Ce document répertorie les événements et les paramètres de divers types d'événements d'audit de connexion. Vous pouvez récupérer ces événements en appelant Activities.list() avec applicationName=login.
Modification de l'inscription à la validation en deux étapes
Les événements de ce type sont renvoyés avec type=2sv_change.
Désactivation de la validation en deux étapes
| Détails de l'événement |
| Nom de l'événement |
2sv_disable |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has disabled 2-step verification
|
Inscription à la validation en deux étapes
| Détails de l'événement |
| Nom de l'événement |
2sv_enroll |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has enrolled for 2-step verification
|
Mot de passe du compte modifié
Les événements de ce type sont renvoyés avec type=password_change.
Modification du mot de passe du compte
| Détails de l'événement |
| Nom de l'événement |
password_edit |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has changed Account password
|
Les informations de récupération du compte ont été modifiées
Les informations de récupération du compte ont été modifiées.
Les événements de ce type sont renvoyés avec type=recovery_info_change.
Modification de l'adresse e-mail de récupération du compte
| Détails de l'événement |
| Nom de l'événement |
recovery_email_edit |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has changed Account recovery email
|
Modification du numéro de téléphone de récupération du compte
| Détails de l'événement |
| Nom de l'événement |
recovery_phone_edit |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has changed Account recovery phone
|
Modification de la question/réponse secrète de récupération du compte
| Détails de l'événement |
| Nom de l'événement |
recovery_secret_qa_edit |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has changed Account recovery secret question/answer
|
Avertissement concernant le compte
Type d'événement d'avertissement sur le compte.
Les événements de ce type sont renvoyés avec type=account_warning.
Mot de passe volé
Description de la fuite du mot de passe du compte d'événement d'avertissement concernant le compte désactivé
| Détails de l'événement |
| Nom de l'événement |
account_disabled_password_leak |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Account {affected_email_address} disabled because Google has become aware that someone else knows its password
|
Connexion suspecte bloquée
Description de la connexion suspecte à l'événement d'avertissement concernant le compte.
| Détails de l'événement |
| Nom de l'événement |
suspicious_login |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
login_timestamp |
integer
Heure de connexion de l'événement d'avertissement du compte en micros.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Google has detected a suspicious login for {affected_email_address}
|
Connexion suspecte à partir d'une application moins sécurisée bloquée
Événement d'avertissement concernant le compte - Connexion suspecte - Description de l'application moins sécurisée
| Détails de l'événement |
| Nom de l'événement |
suspicious_login_less_secure_app |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
login_timestamp |
integer
Heure de connexion de l'événement d'avertissement du compte en micros.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Google has detected a suspicious login for {affected_email_address} from a less secure app
|
Connexion programmatique suspecte bloquée
Description de la connexion suspecte à un événement d'avertissement lié au programmatique.
| Détails de l'événement |
| Nom de l'événement |
suspicious_programmatic_login |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
login_timestamp |
integer
Heure de connexion de l'événement d'avertissement du compte en micros.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Google has detected a suspicious programmatic login for {affected_email_address}
|
Déconnexion de l'utilisateur en raison d'un cookie de session suspect
L'utilisateur s'est déconnecté en raison d'un cookie de session suspect(événement de logiciel malveillant lié à un embouteur de cookies).
| Détails de l'événement |
| Nom de l'événement |
user_signed_out_due_to_suspicious_session_cookie |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Suspicious session cookie detected for user {affected_email_address}
|
Utilisateur suspendu
Description générique du compte d'événement d'avertissement de compte désactivé
| Détails de l'événement |
| Nom de l'événement |
account_disabled_generic |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Account {affected_email_address} disabled
|
Compte utilisateur suspendu (envoi de spam via un relais)
L'événement d'avertissement de compte a désactivé le spam via la description de relais.
| Détails de l'événement |
| Nom de l'événement |
account_disabled_spamming_through_relay |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service
|
Compte utilisateur suspendu (spam)
Description de l'événement d'avertissement lié au compte désactivé pour cause de spam
| Détails de l'événement |
| Nom de l'événement |
account_disabled_spamming |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming
|
Compte utilisateur suspendu (activité suspecte)
Description de l'événement d'avertissement relatif au compte désactivé pour cause de piratage
| Détails de l'événement |
| Nom de l'événement |
account_disabled_hijacked |
| Paramètres |
affected_email_address |
string
ID d'adresse e-mail de l'utilisateur concerné par l'événement.
|
login_timestamp |
integer
Heure de connexion de l'événement d'avertissement du compte en micros.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised
|
L'inscription à la Protection Avancée a été modifiée
Les événements de ce type sont renvoyés avec type=titanium_change.
Inscription au Programme Protection Avancée
| Détails de l'événement |
| Nom de l'événement |
titanium_enroll |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has enrolled for Advanced Protection
|
Se désinscrire de la Protection Avancée
| Détails de l'événement |
| Nom de l'événement |
titanium_unenroll |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has disabled Advanced Protection
|
Avertissement d'attaque
Type d'événement d'avertissement d'attaque.
Les événements de ce type sont renvoyés avec type=attack_warning.
Attaque de personnes malveillantes soutenues par un gouvernement
Nom de l'événement d'avertissement concernant une attaque soutenue par un gouvernement.
| Détails de l'événement |
| Nom de l'événement |
gov_attack_warning |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} might have been targeted by government-backed attack
|
Paramètres d'expéditeur bloqués modifiés
Les événements de ce type sont renvoyés avec type=blocked_sender_change.
Tous les futurs e-mails de l'expéditeur ont été bloqués.
Adresse e-mail bloquée.
| Détails de l'événement |
| Nom de l'événement |
blocked_sender |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has blocked all future messages from {affected_email_address}.
|
Paramètres de transfert d'e-mails modifiés
Les événements de ce type sont renvoyés avec type=email_forwarding_change.
Transfert des e-mails en dehors du domaine activé
| Détails de l'événement |
| Nom de l'événement |
email_forwarding_out_of_domain |
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.
|
Se connecter
Type d'événement de connexion.
Les événements de ce type sont renvoyés avec type=login.
Échec de la connexion
Échec de la tentative de connexion.
| Détails de l'événement |
| Nom de l'événement |
login_failure |
| Paramètres |
login_challenge_method |
string
Méthode d'authentification à la connexion.
Les valeurs possibles sont :
backup_code
Demande à l'utilisateur de saisir un code de validation de secours.google_authenticator
Demande à l'utilisateur de saisir un mot de passe à usage unique depuis l'application d'authentification.google_prompt
Méthode d'authentification à la connexion : invite Google.idv_any_phone
L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.idv_preregistered_phone
L'utilisateur saisit le code envoyé sur son téléphone préenregistré.internal_two_factor
Méthode d'authentification à la connexion (deux facteurs internes).knowledge_employee_id
Méthode d'authentification à la connexion : ID d'employé Knowledge.knowledge_preregistered_email
L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.knowledge_preregistered_phone
L'utilisateur prouve qu'il connaît le téléphone préenregistré.login_location
L'utilisateur entre depuis le lieu habituel de connexion.none
Aucune question d'authentification à la connexion n'a été rencontrée.offline_otp
L'utilisateur saisit le code OTP disponible dans les paramètres de son téléphone (Android uniquement).other
Autre méthode d'authentification à la connexion.password
Mot de passe.security_key
L'utilisateur réussit le défi de chiffrement de la clé de sécurité.security_key_otp
Méthode d'authentification à la connexion avec mot de passe à usage unique de clé de sécurité.
|
login_failure_type |
string
Cause de l'échec de connexion.
Les valeurs possibles sont :
login_failure_access_code_disallowed
L'utilisateur n'est pas autorisé à se connecter au service.login_failure_account_disabled
Le compte de l'utilisateur est désactivé.login_failure_invalid_password
Le mot de passe de l'utilisateur n'est pas valide.login_failure_unknown
La raison de l'échec de connexion n'est pas connue.
|
login_type |
string
Type d'identifiants utilisés pour tenter de se connecter.
Les valeurs possibles sont :
exchange
L'utilisateur fournit un identifiant existant et l'échange contre un autre type, par exemple en échangeant un jeton OAuth contre un SID. Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.google_password
L'utilisateur fournit un mot de passe de compte Google.reauth
L'utilisateur est déjà authentifié, mais doit de nouveau être autorisé.saml
L'utilisateur fournit une assertion SAML à partir d'un fournisseur d'identité SAML.unknown
Type de connexion inconnu.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} failed to login
|
Question d'authentification à la connexion
Une connexion a été demandée pour valider l'identité de l'utilisateur. Toutes les questions d'authentification à la connexion lors d'une session de connexion sont regroupées dans une seule entrée events. Par exemple, si un utilisateur saisit deux fois un mot de passe incorrect, puis saisit le bon mot de passe, puis une validation en deux étapes à l'aide d'une clé de sécurité, le champ events de la réponse activities.list se présente comme suit :
"events": [
{
"type": "login",
"name": "login_success",
"parameters": [
{
"name": "login_type",
"value": "google_password"
},
{
"name": "login_challenge_method",
"multiValue": [
"password",
"password",
"password",
"security_key"
]
},
{
"name": "is_suspicious",
"boolValue": false
}
]
}
]
Pour en savoir plus sur les questions d'authentification à la connexion, consultez Valider l'identité d'un utilisateur à l'aide de paramètres de sécurité supplémentaires.
| Détails de l'événement |
| Nom de l'événement |
login_challenge |
| Paramètres |
login_challenge_method |
string
Méthode d'authentification à la connexion.
Les valeurs possibles sont :
backup_code
Demande à l'utilisateur de saisir un code de validation de secours.google_authenticator
Demande à l'utilisateur de saisir un mot de passe à usage unique depuis l'application d'authentification.google_prompt
Méthode d'authentification à la connexion : invite Google.idv_any_phone
L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.idv_preregistered_phone
L'utilisateur saisit le code envoyé sur son téléphone préenregistré.internal_two_factor
Méthode d'authentification à la connexion (deux facteurs internes).knowledge_employee_id
Méthode d'authentification à la connexion : ID d'employé Knowledge.knowledge_preregistered_email
L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.knowledge_preregistered_phone
L'utilisateur prouve qu'il connaît le téléphone préenregistré.login_location
L'utilisateur entre depuis le lieu habituel de connexion.none
Aucune question d'authentification à la connexion n'a été rencontrée.offline_otp
L'utilisateur saisit le code OTP disponible dans les paramètres de son téléphone (Android uniquement).other
Autre méthode d'authentification à la connexion.password
Mot de passe.security_key
L'utilisateur réussit le défi de chiffrement de la clé de sécurité.security_key_otp
Méthode d'authentification à la connexion avec mot de passe à usage unique de clé de sécurité.
|
login_challenge_status |
string
Indique si la question d'authentification à la connexion a abouti ou échoué, avec les valeurs "Challenge réussi" et "Échec du défi". Une chaîne vide indique un état inconnu.
|
login_type |
string
Type d'identifiants utilisés pour tenter de se connecter.
Les valeurs possibles sont :
exchange
L'utilisateur fournit un identifiant existant et l'échange contre un autre type, par exemple en échangeant un jeton OAuth contre un SID. Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.google_password
L'utilisateur fournit un mot de passe de compte Google.reauth
L'utilisateur est déjà authentifié, mais doit de nouveau être autorisé.saml
L'utilisateur fournit une assertion SAML à partir d'un fournisseur d'identité SAML.unknown
Type de connexion inconnu.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} was presented with a login challenge
|
Validation de la connexion
Nom de l'événement de validation de la connexion.
| Détails de l'événement |
| Nom de l'événement |
login_verification |
| Paramètres |
is_second_factor |
boolean
Indique si la validation de la connexion est la validation en deux étapes.
Les valeurs possibles sont :
false
Valeur booléenne "false".true
Valeur booléenne "true".
|
login_challenge_method |
string
Méthode d'authentification à la connexion.
Les valeurs possibles sont :
backup_code
Demande à l'utilisateur de saisir un code de validation de secours.google_authenticator
Demande à l'utilisateur de saisir un mot de passe à usage unique depuis l'application d'authentification.google_prompt
Méthode d'authentification à la connexion : invite Google.idv_any_phone
L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.idv_preregistered_phone
L'utilisateur saisit le code envoyé sur son téléphone préenregistré.internal_two_factor
Méthode d'authentification à la connexion (deux facteurs internes).knowledge_employee_id
Méthode d'authentification à la connexion : ID d'employé Knowledge.knowledge_preregistered_email
L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.knowledge_preregistered_phone
L'utilisateur prouve qu'il connaît le téléphone préenregistré.login_location
L'utilisateur entre depuis le lieu habituel de connexion.none
Aucune question d'authentification à la connexion n'a été rencontrée.offline_otp
L'utilisateur saisit le code OTP disponible dans les paramètres de son téléphone (Android uniquement).other
Autre méthode d'authentification à la connexion.password
Mot de passe.security_key
L'utilisateur réussit le défi de chiffrement de la clé de sécurité.security_key_otp
Méthode d'authentification à la connexion avec mot de passe à usage unique de clé de sécurité.
|
login_challenge_status |
string
Indique si la question d'authentification à la connexion a abouti ou échoué, avec les valeurs "Challenge réussi" et "Échec du défi". Une chaîne vide indique un état inconnu.
|
login_type |
string
Type d'identifiants utilisés pour tenter de se connecter.
Les valeurs possibles sont :
exchange
L'utilisateur fournit un identifiant existant et l'échange contre un autre type, par exemple en échangeant un jeton OAuth contre un SID. Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.google_password
L'utilisateur fournit un mot de passe de compte Google.reauth
L'utilisateur est déjà authentifié, mais doit de nouveau être autorisé.saml
L'utilisateur fournit une assertion SAML à partir d'un fournisseur d'identité SAML.unknown
Type de connexion inconnu.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} was presented with login verification
|
Logout
L'utilisateur s'est déconnecté.
| Détails de l'événement |
| Nom de l'événement |
logout |
| Paramètres |
login_type |
string
Type d'identifiants utilisés pour tenter de se connecter.
Les valeurs possibles sont :
exchange
L'utilisateur fournit un identifiant existant et l'échange contre un autre type, par exemple en échangeant un jeton OAuth contre un SID. Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.google_password
L'utilisateur fournit un mot de passe de compte Google.reauth
L'utilisateur est déjà authentifié, mais doit de nouveau être autorisé.saml
L'utilisateur fournit une assertion SAML à partir d'un fournisseur d'identité SAML.unknown
Type de connexion inconnu.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} logged out
|
Action sensible autorisée
| Détails de l'événement |
| Nom de l'événement |
risky_sensitive_action_allowed |
| Paramètres |
is_suspicious |
boolean
La tentative de connexion présentait des caractéristiques inhabituelles, par exemple une connexion depuis une adresse IP inconnue.
Les valeurs possibles sont :
false
Valeur booléenne "false".true
Valeur booléenne "true".
|
login_challenge_method |
string
Méthode d'authentification à la connexion.
Les valeurs possibles sont :
backup_code
Demande à l'utilisateur de saisir un code de validation de secours.google_authenticator
Demande à l'utilisateur de saisir un mot de passe à usage unique depuis l'application d'authentification.google_prompt
Méthode d'authentification à la connexion : invite Google.idv_any_phone
L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.idv_preregistered_phone
L'utilisateur saisit le code envoyé sur son téléphone préenregistré.internal_two_factor
Méthode d'authentification à la connexion (deux facteurs internes).knowledge_employee_id
Méthode d'authentification à la connexion : ID d'employé Knowledge.knowledge_preregistered_email
L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.knowledge_preregistered_phone
L'utilisateur prouve qu'il connaît le téléphone préenregistré.login_location
L'utilisateur entre depuis le lieu habituel de connexion.none
Aucune question d'authentification à la connexion n'a été rencontrée.offline_otp
L'utilisateur saisit le code OTP disponible dans les paramètres de son téléphone (Android uniquement).other
Autre méthode d'authentification à la connexion.password
Mot de passe.security_key
L'utilisateur réussit le défi de chiffrement de la clé de sécurité.security_key_otp
Méthode d'authentification à la connexion avec mot de passe à usage unique de clé de sécurité.
|
login_challenge_status |
string
Indique si la question d'authentification à la connexion a abouti ou échoué, avec les valeurs "Challenge réussi" et "Échec du défi". Une chaîne vide indique un état inconnu.
|
login_type |
string
Type d'identifiants utilisés pour tenter de se connecter.
Les valeurs possibles sont :
exchange
L'utilisateur fournit un identifiant existant et l'échange contre un autre type, par exemple en échangeant un jeton OAuth contre un SID. Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.google_password
L'utilisateur fournit un mot de passe de compte Google.reauth
L'utilisateur est déjà authentifié, mais doit de nouveau être autorisé.saml
L'utilisateur fournit une assertion SAML à partir d'un fournisseur d'identité SAML.unknown
Type de connexion inconnu.
|
sensitive_action_name |
string
Description du nom de l'action sensible dans l'événement d'action sensible à risque.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} was permitted to take the action: {sensitive_action_name}.
|
Action sensible bloquée
| Détails de l'événement |
| Nom de l'événement |
risky_sensitive_action_blocked |
| Paramètres |
is_suspicious |
boolean
La tentative de connexion présentait des caractéristiques inhabituelles, par exemple une connexion depuis une adresse IP inconnue.
Les valeurs possibles sont :
false
Valeur booléenne "false".true
Valeur booléenne "true".
|
login_challenge_method |
string
Méthode d'authentification à la connexion.
Les valeurs possibles sont :
backup_code
Demande à l'utilisateur de saisir un code de validation de secours.google_authenticator
Demande à l'utilisateur de saisir un mot de passe à usage unique depuis l'application d'authentification.google_prompt
Méthode d'authentification à la connexion : invite Google.idv_any_phone
L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.idv_preregistered_phone
L'utilisateur saisit le code envoyé sur son téléphone préenregistré.internal_two_factor
Méthode d'authentification à la connexion (deux facteurs internes).knowledge_employee_id
Méthode d'authentification à la connexion : ID d'employé Knowledge.knowledge_preregistered_email
L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.knowledge_preregistered_phone
L'utilisateur prouve qu'il connaît le téléphone préenregistré.login_location
L'utilisateur entre depuis le lieu habituel de connexion.none
Aucune question d'authentification à la connexion n'a été rencontrée.offline_otp
L'utilisateur saisit le code OTP disponible dans les paramètres de son téléphone (Android uniquement).other
Autre méthode d'authentification à la connexion.password
Mot de passe.security_key
L'utilisateur réussit le défi de chiffrement de la clé de sécurité.security_key_otp
Méthode d'authentification à la connexion avec mot de passe à usage unique de clé de sécurité.
|
login_challenge_status |
string
Indique si la question d'authentification à la connexion a abouti ou échoué, avec les valeurs "Challenge réussi" et "Échec du défi". Une chaîne vide indique un état inconnu.
|
login_type |
string
Type d'identifiants utilisés pour tenter de se connecter.
Les valeurs possibles sont :
exchange
L'utilisateur fournit un identifiant existant et l'échange contre un autre type, par exemple en échangeant un jeton OAuth contre un SID. Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.google_password
L'utilisateur fournit un mot de passe de compte Google.reauth
L'utilisateur est déjà authentifié, mais doit de nouveau être autorisé.saml
L'utilisateur fournit une assertion SAML à partir d'un fournisseur d'identité SAML.unknown
Type de connexion inconnu.
|
sensitive_action_name |
string
Description du nom de l'action sensible dans l'événement d'action sensible à risque.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.
|
Connexion réussie
Tentative de connexion réussie.
| Détails de l'événement |
| Nom de l'événement |
login_success |
| Paramètres |
is_suspicious |
boolean
La tentative de connexion présentait des caractéristiques inhabituelles, par exemple une connexion depuis une adresse IP inconnue.
Les valeurs possibles sont :
false
Valeur booléenne "false".true
Valeur booléenne "true".
|
login_challenge_method |
string
Méthode d'authentification à la connexion.
Les valeurs possibles sont :
backup_code
Demande à l'utilisateur de saisir un code de validation de secours.google_authenticator
Demande à l'utilisateur de saisir un mot de passe à usage unique depuis l'application d'authentification.google_prompt
Méthode d'authentification à la connexion : invite Google.idv_any_phone
L'utilisateur a demandé un numéro de téléphone, puis saisit le code envoyé à ce téléphone.idv_preregistered_phone
L'utilisateur saisit le code envoyé sur son téléphone préenregistré.internal_two_factor
Méthode d'authentification à la connexion (deux facteurs internes).knowledge_employee_id
Méthode d'authentification à la connexion : ID d'employé Knowledge.knowledge_preregistered_email
L'utilisateur prouve qu'il connaît l'adresse e-mail préenregistrée.knowledge_preregistered_phone
L'utilisateur prouve qu'il connaît le téléphone préenregistré.login_location
L'utilisateur entre depuis le lieu habituel de connexion.none
Aucune question d'authentification à la connexion n'a été rencontrée.offline_otp
L'utilisateur saisit le code OTP disponible dans les paramètres de son téléphone (Android uniquement).other
Autre méthode d'authentification à la connexion.password
Mot de passe.security_key
L'utilisateur réussit le défi de chiffrement de la clé de sécurité.security_key_otp
Méthode d'authentification à la connexion avec mot de passe à usage unique de clé de sécurité.
|
login_type |
string
Type d'identifiants utilisés pour tenter de se connecter.
Les valeurs possibles sont :
exchange
L'utilisateur fournit un identifiant existant et l'échange contre un autre type, par exemple en échangeant un jeton OAuth contre un SID. Peut indiquer que l'utilisateur était déjà connecté à une session et que les deux sessions ont été fusionnées.google_password
L'utilisateur fournit un mot de passe de compte Google.reauth
L'utilisateur est déjà authentifié, mais doit de nouveau être autorisé.saml
L'utilisateur fournit une assertion SAML à partir d'un fournisseur d'identité SAML.unknown
Type de connexion inconnu.
|
|
| Exemple de requête |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| Format des messages de la console d'administration |
{actor} logged in
|
