本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# PingIdentity PingOne 的來源組態
<a name="pingidentity-pingone-source-setup"></a>

## 與 PingIdentity PingOne 整合
<a name="pingidentity-pingone-integration"></a>

PingOne 是 Ping Identity 的雲端型identity-as-a-service(IDaaS) 平台，可提供身分和存取管理功能。CloudWatch Pipeline 使用 PingOne Audit Logs API 擷取 PingOne 環境中身分驗證事件、使用者活動、政策決策和管理變更的相關資訊。Audit Logs API 可讓您透過 REST 端點存取事件資料，進而從您的 PingOne 組織擷取安全性和存取日誌。

## 使用 PingIdentity PingOne 驗證
<a name="pingidentity-pingone-authentication"></a>

若要讀取日誌，管道需要向您的 PingOne 環境進行身分驗證。對於 PingOne，身分驗證是使用 OAuth2 執行。

**設定 PingOne 的 OAuth2 身分驗證**
+ 登入 PingOne 主控台並導覽至應用程式 → 應用程式。建立新的 Worker 類型的應用程式。請記下用戶端 ID 和環境 ID。
+ 從組態索引標籤產生新的用戶端秘密。立即複製秘密。
+ 在 中 AWS Secrets Manager，建立秘密，並將用戶端 ID 存放在金鑰 下，`client_id`並將用戶端秘密存放在金鑰 下`client_secret`。
+ 將環境管理員和應用程式擁有者角色指派給應用程式。
+ 識別您的 PingOne 區域 (NA、EU、AP、AU、CA、SG)。
+ 請注意設定 → 環境 → 屬性中的環境 ID。

## 設定 CloudWatch 管道
<a name="pingidentity-pingone-pipeline-config"></a>

若要設定管道讀取日誌，請選擇 PingOne 作為資料來源。填寫必要資訊，例如環境 ID。或者，指定區域 （預設為 NA) 和範圍持續時間格式 （例如，過去 21 小時內的 PT21H)。預設範圍為 0 小時，上限為 90 天。建立並啟用管道後，來自 PingOne 的稽核日誌資料將開始流入選取的 CloudWatch Logs 日誌群組。

## 支援的開放式網路安全結構描述架構事件類別
<a name="pingidentity-pingone-ocsf-events"></a>

此整合支援對應至帳戶變更 (3001)、身分驗證 (3002) 和實體管理 (3004) 的 OCSF 結構描述版本 v1.5.0 和 PingOne 事件。

**帳戶變更**包含下列事件：
+ USER.CREATED
+ USER.INVITED
+ USER.REINVITED
+ USER.INVITE\_ACCEPTED
+ PASSWORD.FORCE\_CHANGE
+ PASSWORD.RECOVERY
+ PASSWORD.RESET
+ USER.INVITE\_REVOKED
+ USER.DELETED
+ USER.LOCKED
+ MFA\_SETTINGS.UPDATED
+ PASSWORD.UNLOCKED
+ USER.UNLOCKED

**身分驗證**包含下列事件：
+ AUTHENTICATION.CREATED
+ RADIUS\_SESSION.CREATED
+ SESSION.CREATED
+ SESSION.UPDATED
+ SESSION.DELETED
+ USER.SLO\_FAILURE
+ USER.SLO\_PARTIAL\_LOGOUT
+ USER.SLO\_REQUESTED
+ USER.SLO\_SUCCESS
+ USER.KERBEROS\_FAILED
+ USER.KERBEROS\_SUCCEEDED
+ DEVICE.ACTIVATION\_OTP\_FAILED
+ DEVICE.ACTIVATION\_OTP\_INVALID
+ DEVICE\_PAYLOAD.CHECK\_INVALID
+ DEVICE\_PAYLOAD.CHECK\_SUCCESS
+ OTP.CHECK\_FAILED
+ OTP.CHECK\_INVALID
+ OTP.CHECK\_SUCCESS
+ PASSWORD.CHECK\_FAILED
+ PASSWORD.CHECK\_SUCCEEDED

**實體管理**包含下列事件：
+ ACTION.CREATED
+ 已建立的 agreement.CREATED
+ AGREEMENT\_LANGUAGE.CREATED
+ AGREEMENT\_LANGUAGE\_REVISION.CREATED
+ APPLICATION.CREATED
+ AUTHORIZE\_POLICY.CREATED
+ CERTIFICATE.CREATED
+ DEVICE.CREATED
+ DEVICE\_AUTHENTICATION\_POLICY.CREATED
+ FIDO\_POLICY.CREATED
+ FLOW.CREATED
+ FLOW\_DEFINITION.CREATED
+ FLOW\_EXECUTION.CREATED
+ GROUP.CREATED
+ IDENTITY\_PROVIDER.CREATED
+ IDP\_ATTRIBUTE.CREATED
+ INSTANT\_MESSAGING\_DELIVERY\_SETTINGS.CREATED
+ KEY.CREATED
+ LICENSE.CREATED
+ NOTIFICATION.CREATED
+ NOTIFICATION\_POLICY.CREATED
+ ORGANIZATION.CREATED
+ POLICY.CREATED
+ Risk\_POLICY\_SET.CREATED
+ SAML\_ATTRIBUTE.CREATED
+ SCHEMA\_ATTRIBUTE.CREATED
+ SIGN\_ON\_POLICY\_ASSIGNMENT.CREATED
+ VERIFY\_POLICY.CREATED
+ CERTIFICATE.READ
+ KEY.READ
+ SECRET.READ
+ ACTION.UPDATED
+ ADMIN\_CONFIGURATION.UPDATED
+ 協議更新
+ AGREEMENT\_LANGUAGE.UPDATED
+ AGREEMENT\_LANGUAGE\_REVISION.UPDATED
+ APPLICATION.UPDATED
+ AUTHORIZE\_POLICY.UPDATED
+ CERTIFICATE.UPDATED
+ DEVICE.NICKNAME\_UPDATED
+ DEVICE.UPDATED
+ DEVICE\_AUTHENTICATION\_POLICY.UPDATED
+ FIDO\_POLICY.UPDATED
+ FLOW.UPDATED
+ FLOW\_DEFINITION.UPDATED
+ FLOW\_EXECUTION.UPDATED
+ GROUP.UPDATED
+ IDENTITY\_PROVIDER.UPDATED
+ IDP\_ATTRIBUTE.UPDATED
+ INSTANT\_MESSAGING\_DELIVERY\_SETTINGS.UPDATED
+ KEY.UPDATED
+ LICENSE.UPDATED
+ NOTIFICATION.UPDATED
+ NOTIFICATION\_POLICY.UPDATED
+ NOTIFICATIONS\_SETTINGS.UPDATED
+ ORGANIZATION.UPDATED
+ POLICY.UPDATED
+ RISK\_POLICY\_SET.ORDER\_UPDATED
+ 風險\_POLICY\_SET.UPDATED
+ SAML\_ATTRIBUTE.UPDATED
+ SCHEMA\_ATTRIBUTE.UPDATED
+ SECRET.UPDATED
+ SETTINGS.UPDATED
+ SIGN\_ON\_POLICY\_ASSIGNMENT.UPDATED
+ USER.QUOTA\_RESET
+ USER.UPDATED
+ VERIFY\_POLICY.UPDATED
+ ACTION.DELETED
+ 協議已刪除
+ AGREEMENT\_LANGUAGE.DELETED
+ AGREEMENT\_LANGUAGE\_REVISION.DELETED
+ APPLICATION.DELETED
+ AUTHORIZE\_POLICY.DELETED
+ CERTIFICATE.DELETED
+ DEVICE.DELETED
+ DEVICE\_AUTHENTICATION\_POLICY.DELETED
+ FIDO\_POLICY.DELETED
+ FLOW.DELETED
+ FLOW\_DEFINITION.DELETED
+ GROUP.DELETED
+ IDENTITY\_PROVIDER.DELETED
+ IDP\_ATTRIBUTE.DELETED
+ INSTANT\_MESSAGING\_DELIVERY\_SETTINGS.DELETED
+ KEY.DELETED
+ LICENSE.DELETED
+ NOTIFICATION\_POLICY.DELETED
+ ORGANIZATION.DELETED
+ POLICY.DELETED
+ 風險\_POLICY\_SET.DELETED
+ SAML\_ATTRIBUTE.DELETED
+ SCHEMA\_ATTRIBUTE.DELETED
+ SIGN\_ON\_POLICY\_ASSIGNMENT.DELETED
+ VERIFY\_POLICY.DELETED
+ DEVICE.UNBLOCKED
+ DEVICE.BLOCKED
+ NOTIFICATION.REJECTED
+ DEVICE.ACTIVATED
+ DEVICE.LOCKED
+ DEVICE.UNLOCKED
+ ROLE.CREATED
+ ROLE.UPDATED
+ ROLE.DELETED