Habilitando a auditoria para o Identity Management Service

Se você estiver usando o Identity Management Service fornecido pelo IBM Cloud Pak foundational services, será necessário habilitar a auditoria se desejar auditar eventos gerados pelo Identity Management Service.

Quem precisa concluir esta tarefa?

Administrador de instância Um administrador de instância pode concluir esta tarefa.

Quando você precisa concluir essa tarefa?

Conclua esta tarefa após habilitar o registro de auditoria para IBM® Software Hub.

Essa tarefa é necessária apenas se você estiver usando o Identity Management Service fornecido pelo IBM Cloud Pak foundational services.

Antes de iniciar

Melhor prática: você pode executar os comandos nesta tarefa exatamente como estão escritos se usar o script de variáveis de ambiente de instalação.

Certifique-se de obter as variáveis de ambiente antes de executar os comandos nesta tarefa.

Para verificar se você está usando o Identity Management Service execute o seguinte comando:
oc get zenservice lite-cr \
-n ${PROJECT_CPD_INST_OPERANDS} \
-o jsonpath='{.spec.iamIntegration}'
  • Se o comando retornar true, você está usando o Identity Management Service.
  • Se o comando retornar false, você não está usando o Identity Management Service e não precisa concluir esta tarefa.

Sobre esta tarefa

Para encaminhar os logs de auditoria para o Serviço IBM Software Hub de Logs de Auditoria, você deve definir os seguintes parâmetros no mapa platform-auth-idptrue de configuração:

  • AUDIT_ENABLED_IDPROVIDER
  • AUDIT_ENABLED_IDMGMT

Procedimento

  1. Faça login como um usuário Red Hat® OpenShift® Container Platform com permissões suficientes para concluir a tarefa.
    ${OC_LOGIN}
    Lembre-se: OC_LOGIN é um alias para o oc login comando.
  2. Corrigir o ConfigMapplatform-auth-idp :
    oc patch cm platform-auth-idp \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--type=merge \
--patch='{"data": {"AUDIT_ENABLED_IDPROVIDER": "true", "AUDIT_ENABLED_IDMGMT": "true"}}'
  3. Exclua os seguintes pods:
    1. Exclua o platform-auth-service pod:
      oc delete pods platform-auth-service \
--namespace=${PROJECT_CPD_INST_OPERANDS}
    2. Exclua o platform-identity-provider pod:
      oc delete pods platform-identity-provider \
--namespace=${PROJECT_CPD_INST_OPERANDS}
    3. Exclua o platform-identity-management pod:
      oc delete pods platform-identity-management \
--namespace=${PROJECT_CPD_INST_OPERANDS}

Resultados

Os registros de auditoria para o Identity Management Service são enviados para o Serviço de IBM Software Hub Registro de Auditoria.