Oracle Cloud Infrastructure - Dokumentation

Benutzer, Gruppen und AppRoles importieren und exportieren

Eine Identitätsdomain kann eines von vielen Repositorys in einer Organisation sein. Wenn Sie mit der Verwendung von Identitätsdomains beginnen, können Sie Daten aus den anderen Repositorys laden. Das Massenladen bietet eine Lösung für diese Anforderung.

Beim globalen Laden wird der Prozess des Ladens einer großen Datenmenge in eine Identitätsdomain automatisiert. Sie können Benutzer, Gruppen und Anwendungsrollen mit der REST-API für Identitätsdomains oder der UI per Bulk Load laden. Weitere Informationen zum globalen Laden mit der Identitätsdomainkonsole finden Sie unter Daten übertragen.

Hinweis

Um den Export der CSV-Datei aus einer Identitätsdomain sicher zu handhaben, werden alle Zellenwerte, die mit den folgenden Zeichen beginnen, maskiert. Dadurch wird sichergestellt, dass ein Zellenwert in der CSV-Datei maskiert wird, wenn er mit einem dieser Werte in der Blockliste beginnt. Dadurch wird eine CSV-Injection vermieden. Beispiel: Wenn der Wert beim Export @test lautet, lautet der tatsächliche Wert '@test'.
  • Um: @
  • Plus: +
  • Minus: -
  • Entspricht: =
  • Pipe: |
  • Prozentsatz: %
Wenn beim Import Zellenwerte maskiert werden, werden die Anführungszeichen entfernt. Beispiel: Wenn beim Import der Zellenwert '@test' lautet, lautet der tatsächliche Wert @test.
Arbeitsvorgang Beschreibung Administratorrolle ist erforderlich Weitere Informationen
Gruppen importieren Erstellen Sie Gruppen, ändern Sie vorhandene Gruppen, und weisen Sie Gruppen Benutzer zu.

Der Identitätsdomainadministrator ist berechtigt, den ressourcenspezifischen Job GroupImport und den generischen Import für resourceType von Group. auszulösen

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs GroupImport.

Die Gruppenimportdatei darf maximal 100.000 Zeilen enthalten und höchstens 52 MB groß sein.

Um eine optimale Performance zu erzielen, stellen Sie sicher, dass die maximale Anzahl der Benutzermitglieder pro Gruppenzeile in Ihrer CSV-Datei sieben nicht überschreitet.

Benutzer importieren Benutzer erstellen und vorhandene Benutzer ändern

Der Identitätsdomainadministrator ist berechtigt, ressourcenspezifischen Job UserImport und den generischen Import für resourceType von User. auszulösen

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs UserImport.

Die Benutzerimportdatei darf maximal 100.000 Zeilen enthalten und höchstens 52 MB groß sein

Sie können ein Kennwort in unhashed-Nur-Text oder in Hash-Format aufnehmen. Identitätsdomains verwenden standardmäßig {PBKDF2-HMAC-SHA256} für Hashing-Passwörter, die als Nur-Text-Wert bereitgestellt werden. Identitätsdomains unterstützen die folgenden Kryptoalgorithmen für den Benutzerimport:

  • {PBKDF2-HMAC-SHA1}

  • {PBKDF2-HMAC-SHA256}

  • {PBKDF2-HMAC-SHA384}

  • {PBKDF2-HMAC-SHA512}

  • {SSHA}

  • {SSHA256}

  • {SSHA384}

  • {SSHA512}

Beispiel für gehashtes Kennwort:

{PBKDF2-HMAC-SHA1}10000$T78t/00uHfSr95 czOvVufNLEfkwyBJKdZ0w3bV4wxIg/nb4pvTzvzA==

Weitere Informationen zum Generieren eines gehashten Kennwortwerts finden Sie unter Benutzer erstellen.

Wenn Benutzer ihre föderierten Accounts zur Anmeldung verwenden sollen, müssen Sie die Spalte Federated für diese Benutzer auf TRUE setzen. Wenn das Kennzeichen "Federated" auf TRUE gesetzt ist, verwaltet IAM das Kennwort des föderierten Benutzers nicht mehr. Dadurch wird verhindert, dass IAM eine Kennwortänderung für diese importierten Benutzeraccounts erzwingt.

Wenn Benutzer nicht benachrichtigt werden sollen, dass die Identitätsdomain Accounts für sie erstellt hat, müssen Sie die Spalte ByPass Notification für diese Benutzer auf TRUE setzen. Das Benachrichtigungskennzeichen ByPass legt fest, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzer erstellt oder aktualisiert wird.
Anwendungsrollenmitgliedschaften importieren Benutzer und Gruppen zu Anwendungsrollen zuweisen.

Der Identitätsdomainadministrator ist berechtigt, den ressourcenspezifischen Job AppRoleImport und den generischen Import für resourceType von Grant. auszulösen

Der Anwendungsadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs AppRoleImport.

Die Verwendung der resourceType von AppRole für den Import wird nicht unterstützt.

Die Importdatei für Anwendungsrollenmitgliedschaften darf maximal 100.000 Zeilen enthalten und höchstens 52 MB groß sein.
Gruppen exportieren Exportieren Sie Gruppen und Gruppenmitgliedschaften.

Der Identitätsdomainadministrator ist berechtigt, den ressourcenspezifischen Job GroupExport und den generischen Export für resourceType von Group. auszulösen

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs GroupExport.
Benutzer exportieren Benutzer exportieren.

Der Identitätsdomainadministrator ist berechtigt, den ressourcenspezifischen Job UserExport und den generischen Export für resourceType von User. auszulösen

Der Benutzeradministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs UserExport.
Anwendungsrollenmitgliedschaften exportieren Exportieren Sie AppRole-Mitgliedschaften.

Der Identitätsdomainadministrator ist berechtigt, den ressourcenspezifischen Job AppRoleExport und den generischen Export für resourceType von AppRole. auszulösen

Der Anwendungsadministrator hat Berechtigungen zum Auslösen des ressourcenspezifischen Jobs AppRoleExport.

 Exportieren Sie AppRole-Mitgliedschaften nur in eine einzelne Anwendung. Beim Exportieren über mehrere Anwendungen wird die Mitgliedschaft verschiedener AppRoles in allen Anwendungen exportiert.

Vorlage herunterladen

Verwenden Sie den folgenden Link, um die Datei bulkImportSampleFilesCSV.zip herunterzuladen: Laden Sie die Vorlagen herunter. Die Datei bulkImportSampleFilesCSV.zip enthält CSV-Vorlagen für den Import der Benutzer (Users.csv), der Gruppen (Groups.csv) und AppRoles (AppRoleMembership.csv) in eine Identitätsdomain.

Die Vorlagen enthalten viele Spalten. Beispiel: Die Spalte Föderiert (die entweder TRUE oder FALSE unterstützt) gibt an, ob Benutzer markiert werden sollen, die als föderiert erstellt wurden. Die Spalte ByPass Notification (die entweder TRUE oder FALSE unterstützt) gibt an, ob eine E-Mail-Benachrichtigung nach dem Erstellen oder Aktualisieren eines Benutzers gesendet wird.

Hinweis

Um auf die vollständige Liste der zulässigen CSV-Spaltennamen und deren Beschreibungen zuzugreifen, verwenden Sie die folgende Anforderung: 
GET <domainURL>/admin/v1/ResourceTypeSchemaAttributes?filter=resourceType eq "User" and idcsCsvAttributeName pr&attributes=name,idcsCsvAttributeName,idcsDisplayName,description,type,required,canonicalValues,mutability,caseExact,multiValued,idcsMinLength,idcsMaxLength,idcsSearchable

Weitere Informationen zum globalen Laden mit der Identitätsdomainkonsole finden Sie unter Daten übertragen.

Beispielantwort 

{
    "name": "customerId",
    "mutability": "readWrite",
    "idcsMinLength": 5,
    "type": "string",
    "idcsSearchable": true,
    "idcsDisplayName": "Customer ID",
    "description": "Customer Identification Number",
    "idcsMaxLength": 30,
    "multiValued": false,
    "required": false,
    "caseExact": true,
    "idcsCsvAttributeName": "Customer ID"
}

Weitere Informationen

  • Informationen zum Anwendungsfall zum Importieren von Benutzer-, Gruppen- und Anwendungsrollendaten mit der REST-API für Identitätsdomains finden Sie unter Mit der REST-API importieren.

  • Informationen zum Anwendungsfall zum Exportieren von Benutzer-, Gruppen- und Genehmigungsdaten mit den REST-APIs für Identitätsdomains finden Sie unter Mit der REST-API exportieren.