Import et export d'utilisateurs, de groupes et de AppRoles
Un domaine d'identité peut être l'un des nombreux référentiels d'une organisation. Lorsque vous commencez à utiliser des domaines d'identité, vous pouvez charger des données à partir des autres référentiels. Le chargement en masse offre une solution à cette exigence.
Le chargement en masse automatise le processus de chargement d'une grande quantité de données dans un domaine d'identité. Vous pouvez charger en masse des utilisateurs, des groupes et des rôles d'application à l'aide de l'API REST des domaines d'identité ou de l'interface utilisateur. Pour plus d'informations sur le chargement en masse à l'aide de la console de domaine d'identité, reportez-vous à Transfert de données.
Pour gérer en toute sécurité l'export du fichier CSV à partir d'un domaine d'identité, toutes les valeurs de cellule commençant par les caractères suivants sont échappées. Cela garantit que si une valeur de cellule commence par l'une de ces valeurs sur liste bloquée, elle est échappée dans le fichier CSV, ce qui évite l'injection CSV. Par exemple, lors de l'export si la valeur est
@test
, la valeur réelle sera '@test'
.- A l'adresse :
@
- Plus :
+
- Moins :
-
- Est égal à :
=
- Barre verticale :
|
- Pourcentage :
%
'@test'
, la valeur réelle sera @test
.Opération | Description | rôle administrateur requis | Plus d'informations |
---|---|---|---|
Importer des groupes | Créer des groupes, modifier des groupes existants et affecter des utilisateurs à des groupes. |
L'administrateur de domaine d'identité dispose des droits d'accès permettant de déclencher le travail propre à la ressource L'administrateur utilisateur dispose des droits d'accès permettant de déclencher le travail propre à la ressource |
Le nombre maximal de lignes dans le fichier d'import des groupes ne doit pas dépasser 100 000 et la taille du fichier d'import ne doit pas dépasser 52 Mo. Pour des performances optimales, assurez-vous que le nombre maximum de membres utilisateur par ligne de groupe dans votre fichier CSV ne dépasse pas sept. |
Importer des utilisateurs | Créer des utilisateurs et modifier des utilisateurs existants. |
L'administrateur de domaine d'identité dispose des droits d'accès permettant de déclencher le travail propre à la ressource L'administrateur utilisateur dispose des droits d'accès permettant de déclencher le travail propre à la ressource |
Le nombre maximal de lignes dans le fichier d'import des utilisateurs ne doit pas dépasser 100 000 et la taille du fichier d'import ne doit pas dépasser 52 Mo Vous pouvez inclure un mot de passe en texte brut non haché ou en format haché. Les domaines d'identité utilisent {PBKDF2-HMAC-SHA256} par défaut pour le hachage des mots de passe fournis en tant que valeur de texte brut. Les domaines d'identité prennent en charge les algorithmes de cryptage suivants pour l'import utilisateur :
Exemple de mot de passe haché :
Pour plus d'informations sur la génération d'une valeur de mot de passe haché, reportez-vous à Création d'un utilisateur. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter, vous devez définir la colonne Fédéré sur TRUE pour ces utilisateurs. Lorsque l'indicateur de fédération est défini sur TRUE, IAM ne gère plus le mot de passe de l'utilisateur fédéré. Cela empêche IAM d'imposer une modification du mot de passe pour ces comptes utilisateur importés. Si vous ne voulez pas que les utilisateurs soient informés que le domaine d'identité a créé des comptes pour eux, vous devez définir la colonne ByPass Notification sur TRUE pour ces utilisateurs. L'indicateur de notification ByPass contrôle si une notification par courriel est envoyée après la création ou la mise à jour d'un utilisateur. |
Importer des appartenances aux rôles d'application | affecter des utilisateurs et des groupes à des rôles d'application ; |
L'administrateur de domaine d'identité dispose des droits d'accès permettant de déclencher le travail propre à la ressource L'administrateur d'application dispose des droits d'accès permettant de déclencher le travail propre à la ressource |
L'utilisation de Le nombre maximal de lignes dans le fichier d'import des appartenances aux rôles d'application ne doit pas dépasser 100 000 et la taille du fichier d'import ne doit pas dépasser 52 Mo. |
Exporter les groupes | Exporter les groupes et leur appartenance. |
L'administrateur de domaine d'identité dispose des droits d'accès permettant de déclencher le travail propre à la ressource L'administrateur utilisateur dispose des droits d'accès permettant de déclencher le travail propre à la ressource |
|
Exporter les utilisateurs | Exporter les utilisateurs. |
L'administrateur de domaine d'identité dispose des droits d'accès permettant de déclencher le travail propre à la ressource L'administrateur utilisateur dispose des droits d'accès permettant de déclencher le travail propre à la ressource |
|
Exporter les appartenances aux rôles d'application | Exportez les appartenances AppRole. |
L'administrateur de domaine d'identité dispose des droits d'accès permettant de déclencher le travail propre à la ressource L'administrateur d'application dispose des droits d'accès permettant de déclencher le travail propre à la ressource |
Exportez les appartenances AppRole vers une seule application. L'export sur plusieurs applications exporte l'appartenance à diverses AppRoles sur toutes les applications. |
Télécharger le modèle
Utilisez le lien suivant pour télécharger le fichier bulkImportSampleFilesCSV.zip
: Télécharger les modèles. Le fichier bulkImportSampleFilesCSV.zip
contient des modèles CSV pour l'import des utilisateurs (Users.csv)
, des groupes (Groups.csv)
et AppRoles (AppRoleMembership.csv)
vers un domaine d'identité.
Les modèles contiennent de nombreuses colonnes. Par exemple, la colonne Federated (qui prend en charge TRUE ou FALSE) indique si les utilisateurs créés doivent être marqués comme fédérés. La colonne ByPass Notification (qui prend en charge TRUE ou FALSE) indique si une notification par courriel est envoyée après la création ou la mise à jour d'un utilisateur.
GET <domainURL>/admin/v1/ResourceTypeSchemaAttributes?filter=resourceType eq "User" and idcsCsvAttributeName pr&attributes=name,idcsCsvAttributeName,idcsDisplayName,description,type,required,canonicalValues,mutability,caseExact,multiValued,idcsMinLength,idcsMaxLength,idcsSearchable
Pour plus d'informations sur le chargement en masse à l'aide de la console de domaine d'identité, reportez-vous à Transfert de données.
Exemple de réponse
{
"name": "customerId",
"mutability": "readWrite",
"idcsMinLength": 5,
"type": "string",
"idcsSearchable": true,
"idcsDisplayName": "Customer ID",
"description": "Customer Identification Number",
"idcsMaxLength": 30,
"multiValued": false,
"required": false,
"caseExact": true,
"idcsCsvAttributeName": "Customer ID"
}
Plus d'informations
-
Pour connaître le cas d'emploi de l'import de données de rôle d'utilisateur, de groupe et d'application à l'aide de l'API REST des domaines d'identité, reportez-vous à Import à l'aide de l'API REST.
-
Reportez-vous à Export à l'aide de l'API REST pour connaître le cas d'emploi de l'export de données d'utilisateur, de groupe et d'approbation à l'aide des API REST des domaines d'identité.