デバイスバウンドSSOのSystem Logイベント

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Oktaは、org内のデバイスセッションのライフサイクルと使用状況の追跡に役立つSystem Logイベントを記録します。これらのイベントを使用して、デバイスセッションが確立されたとき、アプリへのアクセスに使用されたとき、または終了したときを監査できます。

デバイスセッションのイベント

次のイベントは、デバイスセッションの作成と終了を記録します。

イベントタイプ

説明

user.device_session.start

このイベントは、ユーザーが管理対象デバイスで正常に認証され、Oktaがデバイスセッションを作成したときに記録されます。

user.device_session.end

このイベントは、次のアクションの1つ以上によってデバイスセッションが終了したときに記録されます。

  • ユーザーがデバイスからサインアウトしてから再度サインインし、新しいデバイスセッションを確立した。ユーザーがデバイスから単にサインアウトした場合には、このイベントは記録されません。

  • デバイスが一時停止または非アクティブ化された。

  • 管理者がユーザーのOktaセッションをクリアした。

次のいずれかのアクションが実行された場合、このイベントは記録されません。

  • ユーザーがデバイスからサインアウトした。

  • ユーザーが一時停止または非アクティブ化された。

  • ユーザーのAuthenticatorがリセットされた。

  • Oktaデバイスログアウトコマンドを送信した。

user.session.clear

このイベントは、管理者か、Identity Threat Protectionなどのシステム起点アクターによってユーザーセッションがすべてクリアされたときに記録されます。

セッションアクティビティを追跡する

認証アクティビティと特定のデバイスセッションを関連付けるために、Oktaは、System Log内のauthenticationContextオブジェクトにdeviceSessionIdフィールドを追加します。

イベントタイプ

説明

authenticationContext.deviceSessionId

デバイスセッションの一意な識別子。

このフィールドは、user.authentication.verifypolicy.evaluate_sign_onなどの認証要件を満たすためにデバイスセッションが使用されるすべての認証イベントに対して入力されます。

authenticationContextの作成時にデバイスセッションが使用されない場合、この属性はSystem Logに表示されません。

特定のデバイスセッションに関連するすべてのアクティビティを表示するには、セッションIDを使ってSystem Logを検索します。次に例を示します。

コピー 
authenticationContext.deviceSessionId eq "your_device_session_id"

このクエリは、最初のセッション開始、その後のすべてのアプリアクセスイベント、セッション終了イベントを返します。これで、そのセッションの完全な監査証跡が得られます。