Ajouter un flux de journal AWS EventBridge
Pour envoyer les événements du Okta System Log à Amazon EventBridge, vous devez ajouter un flux de journal AWS EventBridge dans Okta et le configurer dans la console AWS.
Conditions préalables
-
Vous êtes bien connecté à Okta en tant que super administrateur.
-
Facultatif (recommandé). Vous connaissez la région AWS du déploiement de votre org Okta. Vous pouvez contacter l'assistance Okta pour connaître votre région AWS.
-
Vous disposez de l'ID de compte AWS et des informations sur la région pour votre cible EventBridge.
-
Vous disposez des permissions appropriées pour configurer EventBridge afin de recevoir les événements du partenaire SaaS, comme décrit dans la documentation AWS.
Ajouter un flux de journal AWS EventBridge
-
Dans Admin Console, allez à .
Cette page affiche toutes les cibles de flux de journal disponibles dans votre org.
-
Cliquez sur Ajouter un flux de journal pour lancer l'assistant de flux de journal.
-
Sélectionnez AWS EventBridge dans le catalogue. Cliquez sur Suivant.
-
Renseignez les détails de configuration de votre flux de journal AWS EventBridge :
-
Nom : indiquez un nom unique pour ce flux de journal dans Okta.
-
Nom de la source d'événement AWS : indiquez un nom unique sans caractères spéciaux ni espaces pour identifier cette source d'événements dans Amazon EventBridge.
-
ID de compte AWS : identifiant de compte à 12 chiffres fourni par AWS.
-
Région AWS : sélectionnez la région AWS la plus proche de votre cible EventBridge. Plus les régions géographiques sont proches, plus la connexion du flux est rapide. Pour envoyer les mêmes événements à plusieurs régions, vous devez créer plusieurs cibles de flux de journal.
-
-
Cliquez sur Enregistrer. Vous recevez un message de confirmation.
Le flux de journal que vous venez d'ajouter apparaît sur la page Log Streaming avec le statut Actif.
Configurer le flux de journal Amazon EventBridge dans la console AWS
Vous devez configurer votre flux de journal Amazon EventBridge pour qu'il accepte les événements de partenaires provenant d'Okta.
-
Dans la console AWS, allez sur Amazon EventBridge.
-
Sélectionnez Sources d'événements partenaires dans la section Intégration du panneau de navigation.
-
Si vous avez activé avec succès un flux de journal AWS EventBridge dans Okta, vous devriez voir une source d'événements partenaire dans le statut En attente avec un nom au format suivant :
aws.partner/okta.com/yourOktaSubdomain/yourAWSEventSourceName -
Sélectionnez le flux de journal et cliquez sur Associer à un bus d'événements.
-
Sélectionnez les permissions requises pour le flux de journal sur la page Associer avec le bus d'événements. Cliquez sur Associer. La source d'événements de votre partenaire est active et les événements sont disponibles dans le bus d'événements correspondant.
-
Sélectionnez Règles dans la section Événements du panneau de navigation.
-
Suivez les instructions dans la documentation AWS pour créer une règle qui correspond aux événements Okta, en incluant les paramètres suivants :
-
Pour la source d'événement, sélectionnez Événements AWS ou Événements du partenaire EventBridge.
-
Pour la méthode de création, sélectionnez Format de modèle d'utilisateur.
Vous pourrez ensuite sélectionner Okta dans la liste des partenaires EventBridge.
-
-
Effectuez une action dans Okta afin de générer un événement, comme la connexion ou la déconnexion à Admin Console. Reportez-vous à la documentation AWS pour trouver le journal contenant les événements correspondants dans le bus d'événements.
Exemple d'événement
L'événement du Okta System Log est contenu dans l'objet détail . Okta ne contrôle pas la structure de l'événement EventBridge. Pour plus d'informations, consultez Événements Amazon EventBridge.
{
"version": "0",
"id": "4ab6d852-09e9-1036-fc04-2e22004b3c3f",
"detail-type": "SystemLog",
"source": "aws.partner/okta.com/evership/evershipsecuritylake",
"account": "999999999999",
"time": "2023-05-30T14:17:58Z",
"region": "us-east-1",
"resources": [],
"detail": {
"actor": {
"id": "00uttidj04jqI21bA1d6",
"type": "User",
"alternateId": "user@evership.biz",
"displayName": "A User",
"detailEntry": null
},
"client": {
"userAgent": {
"rawUserAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36",
"os": "Mac OS X",
"browser": "CHROME"
},
"zone": "null",
"device": "Computer",
"id": null,
"ipAddress": "127.0.0.1",
"geographicalContext": {
"city": "Fictionville",
"state": "Pennsylvania",
"country": "United States",
"postalCode": "19513",
"geolocation": {
"lat": 41.1286,
"lon": -73.4835
}
}
},
"device": null,
"authenticationContext": {
"authenticationProvider": null,
"credentialProvider": null,
"credentialType": null,
"issuer": null,
"interface": null,
"authenticationStep": 0,
"externalSessionId": "102BoThue9qT2uRBdaO_Z9msg"
},
"displayMessage": "User accessing Okta admin app",
"eventType": "user.session.access_admin_app",
"outcome": {
"result": "SUCCESS",
"reason": null
},
"published": "2023-05-30T14:17:58.126Z",
"securityContext": {
"asNumber": 6167,
"asOrg": "verizon",
"isp": "verizon",
"domain": "myvzw.com",
"isProxy": false
},
"severity": "INFO",
"debugContext": {
"debugData": {
"requestId": "ZHYFlX6QY0rHqq1oihP7CwAACSI",
"dtHash": "e463841eed07369aeb7ace43a41fcef75ccefa573ced0420039c16b0e3d7cc99",
"requestUri": "/admin/sso/callback",
"url": "/admin/sso/callback?code=******&state=vdC6CnQXeZqyxBJKBVmtej9wMnF4nM1r"
}
},
"legacyEventType": "app.admin.sso.login.success",
"transaction": {
"type": "WEB",
"id": "ZHYFlX6QY0rHqq1oihP7CwAACSI",
"detail": {}
},
"uuid": "c6ed294a-fef4-11ed-a5b1-bbb7c1de1a4b",
"version": "0",
"request": {
"ipChain": [
{
"ip": "127.0.0.1",
"geographicalContext": {
"city": "Fictionville",
"state": "Pennsylvania",
"country": "United States",
"postalCode": "19513",
"geolocation": {
"lat": 41.1286,
"lon": -73.4835
}
},
"version": "V4",
"source": null
}
]
},
"target": [
{
"id": "00uttidj04jqI21bA1d6",
"type": "AppUser",
"alternateId": "user@evership.biz",
"displayName": "A User",
"detailEntry": null
}
]
}
}