AWS EventBridgeログストリームを追加する
Okta System LogイベントをAmazon EventBridgeに送信するには、OktaでAWS EventBridgeログストリームを追加し、AWSコンソールで構成する必要があります。
前提条件
-
スーパー管理者としてOktaにサインインしていること。
-
任意(推奨)。Okta orgのデプロイのAWSリージョンを把握していること。AWSリージョンについては、Oktaサポートにお問い合わせください。
-
EventBridgeターゲットのAWSアカウントIDとリージョン情報があること。
-
AWSのドキュメントに記載されているように、SaaSパートナーのイベントを受信するようにEventBridgeを構成するための適切な権限があること。
AWS EventBridgeログストリームを追加する
-
Admin Consoleでに移動します。このページには、orgで使用可能なすべてのログストリームターゲットが表示されます。
-
[Add Log Stream(ログストリームを追加)]をクリックして、ログストリームウィザードを開始します。
-
カタログから[AWS EventBridge]を選択します。[Next(次へ)]をクリックします。
-
AWS EventBridgeログストリームの構成の詳細を入力します。
-
[Name(名前)]:Oktaのこのログストリームに一意の名前を付けます。
-
[AWS Event Source Name(AWSイベントソース名)]:Amazon EventBridgeでこのイベントソースを識別するための、特殊文字やスペースを含まない一意の名前を指定します。
-
[AWS account ID(AWSアカウントID)]:AWSが提供する12桁のアカウントID。
-
[AWS region(AWSリージョン)]:EventBridgeターゲットに最も近いAWSリージョンを選択します。地理的な地域が近いほど、ストリーム接続が高速になります。同じイベントを複数のリージョンに送信するには、複数のログストリームターゲットを作成する必要があります。
-
-
[Save(保存)]をクリックします。確認メッセージが表示されます。
追加したログストリームが[Active(アクティブ)]のステータスで[Log Streaming(ログストリーミング)]ページに表示されます。
AWSコンソールでAmazon EventBridgeログストリームを構成する
Oktaからのパートナーイベントを受け入れるようにAmazon EventBridgeログストリームを構成します。
-
AWSコンソールで、[Amazon EventBridge]に移動します。
-
ナビゲーションパネルの統合セクションから[Partner event sources(パートナーイベントソース)]を選択します。
-
OktaでAWS EventBridgeログストリームが正常にアクティブ化されている場合は、ステータスが[Pending(保留中)]で、次の形式の名前が付いているパートナーイベントソースが表示されるはずです。
aws.partner/okta.com/yourOktaSubdomain/yourAWSEventSourceName -
ログストリームを選択し、[Associate with an event bus(イベントバスに関連付ける)]をクリックします。
-
[Associate with an event bus(イベントバスに関連付ける)]ページでログストリームに必要な権限を選択します。[Associate(関連付け)]をクリックします。パートナーのイベントソースがアクティブになり、対応するイベントバスでイベントが使用可能になります。
-
ナビゲーションパネルの[Events(イベント)]セクションから[Rules(ルール)]を選択します。
-
次の設定を含むOktaイベントに一致するルールの作成方法については、AWSのドキュメントの指示に従ってください。
-
イベントソースの場合、[AWS events or EventBridge partner events(AWSイベントまたはEventBridgeパートナーイベント)]を選択します。
-
作成方法の場合、[User pattern form(ユーザーパターンフォーム)]を選択します。
その後、EventBridgeパートナーの一覧からOktaを選択できるようになります。
-
-
Okta Admin Consoleへのサインイン/サインアウトなど、イベントを生成するアクションをOktaで実行します。イベントバス内の対応するイベントが含まれるログを探す方法については、AWSのドキュメントを参照してください。
イベントの例
Okta System Logイベントは、detailオブジェクト内に含まれます。OktaはEventBridgeのイベント構造を制御しません。詳しくは、「Amazon EventBridgeイベント」をご覧ください。
{
"version": "0",
"id": "4ab6d852-09e9-1036-fc04-2e22004b3c3f",
"detail-type": "SystemLog",
"source": "aws.partner/okta.com/evership/evershipsecuritylake",
"account": "999999999999",
"time": "2023-05-30T14:17:58Z",
"region": "us-east-1",
"resources": [],
"detail": {
"actor": {
"id": "00uttidj04jqI21bA1d6",
"type": "User",
"alternateId": "user@evership.biz",
"displayName": "A User",
"detailEntry": null
},
"client": {
"userAgent": {
"rawUserAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36",
"os": "Mac OS X",
"browser": "CHROME"
},
"zone": "null",
"device": "Computer",
"id": null,
"ipAddress": "127.0.0.1",
"geographicalContext": {
"city": "Fictionville",
"state": "Pennsylvania",
"country": "United States",
"postalCode": "19513",
"geolocation": {
"lat": 41.1286,
"lon": -73.4835
}
}
},
"device": null,
"authenticationContext": {
"authenticationProvider": null,
"credentialProvider": null,
"credentialType": null,
"issuer": null,
"interface": null,
"authenticationStep": 0,
"externalSessionId": "102BoThue9qT2uRBdaO_Z9msg"
},
"displayMessage": "User accessing Okta admin app",
"eventType": "user.session.access_admin_app",
"outcome": {
"result": "SUCCESS",
"reason": null
},
"published": "2023-05-30T14:17:58.126Z",
"securityContext": {
"asNumber": 6167,
"asOrg": "verizon",
"isp": "verizon",
"domain": "myvzw.com",
"isProxy": false
},
"severity": "INFO",
"debugContext": {
"debugData": {
"requestId": "ZHYFlX6QY0rHqq1oihP7CwAACSI",
"dtHash": "e463841eed07369aeb7ace43a41fcef75ccefa573ced0420039c16b0e3d7cc99",
"requestUri": "/admin/sso/callback",
"url": "/admin/sso/callback?code=******&state=vdC6CnQXeZqyxBJKBVmtej9wMnF4nM1r"
}
},
"legacyEventType": "app.admin.sso.login.success",
"transaction": {
"type": "WEB",
"id": "ZHYFlX6QY0rHqq1oihP7CwAACSI",
"detail": {}
},
"uuid": "c6ed294a-fef4-11ed-a5b1-bbb7c1de1a4b",
"version": "0",
"request": {
"ipChain": [
{
"ip": "127.0.0.1",
"geographicalContext": {
"city": "Fictionville",
"state": "Pennsylvania",
"country": "United States",
"postalCode": "19513",
"geolocation": {
"lat": 41.1286,
"lon": -73.4835
}
},
"version": "V4",
"source": null
}
]
},
"target": [
{
"id": "00uttidj04jqI21bA1d6",
"type": "AppUser",
"alternateId": "user@evership.biz",
"displayName": "A User",
"detailEntry": null
}
]
}
}