Oracle Cloud Infrastructure - Dokumentation

Benutzer, Gruppen und AppRoles importieren und exportieren

Eine Identitätsdomain kann eines von vielen Repositorys in einer Organisation sein. Wenn Sie Identitätsdomains verwenden, können Sie Daten aus den anderen Repositorys laden. Das Massenladen bietet eine Lösung für diese Anforderung.

Das Massenladen automatisiert das Laden großer Datenmengen in eine Identitätsdomain. Sie können Benutzer, Gruppen und Anwendungsrollen mit der REST-API für Identitätsdomains oder der UI im Bulkverfahren laden. Weitere Informationen zum globalen Laden mit der Identitätsdomainkonsole finden Sie unter Daten übertragen.

Hinweis

Um den Export der CSV-Datei aus einer Identitätsdomain sicher zu handhaben, werden alle Zellenwerte, die mit den folgenden Zeichen beginnen, mit Escapezeichen versehen. Dadurch wird sichergestellt, dass ein Zellenwert, der mit einem dieser gesperrten Werte beginnt, in der CSV-Datei mit Escapezeichen versehen wird. Dadurch wird eine CSV-Injektion vermieden. Beispiel: Wenn der Wert beim Export @test lautet, lautet der tatsächliche Wert '@test'.
  • Unter: @
  • Plus: +
  • Minus: -
  • Gleich: =
  • Pipe: |
  • Prozentsatz: %
Wenn beim Import Zellenwerte mit Escapezeichen versehen werden, werden die Anführungszeichen entfernt. Beispiel: Wenn beim Import der Zellenwert '@test' lautet, lautet der tatsächliche Wert @test.
Vorgänge Beschreibung Administratorrolle erforderlich Weitere Informationen
Gruppen importieren Erstellen Sie Gruppen, ändern Sie vorhandene Gruppen, und weisen Sie Benutzer Gruppen zu.

Der Identitätsdomainadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs GroupImport und des generischen Imports für die resourceType von Group.

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs GroupImport.

Die Gruppenimportdatei darf maximal 100.000 Zeilen enthalten und höchstens 52 MB groß sein.

Um eine optimale Performance zu erzielen, stellen Sie sicher, dass die maximale Anzahl von Benutzern pro Gruppenzeile in Ihrer CSV-Datei sieben nicht überschreitet.

Benutzer importieren Benutzer erstellen und vorhandene Benutzer ändern

Der Identitätsdomainadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs UserImport und des generischen Imports für die resourceType von User.

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs UserImport.

Die Benutzerimportdatei darf maximal 100.000 Zeilen enthalten und höchstens 52 MB groß sein

Sie können ein Passwort in ungehashtem Klartext oder im Hash-Format einfügen. Identitätsdomains verwenden standardmäßig {PBKDF2-HMAC-SHA256} für Hashing-Kennwörter, die als Nur-Text-Wert angegeben werden. Identitätsdomains unterstützen die folgenden Kryptoalgorithmen für den Benutzerimport:

  • {PBKDF2-HMAC-SHA1}

  • {PBKDF2-HMAC-SHA256}

  • {PBKDF2-HMAC-SHA384}

  • {PBKDF2-HMAC-SHA512}

  • {SSHA}

  • {SSHA256}

  • {SSHA384}

  • {SSHA512}

Beispiel für ein Hashed-Kennwort:

{PBKDF2-HMAC-SHA1}10000$T78t/00uHfSr95 czOvVufNLEfkwyBJKdZ0w3bV4wxIg/nb4pvTzvzA==

Weitere Informationen zum Generieren eines Hash-Kennwortwertes finden Sie unter Benutzer erstellen.

Wenn Benutzer ihre föderierten Accounts zur Anmeldung verwenden sollen, müssen Sie die Spalte Federated für diese Benutzer auf TRUE setzen. Wenn das Kennzeichen "Federated" auf TRUE gesetzt ist, verwaltet IAM das Kennwort des föderierten Benutzers nicht mehr. Dadurch wird verhindert, dass IAM eine Kennwortänderung für diese importierten Benutzeraccounts erzwingt.

Wenn Benutzer nicht benachrichtigt werden sollen, dass die Identitätsdomain Accounts für sie erstellt hat, müssen Sie die Spalte ByPass Notification für diese Benutzer auf TRUE setzen. Das Benachrichtigungskennzeichen ByPass steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzer erstellt oder aktualisiert wurde.
Anwendungsrollenmitgliedschaften importieren Weisen Sie Anwendungsrollen Benutzer und Gruppen zu.

Der Identitätsdomainadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs AppRoleImport und des generischen Imports für die resourceType von Grant.

Der Anwendungsadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs AppRoleImport.

Die Verwendung der resourceType von AppRole für den Import wird nicht unterstützt.

Die Importdatei für Anwendungsrollenmitgliedschaften darf maximal 100.000 Zeilen enthalten und höchstens 52 MB groß sein.
Gruppen exportieren Gruppen und Gruppenmitgliedschaft exportieren

Der Identitätsdomainadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs GroupExport und des generischen Exports für die resourceType von Group.

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs GroupExport.
Benutzer exportieren Benutzer exportieren.

Der Identitätsdomainadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs UserExport und des generischen Exports für die resourceType von User.

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs UserExport.
Anwendungsrollenmitgliedschaften exportieren Exportieren Sie AppRole-Mitgliedschaften.

Der Identitätsdomainadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs AppRoleExport und des generischen Exports für die resourceType von AppRole.

Der Anwendungsadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs AppRoleExport.

 Exportieren Sie AppRole-Mitgliedschaften nur in eine einzelne Anwendung. Durch den Export über mehrere Anwendungen hinweg wird die Mitgliedschaft verschiedener AppRoles in allen Anwendungen exportiert.

Laden Sie die Vorlage herunter

Laden Sie die Datei bulkImportSampleFilesCSV.zip über den folgenden Link herunter: Vorlagen herunterladen. Die Datei bulkImportSampleFilesCSV.zip enthält CSV-Vorlagen für den Import der Benutzer (Users.csv), der Gruppen (Groups.csv) und AppRoles (AppRoleMembership.csv) in eine Identitätsdomain.

Die Vorlagen enthalten viele Spalten. Beispiel: Die Spalte Föderiert (die TRUE oder FALSE unterstützt) gibt an, ob Benutzer, die als föderiert erstellt wurden, markiert werden sollen. Die Spalte ByPass Notification (die TRUE oder FALSE unterstützt) gibt an, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzer erstellt oder aktualisiert wurde.

Hinweis

Verwenden Sie die folgende Anforderung, um auf die vollständige Liste der zulässigen CSV-Spaltennamen und deren Beschreibungen zuzugreifen: 
GET <domainURL>/admin/v1/ResourceTypeSchemaAttributes?filter=resourceType eq "User" and idcsCsvAttributeName pr&attributes=name,idcsCsvAttributeName,idcsDisplayName,description,type,required,canonicalValues,mutability,caseExact,multiValued,idcsMinLength,idcsMaxLength,idcsSearchable

Weitere Informationen zum globalen Laden mit der Identitätsdomainkonsole finden Sie unter Daten übertragen.

Beispielantwort 

{
    "name": "customerId",
    "mutability": "readWrite",
    "idcsMinLength": 5,
    "type": "string",
    "idcsSearchable": true,
    "idcsDisplayName": "Customer ID",
    "description": "Customer Identification Number",
    "idcsMaxLength": 30,
    "multiValued": false,
    "required": false,
    "caseExact": true,
    "idcsCsvAttributeName": "Customer ID"
}

Weitere Informationen

  • Informationen zum Anwendungsfall beim Importieren von Benutzer-, Gruppen- und Anwendungsrollendaten mit der REST-API für Identitätsdomains finden Sie unter Mit der REST-API importieren.

  • Informationen zum Exportieren von Benutzer-, Gruppen- und Genehmigungsdaten mit den REST-APIs für Identitätsdomains finden Sie unter Mit der REST-API exportieren.