Eventi dei log SAML

Visualizzare gli accessi alle applicazioni SAML

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche e intervenire sugli eventi dei log SAML. Ad esempio, puoi visualizzare un registro delle azioni per monitorare gli accessi riusciti e non riusciti degli utenti alle applicazioni SAML. Le voci vengono generalmente visualizzate entro un'ora da quando l'utente ha eseguito l'azione.

Inoltrare i dati sugli eventi dei log a Google Cloud

Puoi attivare la condivisione dei dati sugli eventi dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.

Eseguire una ricerca di eventi dei log

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di indagine e di controllo

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

Accedi a Console di amministrazione Google con un account amministratore.
Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.
Vai al Menu Sicurezza > Centro sicurezza > Strumento di indagine.
È necessario disporre del privilegio di amministratore Centro sicurezza.
Fai clic su Origine dati e seleziona Eventi dei log SAML.
Fai clic su Aggiungi condizione.
Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
Fai clic su Attributo seleziona un'opzione.
Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito.
Seleziona un operatore
Inserisci un valore o selezionane uno dall'elenco a discesa.
(Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina.
(Facoltativo) Per salvare la tua indagine, fai clic su Salva inserisci un titolo e una descrizionefai clic su Salva.

Nota:

Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:

Attributo	Descrizione
Attore	Indirizzo email dell'utente che ha eseguito l'azione.
Nome del gruppo dell'attore	Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro: Seleziona Nome del gruppo dell'attore. Fai clic su Gruppi filtro. Viene visualizzata la pagina Gruppi filtro. Fai clic su Aggiungi gruppi. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo. Quando hai selezionato tutti i gruppi che ti interessano, fai clic su Aggiungi. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo . Fai clic su Salva.
Unità organizzativa che ha eseguito l'azione	Unità organizzativa dell'attore
Nome applicazione	L'applicazione SAML che ha avviato l'evento.
Data	La data e l'ora in cui si è verificato l'evento (nel fuso orario predefinito del browser).
Evento	Vengono registrati due tipi di eventi: tentativi di accesso riusciti e non riusciti
Tipo di errore	In caso di tentativi di accesso non riusciti, viene visualizzato un tipo di errore. Per maggiori dettagli, vedi Tipi di errore e soluzioni di seguito.
Avviato da	Il fornitore che ha avviato l'evento. Può essere il provider di identità o il fornitore di servizi.
Indirizzo IP	L'indirizzo del protocollo internet (IP) utilizzato dall'utente per accedere all'applicazione SAML. Questo indirizzo potrebbe indicare la posizione fisica dell'utente, ma non necessariamente. Ad esempio, potrebbe trattarsi invece dell'indirizzo del server proxy o di una rete privata virtuale (VPN).
Stato secondo livello risposta	Informazioni sullo stato dell'esito positivo o negativo della richiesta SAML. Per informazioni dettagliate sui codici di stato, vedi SAML v2.0 Core, Sezione 3.2.2.2.
Stato risposta	Informazioni sullo stato dell'esito positivo o negativo della richiesta SAML. Per informazioni dettagliate sui codici di stato, vedi SAML v2.0 Core, Sezione 3.2.2.2.

Filtra i dati per tipo di errore

Apri gli eventi del log come descritto sopra.
Fai clic su Aggiungi un filtroTipo di errore come descritto sopra nella sezione Eseguire una ricerca di eventi dei log.
Nell'elenco a discesa, seleziona un'opzione.
Fai clic su Applica.

Tipi di errore e soluzioni

Negli eventi dei log vengono registrati i seguenti tipi di errore:

Tipo di errore	Soluzione
Applicazione non configurata	Verifica che le impostazioni del fornitore di servizi (incluso l'ID entità) siano configurate correttamente nella Console di amministrazione.
Applicazione non attivata per l'utente	Nella sezione Accesso utente della pagina delle impostazioni dell'app nella Console di amministrazione, verifica che l'applicazione sia attiva per l'organizzazione che contiene l'utente.
Richiesta errata	Il formato della richiesta non era valido o l'URL ACS della richiesta non corrispondeva a quello configurato nella Console di amministrazione. Verifica che l'URL ACS configurato per il fornitore di servizi sia corretto.
Mappatura ID nome non valida	Il parametro NAMEID nell'applicazione non corrisponde a quello configurato nelle impostazioni dell'app nella Console di amministrazione. Verifica che lo schema esista ancora e riconfigura la mappatura NAMEID per l'applicazione.
ID fornitore di servizi non valido	Verifica che la configurazione sul lato del fornitore di servizi corrisponda al campo id-app configurato nella Console di amministrazione. Assicurati che l'ID del provider di servizi che viene passato nell'URL della richiesta corrisponda all'id-app.
Mappatura ID nome non disponibile	L'attributo mappato nella mappatura ID nome non è stato trovato. In qualità di amministratore, verifica che lo schema esista ancora e riconfigura la mappatura NAMEID per l'applicazione.
Autenticazione passiva non riuscita	Non è stato possibile eseguire l'accesso dell'utente al Provider di identità. Accedi di nuovo all'IDP dal browser.
Sconosciuto	Accesso non riuscito per un motivo sconosciuto
Utente non autorizzato	Verifica che l'applicazione sia attiva per l'organizzazione o per il gruppo contenente l'utente.