Événements du System Log pour la SSO liée à l'appareil

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Okta enregistre les événements du System Log pour vous aider à suivre le cycle de vie et l'utilisation des sessions des appareils dans votre org. Vous pouvez utiliser ces événements pour auditer lorsque les sessions d’appareil sont établies, utilisées pour accès aux apps ou interrompues.

Événements pour les sessions d'appareil

Les événements suivants consignent la création et la fin de la session de l'appareil :

Type d'événement

Description

user.device_session.start

Cet événement est enregistré lorsqu'un utilisateur s'authentifie avec succès sur un appareil géré et qu'Okta crée une session d'appareil.

user.device_session.end

Cet événement est enregistré lorsqu'une ou plusieurs des actions suivantes mettent fin à la session de l'appareil :

  • L'utilisateur se déconnecte de l'appareil et se reconnecte, établissant ainsi une nouvelle session avec l'appareil. Cet événement Cet événement n’est pas enregistré si l’utilisateur se contente de se déconnecter de l’appareil.n'est pas enregistré si l' utilisateur se déconnecte simplement de l'appareil.

  • L'appareil est suspendu ou désactivé.

  • Un administrateur efface les sessions Okta d'un utilisateur.

Cet événement n'est pas enregistré lorsque l'une des actions suivantes se produit :

  • L'utilisateur se déconnecte de l’appareil.

  • L'utilisateur est suspendu ou désactivé.

  • Les Authenticator de l'utilisateur sont réinitialisés.

  • Okta envoie une commande Device Logout.

user.session.clear

Cet événement est enregistré lorsque toutes les sessions utilisateur sont effacées, soit par un administrateur, soit par un acteur initié par le système, tel que Identity Threat Protection.

Suivre l'activité de la session

Pour vous aider à corréler l'activité d’authentification avec une session d'appareil spécifique, Okta ajoute un champ deviceSessionId à l'objet authenticationContext dans le System Log :

Type d'événement

Description

authenticationContext.deviceSessionId

Un identificateur unique de la session de l'appareil.

Ce champ est renseigné pour tous les événements d’authentification, où la session de l'appareil est utilisée pour satisfaire aux exigences d’authentification, comme user.authentication.verify ou policy.evaluate_sign_on.

Si une session d’appareil n’est pas utilisée lors de la création deauthenticationContext, cet attribut n'apparaît pas dans le System Log.

Pour afficher toute l'activité associée à une session d'appareil spécifique, vous pouvez effectuer une recherche dans le System Log à l'aide de l'ID de session, par exemple :

Copier 
authenticationContext.deviceSessionId eq "your_device_session_id"

Cette requête renvoie le début de la session initiale, tous les événements d’accès à l’app suivants, ainsi que l'événement de fin de la session. Cela permet d'avoir une piste d'audit complète pour la session en question.