/OAUTH_CLIENT_ID" } }, "resource": { "type": "audited_resource" } }
Esta entrada de registro incluye los siguientes valores, que puede usar para filtrar registros:
PROJECT_NUMBER: el número del proyecto que contiene la integración de la aplicación OAuth.
PRINCIPAL_EMAIL: la dirección de correo del principal que (tiene|ha accedido) al cliente de OAuth.
OAUTH_CLIENT_ID: la identidad del cliente de OAuth
OAUTH_CLIENT_CREDENTIAL_ID: la identidad de la credencial de cliente de OAuth
Siguientes pasos
- Configura y consulta los registros de auditoría de gestión de identidades y accesos.
- Consulta más información sobre los registros de auditoría de Cloud.
- Configura la integración de la aplicación OAuth de Workforce mediante clientes de OAuth.