ユーザー、グループおよびAppRoleのインポートとエクスポート
アイデンティティ・ドメインは、組織内の多数のリポジトリの1つです。アイデンティティ・ドメインの使用を開始する際に、他のリポジトリからデータをロードする必要が生じる場合があります。バルク・ロードを使用すると、この要件を解決できます。
バルク・ロードでは、大量のデータをアイデンティティ・ドメインにロードするプロセスが自動化されています。アイデンティティ・ドメインREST APIまたはUIを使用して、ユーザー、グループおよびアプリケーション・ロールを一括ロードできます。アイデンティティ・ドメイン・コンソールを使用したバルク・ロードの詳細は、データの転送を参照してください。
アイデンティティ・ドメインからのCSVファイルのエクスポートを安全に処理するために、次の文字で始まるセル値はすべてエスケープされます。これにより、ブロックリストに記載されたこれらの値のいずれかでセル値が始まる場合、CSVでエスケープされ、CSVインジェクションが回避されることが保証されます。たとえば、エクスポート時に値が
@testの場合は、実際の値は'@test'になります。- 場所:
@ - プラス:
+ - マイナス:
- =と等しい- パイプ:
| - パーセント:
%
'@test'の場合、実際の値は@testになります。| オペレーション | 説明 | 管理者ロール必須 | 詳細情報 |
|---|---|---|---|
| グループのインポート | グループの作成、既存のグループの変更、およびグループへのユーザーの割当てを行います。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
グループ・インポート・ファイルの最大行数は100,000以下で、インポート・ファイル・サイズは52MB以下にする必要があります。 最適なパフォーマンスを得るには、CSVファイルのグループ行当たりの最大ユーザー・メンバー数が7を超えないようにしてください。 |
| ユーザーのインポート | ユーザーを作成したり、既存のユーザーを変更します。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
ユーザー・インポート・ファイルの最大行数は100,000以下で、インポート・ファイル・サイズは52MB以下にする必要があります パスワードは、ハッシュ化されていないプレーン・テキストまたはハッシュ化された形式で含めることができます。アイデンティティ・ドメインは、プレーン・テキスト値として指定されたパスワードのハッシュ化に、デフォルトで{PBKDF2-HMAC-SHA256}を使用します。アイデンティティ・ドメインは、ユーザー・インポートに対して次の暗号化アルゴリズムをサポートしています。
ハッシュ・パスワードの例: ハッシュ・パスワード値を生成する方法の詳細は、「ユーザーの作成」を参照してください。 ユーザーがフェデレーテッド・アカウントを使用してサインインする場合は、そのユーザーの「フェデレーテッド」列をTRUEに設定する必要があります。フェデレーテッド・フラグがTRUEに設定されている場合、IAMはフェデレーテッド・ユーザーのパスワードを管理しません。これによって、IAMは、インポートされたこれらのユーザー・アカウントのパスワード変更を強制しなくなります。 アイデンティティ・ドメインがアカウントを作成したことをユーザーに通知しない場合は、それらのユーザーの「ByPass通知」列をTRUEに設定する必要があります。通知のバイパス・フラグでは、ユーザーの作成または更新後に電子メール通知を送信するかどうかを制御します。 |
| アプリケーション・ロール・メンバーシップのインポート | ユーザーおよびグループをアプリケーション・ロールに割り当てます。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ アプリケーション管理者には、リソース固有のジョブ |
インポートでの アプリケーション・ロール・メンバーシップのインポート・ファイルの最大行数は100,000以下であり、インポート・ファイル・サイズは52MB以下である必要があります。 |
| グループのエクスポート | グループおよびグループ・メンバーシップをエクスポートします。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
|
| ユーザーのエクスポート | ユーザーのエクスポート |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
|
| アプリケーション・ロール・メンバーシップのエクスポート | アプリケーション・ロール・メンバーシップをエクスポートします。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ アプリケーション管理者には、リソース固有のジョブ |
アプリケーション・ロール・メンバーシップを単一のアプリケーションのみにエクスポートします。複数のアプリケーション間でエクスポートすると、様々なアプリケーション・ロール・メンバーシップがすべてのアプリケーション間でエクスポートされます。 |
テンプレートのダウンロード
次のリンクを使用してbulkImportSampleFilesCSV.zipファイルをダウンロードします: テンプレートのダウンロード。bulkImportSampleFilesCSV.zipファイルには、ユーザー((Users.csv))、グループ((Groups.csv))およびAppRoles (AppRoleMembership.csv)をアイデンティティ・ドメインにインポートするためのCSVテンプレートが格納されます。
テンプレートには多数の列があります。たとえば、「フェデレーテッド」列(TRUEまたはFALSEのいずれかをサポート)は、作成されたユーザーをフェデレーテッドとしてマークするかどうかを示します。「ByPass通知」列(TRUEまたはFALSEのいずれかをサポート)は、ユーザーの作成または更新後に電子メール通知が送信されるかどうかを示します。
GET <domainURL>/admin/v1/ResourceTypeSchemaAttributes?filter=resourceType eq "User" and idcsCsvAttributeName pr&attributes=name,idcsCsvAttributeName,idcsDisplayName,description,type,required,canonicalValues,mutability,caseExact,multiValued,idcsMinLength,idcsMaxLength,idcsSearchableアイデンティティ・ドメイン・コンソールを使用したバルク・ロードの詳細は、データの転送を参照してください。
レスポンスの例
{
"name": "customerId",
"mutability": "readWrite",
"idcsMinLength": 5,
"type": "string",
"idcsSearchable": true,
"idcsDisplayName": "Customer ID",
"description": "Customer Identification Number",
"idcsMaxLength": 30,
"multiValued": false,
"required": false,
"caseExact": true,
"idcsCsvAttributeName": "Customer ID"
}詳細情報
-
アイデンティティ・ドメインREST APIを使用したユーザー、グループおよびアプリケーション・ロール・データのインポートのユース・ケースについては、REST APIを使用したインポートを参照してください。
-
アイデンティティ・ドメインREST APIを使用したユーザー、グループおよび承認データのエクスポートのユース・ケースについては、REST APIを使用したエクスポートを参照してください。