Login Audit Activity Events

Ce document répertorie les événements et les paramètres différents types de Événements d'audit des connexions. Vous pouvez récupérer ces événements en Appeler Activities.list() avec applicationName=login.

Inscription à la validation en deux étapes modifiée

Les événements de ce type sont renvoyés avec type=2sv_change.

Désactivation de la validation en deux étapes

Détails de l'événement
Nom de l'événement 2sv_disable
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has disabled 2-step verification

Inscription à la validation en deux étapes

Détails de l'événement
Nom de l'événement 2sv_enroll
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has enrolled for 2-step verification

Mot de passe du compte modifié

Les événements de ce type sont renvoyés avec type=password_change.

Modification du mot de passe du compte

Détails de l'événement
Nom de l'événement password_edit
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has changed Account password

Informations de récupération de compte modifiées

Les informations de récupération de compte ont été modifiées. Les événements de ce type sont renvoyés avec type=recovery_info_change.

Modification de l'adresse e-mail de récupération du compte

Détails de l'événement
Nom de l'événement recovery_email_edit
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has changed Account recovery email

Modification du numéro de téléphone de récupération de compte

Détails de l'événement
Nom de l'événement recovery_phone_edit
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has changed Account recovery phone

Modification de la question/réponse secrète de récupération du compte

Détails de l'événement
Nom de l'événement recovery_secret_qa_edit
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has changed Account recovery secret question/answer

Avertissement lié au compte

Type d'événement d'avertissement lié au compte. Les événements de ce type sont renvoyés avec type=account_warning.

Mot de passe volé

Événement d'avertissement lié au compte - Compte désactivé - Description de la fuite de mot de passe.

Détails de l'événement
Nom de l'événement account_disabled_password_leak
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Connexion suspecte bloquée

Description de l'événement d'avertissement lié au compte : connexion suspecte.

Détails de l'événement
Nom de l'événement suspicious_login
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

login_timestamp

integer

Heure de connexion de l'événement d'avertissement lié au compte (en micros).

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Google has detected a suspicious login for {affected_email_address}

Connexion suspecte à partir d'une application moins sécurisée bloquée

Description de l'événement d'avertissement lié au compte connexion suspecte d'une application moins sécurisée.

Détails de l'événement
Nom de l'événement suspicious_login_less_secure_app
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

login_timestamp

integer

Heure de connexion de l'événement d'avertissement lié au compte (en micros).

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Google has detected a suspicious login for {affected_email_address} from a less secure app

Connexion programmatique suspecte bloquée

Description de l'événement d'avertissement lié au compte lors d'une connexion programmatique suspecte.

Détails de l'événement
Nom de l'événement suspicious_programmatic_login
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

login_timestamp

integer

Heure de connexion de l'événement d'avertissement lié au compte (en micros).

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Google has detected a suspicious programmatic login for {affected_email_address}

L'utilisateur s'est déconnecté en raison d'un cookie de session suspect(événement de logiciel malveillant emporte-pièce).

Détails de l'événement
Nom de l'événement user_signed_out_due_to_suspicious_session_cookie
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Suspicious session cookie detected for user {affected_email_address}

Utilisateur suspendu

Description générique de l'événement d'avertissement lié au compte "Compte désactivé".

Détails de l'événement
Nom de l'événement account_disabled_generic
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Account {affected_email_address} disabled

Compte utilisateur suspendu (envoi de spam via le relais)

Événement d'avertissement concernant le compte - Compte désactivé - Envoi de spam via la description du relais.

Détails de l'événement
Nom de l'événement account_disabled_spamming_through_relay
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Compte utilisateur suspendu (spam)

Événement d'avertissement concernant le compte - Compte désactivé - Spam - description.

Détails de l'événement
Nom de l'événement account_disabled_spamming
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Compte utilisateur suspendu (activité suspecte)

Événement d'avertissement concernant le compte - Compte désactivé - Description en cas de piratage

Détails de l'événement
Nom de l'événement account_disabled_hijacked
Paramètres
affected_email_address

string

ID d'adresse e-mail de l'utilisateur concerné par l'événement.

login_timestamp

integer

Heure de connexion de l'événement d'avertissement lié au compte (en micros).

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

L'inscription à la Protection Avancée a été modifiée

Les événements de ce type sont renvoyés avec type=titanium_change.

Inscription à la Protection Avancée

Détails de l'événement
Nom de l'événement titanium_enroll
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has enrolled for Advanced Protection

Désinscription de la Protection Avancée

Détails de l'événement
Nom de l'événement titanium_unenroll
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has disabled Advanced Protection

Avertissement d'attaque

Type d'événement "Alerte d'attaque". Les événements de ce type sont renvoyés avec type=attack_warning.

Attaque soutenue par un gouvernement

Nom de l'événement d'avertissement d'attaque soutenue par un gouvernement.

Détails de l'événement
Nom de l'événement gov_attack_warning
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} might have been targeted by government-backed attack

Les paramètres de l'expéditeur bloqué ont été modifiés

Les événements de ce type sont renvoyés avec type=blocked_sender_change.

Tous les futurs e-mails de cet expéditeur ont été bloqués.

Adresse e-mail bloquée.

Détails de l'événement
Nom de l'événement blocked_sender
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has blocked all future messages from {affected_email_address}.

Paramètres de transfert des e-mails modifiés

Les événements de ce type sont renvoyés avec type=email_forwarding_change.

Transfert des e-mails en dehors du domaine activé

Détails de l'événement
Nom de l'événement email_forwarding_out_of_domain
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

Connexion

Type d'événement de connexion. Les événements de ce type sont renvoyés avec type=login.

Échec de la connexion

Échec de la tentative de connexion.

Détails de l'événement
Nom de l'événement login_failure
Paramètres
login_challenge_method

string

Méthode d'authentification à la connexion Valeurs possibles :

  • backup_code
    Demande à l'utilisateur de saisir un code de validation de secours.
  • google_authenticator
    Demande à l'utilisateur de saisir l'OTP depuis l'appli Authenticator.
  • google_prompt
    Méthode d'authentification à la connexion sur invite Google.
  • idv_any_phone
    L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.
  • idv_preregistered_phone
    L'utilisateur saisit le code envoyé sur son téléphone préenregistré.
  • internal_two_factor
    Méthode d'authentification à la connexion (interne à deux facteurs).
  • knowledge_employee_id
    Méthode d'authentification à la connexion (identifiant de l'employé).
  • knowledge_preregistered_email
    L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.
  • knowledge_preregistered_phone
    L'utilisateur prouve qu'il connaît le téléphone préenregistré.
  • login_location
    L'utilisateur accède au site depuis son lieu de connexion habituel.
  • none
    Aucune question d'authentification à la connexion n'a été effectuée.
  • offline_otp
    L'utilisateur saisit le code OTP obtenu dans les paramètres de son téléphone (Android uniquement).
  • other
    Autre méthode d'authentification à la connexion.
  • password
    Mot de passe.
  • security_key
    L'utilisateur transmet la question d'authentification cryptographique par clé de sécurité.
  • security_key_otp
    Méthode d'authentification à la connexion Clé de sécurité OTP.
login_failure_type

string

Cause de l'échec de la connexion. Valeurs possibles :

  • login_failure_access_code_disallowed
    L'utilisateur n'est pas autorisé à se connecter au service.
  • login_failure_account_disabled
    Le compte de l'utilisateur est désactivé.
  • login_failure_invalid_password
    Le mot de passe de l'utilisateur n'est pas valide.
  • login_failure_unknown
    La raison de l'échec de la connexion est inconnue.
login_type

string

Type d'identifiants utilisé pour tenter de se connecter. Valeurs possibles :

  • exchange
    L'utilisateur fournit un identifiant existant et l'échange contre un autre type (par exemple, un jeton OAuth contre un SID). Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.
  • google_password
    L'utilisateur fournit le mot de passe de son compte Google.
  • reauth
    L'utilisateur est déjà authentifié, mais doit générer une nouvelle autorisation.
  • saml
    L'utilisateur fournit une assertion SAML d'un fournisseur d'identité SAML.
  • unknown
    Type de connexion inconnu.
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} failed to login

Question d'authentification à la connexion

Une connexion a été requise pour vérifier l'identité de l'utilisateur. Toutes les questions d'authentification à la connexion rencontrées lors d'une session de connexion sont regroupées dans une seule entrée events. Par exemple, si un utilisateur saisit deux fois un mot de passe incorrect, puis saisit le mot de passe correct, suivi d'une validation en deux étapes à l'aide d'une clé de sécurité, le champ events de la réponse activities.list se présente comme suit: 

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Pour en savoir plus sur les questions d'authentification à la connexion, consultez Valider l'identité d'un utilisateur à l'aide de paramètres de sécurité supplémentaires.

Détails de l'événement
Nom de l'événement login_challenge
Paramètres
login_challenge_method

string

Méthode d'authentification à la connexion Valeurs possibles :

  • backup_code
    Demande à l'utilisateur de saisir un code de validation de secours.
  • google_authenticator
    Demande à l'utilisateur de saisir l'OTP depuis l'appli Authenticator.
  • google_prompt
    Méthode d'authentification à la connexion sur invite Google.
  • idv_any_phone
    L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.
  • idv_preregistered_phone
    L'utilisateur saisit le code envoyé sur son téléphone préenregistré.
  • internal_two_factor
    Méthode d'authentification à la connexion (interne à deux facteurs).
  • knowledge_employee_id
    Méthode d'authentification à la connexion (identifiant de l'employé).
  • knowledge_preregistered_email
    L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.
  • knowledge_preregistered_phone
    L'utilisateur prouve qu'il connaît le téléphone préenregistré.
  • login_location
    L'utilisateur accède au site depuis son lieu de connexion habituel.
  • none
    Aucune question d'authentification à la connexion n'a été effectuée.
  • offline_otp
    L'utilisateur saisit le code OTP obtenu dans les paramètres de son téléphone (Android uniquement).
  • other
    Autre méthode d'authentification à la connexion.
  • password
    Mot de passe.
  • security_key
    L'utilisateur transmet la question d'authentification cryptographique par clé de sécurité.
  • security_key_otp
    Méthode d'authentification à la connexion Clé de sécurité OTP.
login_challenge_status

string

Indique si la question d'authentification à la connexion a réussi ou échoué, représenté par "Défi réussi" et « Le défi a échoué. » respectivement. Une chaîne vide indique un état inconnu.

login_type

string

Type d'identifiants utilisé pour tenter de se connecter. Valeurs possibles :

  • exchange
    L'utilisateur fournit un identifiant existant et l'échange contre un autre type (par exemple, un jeton OAuth contre un SID). Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.
  • google_password
    L'utilisateur fournit le mot de passe de son compte Google.
  • reauth
    L'utilisateur est déjà authentifié, mais doit générer une nouvelle autorisation.
  • saml
    L'utilisateur fournit une assertion SAML d'un fournisseur d'identité SAML.
  • unknown
    Type de connexion inconnu.
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} was presented with a login challenge

Validation de la connexion

Nom de l'événement de validation de la connexion.

Détails de l'événement
Nom de l'événement login_verification
Paramètres
is_second_factor

boolean

Indique si la validation des connexions est une validation en deux étapes. Valeurs possibles :

  • false
    Valeur booléenne "false".
  • true
    Valeur booléenne "true".
login_challenge_method

string

Méthode d'authentification à la connexion Valeurs possibles :

  • backup_code
    Demande à l'utilisateur de saisir un code de validation de secours.
  • google_authenticator
    Demande à l'utilisateur de saisir l'OTP depuis l'appli Authenticator.
  • google_prompt
    Méthode d'authentification à la connexion sur invite Google.
  • idv_any_phone
    L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.
  • idv_preregistered_phone
    L'utilisateur saisit le code envoyé sur son téléphone préenregistré.
  • internal_two_factor
    Méthode d'authentification à la connexion (interne à deux facteurs).
  • knowledge_employee_id
    Méthode d'authentification à la connexion (identifiant de l'employé).
  • knowledge_preregistered_email
    L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.
  • knowledge_preregistered_phone
    L'utilisateur prouve qu'il connaît le téléphone préenregistré.
  • login_location
    L'utilisateur accède au site depuis son lieu de connexion habituel.
  • none
    Aucune question d'authentification à la connexion n'a été effectuée.
  • offline_otp
    L'utilisateur saisit le code OTP obtenu dans les paramètres de son téléphone (Android uniquement).
  • other
    Autre méthode d'authentification à la connexion.
  • password
    Mot de passe.
  • security_key
    L'utilisateur transmet la question d'authentification cryptographique par clé de sécurité.
  • security_key_otp
    Méthode d'authentification à la connexion Clé de sécurité OTP.
login_challenge_status

string

Indique si la question d'authentification à la connexion a réussi ou échoué, représenté par "Défi réussi" et « Le défi a échoué. » respectivement. Une chaîne vide indique un état inconnu.

login_type

string

Type d'identifiants utilisé pour tenter de se connecter. Valeurs possibles :

  • exchange
    L'utilisateur fournit un identifiant existant et l'échange contre un autre type (par exemple, un jeton OAuth contre un SID). Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.
  • google_password
    L'utilisateur fournit le mot de passe de son compte Google.
  • reauth
    L'utilisateur est déjà authentifié, mais doit générer une nouvelle autorisation.
  • saml
    L'utilisateur fournit une assertion SAML d'un fournisseur d'identité SAML.
  • unknown
    Type de connexion inconnu.
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} was presented with login verification

Déconnexion

L'utilisateur s'est déconnecté.

Détails de l'événement
Nom de l'événement logout
Paramètres
login_type

string

Type d'identifiants utilisé pour tenter de se connecter. Valeurs possibles :

  • exchange
    L'utilisateur fournit un identifiant existant et l'échange contre un autre type (par exemple, un jeton OAuth contre un SID). Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.
  • google_password
    L'utilisateur fournit le mot de passe de son compte Google.
  • reauth
    L'utilisateur est déjà authentifié, mais doit générer une nouvelle autorisation.
  • saml
    L'utilisateur fournit une assertion SAML d'un fournisseur d'identité SAML.
  • unknown
    Type de connexion inconnu.
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} logged out

Action sensible autorisée

Détails de l'événement
Nom de l'événement risky_sensitive_action_allowed
Paramètres
is_suspicious

boolean

La tentative de connexion présentait des caractéristiques inhabituelles (connexion depuis une adresse IP inconnue, par exemple). Valeurs possibles :

  • false
    Valeur booléenne "false".
  • true
    Valeur booléenne "true".
login_challenge_method

string

Méthode d'authentification à la connexion Valeurs possibles :

  • backup_code
    Demande à l'utilisateur de saisir un code de validation de secours.
  • google_authenticator
    Demande à l'utilisateur de saisir l'OTP depuis l'appli Authenticator.
  • google_prompt
    Méthode d'authentification à la connexion sur invite Google.
  • idv_any_phone
    L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.
  • idv_preregistered_phone
    L'utilisateur saisit le code envoyé sur son téléphone préenregistré.
  • internal_two_factor
    Méthode d'authentification à la connexion (interne à deux facteurs).
  • knowledge_employee_id
    Méthode d'authentification à la connexion (identifiant de l'employé).
  • knowledge_preregistered_email
    L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.
  • knowledge_preregistered_phone
    L'utilisateur prouve qu'il connaît le téléphone préenregistré.
  • login_location
    L'utilisateur accède au site depuis son lieu de connexion habituel.
  • none
    Aucune question d'authentification à la connexion n'a été effectuée.
  • offline_otp
    L'utilisateur saisit le code OTP obtenu dans les paramètres de son téléphone (Android uniquement).
  • other
    Autre méthode d'authentification à la connexion.
  • password
    Mot de passe.
  • security_key
    L'utilisateur transmet la question d'authentification cryptographique par clé de sécurité.
  • security_key_otp
    Méthode d'authentification à la connexion Clé de sécurité OTP.
login_challenge_status

string

Indique si la question d'authentification à la connexion a réussi ou échoué, représenté par "Défi réussi" et « Le défi a échoué. » respectivement. Une chaîne vide indique un état inconnu.

login_type

string

Type d'identifiants utilisé pour tenter de se connecter. Valeurs possibles :

  • exchange
    L'utilisateur fournit un identifiant existant et l'échange contre un autre type (par exemple, un jeton OAuth contre un SID). Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.
  • google_password
    L'utilisateur fournit le mot de passe de son compte Google.
  • reauth
    L'utilisateur est déjà authentifié, mais doit générer une nouvelle autorisation.
  • saml
    L'utilisateur fournit une assertion SAML d'un fournisseur d'identité SAML.
  • unknown
    Type de connexion inconnu.
sensitive_action_name

string

Description du nom de l'action sensible dans l'événement contesté d'action sensible à risque.

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} was permitted to take the action: {sensitive_action_name}.

Action sensible bloquée

Détails de l'événement
Nom de l'événement risky_sensitive_action_blocked
Paramètres
is_suspicious

boolean

La tentative de connexion présentait des caractéristiques inhabituelles (connexion depuis une adresse IP inconnue, par exemple). Valeurs possibles :

  • false
    Valeur booléenne "false".
  • true
    Valeur booléenne "true".
login_challenge_method

string

Méthode d'authentification à la connexion Valeurs possibles :

  • backup_code
    Demande à l'utilisateur de saisir un code de validation de secours.
  • google_authenticator
    Demande à l'utilisateur de saisir l'OTP depuis l'appli Authenticator.
  • google_prompt
    Méthode d'authentification à la connexion sur invite Google.
  • idv_any_phone
    L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.
  • idv_preregistered_phone
    L'utilisateur saisit le code envoyé sur son téléphone préenregistré.
  • internal_two_factor
    Méthode d'authentification à la connexion (interne à deux facteurs).
  • knowledge_employee_id
    Méthode d'authentification à la connexion (identifiant de l'employé).
  • knowledge_preregistered_email
    L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.
  • knowledge_preregistered_phone
    L'utilisateur prouve qu'il connaît le téléphone préenregistré.
  • login_location
    L'utilisateur accède au site depuis son lieu de connexion habituel.
  • none
    Aucune question d'authentification à la connexion n'a été effectuée.
  • offline_otp
    L'utilisateur saisit le code OTP obtenu dans les paramètres de son téléphone (Android uniquement).
  • other
    Autre méthode d'authentification à la connexion.
  • password
    Mot de passe.
  • security_key
    L'utilisateur transmet la question d'authentification cryptographique par clé de sécurité.
  • security_key_otp
    Méthode d'authentification à la connexion Clé de sécurité OTP.
login_challenge_status

string

Indique si la question d'authentification à la connexion a réussi ou échoué, représenté par "Défi réussi" et « Le défi a échoué. » respectivement. Une chaîne vide indique un état inconnu.

login_type

string

Type d'identifiants utilisé pour tenter de se connecter. Valeurs possibles :

  • exchange
    L'utilisateur fournit un identifiant existant et l'échange contre un autre type (par exemple, un jeton OAuth contre un SID). Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.
  • google_password
    L'utilisateur fournit le mot de passe de son compte Google.
  • reauth
    L'utilisateur est déjà authentifié, mais doit générer une nouvelle autorisation.
  • saml
    L'utilisateur fournit une assertion SAML d'un fournisseur d'identité SAML.
  • unknown
    Type de connexion inconnu.
sensitive_action_name

string

Description du nom de l'action sensible dans l'événement contesté d'action sensible à risque.

Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.

Connexion réussie

Une tentative de connexion a abouti.

Détails de l'événement
Nom de l'événement login_success
Paramètres
is_suspicious

boolean

La tentative de connexion présentait des caractéristiques inhabituelles (connexion depuis une adresse IP inconnue, par exemple). Valeurs possibles :

  • false
    Valeur booléenne "false".
  • true
    Valeur booléenne "true".
login_challenge_method

string

Méthode d'authentification à la connexion Valeurs possibles :

  • backup_code
    Demande à l'utilisateur de saisir un code de validation de secours.
  • google_authenticator
    Demande à l'utilisateur de saisir l'OTP depuis l'appli Authenticator.
  • google_prompt
    Méthode d'authentification à la connexion sur invite Google.
  • idv_any_phone
    L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.
  • idv_preregistered_phone
    L'utilisateur saisit le code envoyé sur son téléphone préenregistré.
  • internal_two_factor
    Méthode d'authentification à la connexion (interne à deux facteurs).
  • knowledge_employee_id
    Méthode d'authentification à la connexion (identifiant de l'employé).
  • knowledge_preregistered_email
    L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.
  • knowledge_preregistered_phone
    L'utilisateur prouve qu'il connaît le téléphone préenregistré.
  • login_location
    L'utilisateur accède au site depuis son lieu de connexion habituel.
  • none
    Aucune question d'authentification à la connexion n'a été effectuée.
  • offline_otp
    L'utilisateur saisit le code OTP obtenu dans les paramètres de son téléphone (Android uniquement).
  • other
    Autre méthode d'authentification à la connexion.
  • password
    Mot de passe.
  • security_key
    L'utilisateur transmet la question d'authentification cryptographique par clé de sécurité.
  • security_key_otp
    Méthode d'authentification à la connexion Clé de sécurité OTP.
login_type

string

Type d'identifiants utilisé pour tenter de se connecter. Valeurs possibles :

  • exchange
    L'utilisateur fournit un identifiant existant et l'échange contre un autre type (par exemple, un jeton OAuth contre un SID). Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.
  • google_password
    L'utilisateur fournit le mot de passe de son compte Google.
  • reauth
    L'utilisateur est déjà authentifié, mais doit générer une nouvelle autorisation.
  • saml
    L'utilisateur fournit une assertion SAML d'un fournisseur d'identité SAML.
  • unknown
    Type de connexion inconnu.
Exemple de requête
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Format des messages de la console d'administration
{actor} logged in