ユーザー、グループおよびAppRoleのインポートとエクスポート
アイデンティティ・ドメインは、組織内の多数のリポジトリの1つです。アイデンティティ・ドメインの使用を開始するときに、他のリポジトリからデータをロードする必要がある場合があります。バルク・ロードを使用すると、この問題を解決できます。
バルク・ロードによって、大量のデータをアイデンティティ・ドメインにロードするプロセスが自動化されます。アイデンティティ・ドメインREST APIまたはUIを使用して、ユーザー、グループおよびアプリケーション・ロールをバルク・ロードできます。アイデンティティ・ドメイン・コンソールを使用したバルク・ロードの詳細は、データの転送を参照してください。
アイデンティティ・ドメインからのCSVファイルのエクスポートを安全に処理するために、次の文字で始まるセル値はすべてエスケープされます。これにより、ブロックリストに記載されたこれらの値のいずれかでセル値が始まる場合、CSVでエスケープされ、CSV注入が回避されます。たとえば、エクスポート時に値が
@testの場合、実際の値は'@test'になります。- at:
@ - Plus:
+ - マイナス:
- - 等しい:
= - パイプ:
| - 割合:
%
'@test'の場合、実際の値は@testになります。| 操作 | 説明 | 必要なAdministratorロール | 詳細情報 |
|---|---|---|---|
| グループのインポート | グループを作成し、既存のグループを変更し、ユーザーをグループに割り当てます。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
グループ・インポート・ファイルの最大行数は100,000以下に、インポート・ファイル・サイズは52MB以下にする必要があります。 最適なパフォーマンスを得るには、CSVファイルのグループ行ごとのユーザー・メンバーの最大数が7を超えないようにしてください。 |
| ユーザーのインポート | ユーザーを作成したり、既存のユーザーを変更します。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
ユーザー・インポート・ファイルの最大行数は100,000以下に、インポート・ファイル・サイズは52MB以下にする必要があります パスワードは、ハッシュ化されていないプレーン・テキストまたはハッシュ化された形式で含めることができます。アイデンティティ・ドメインでは、プレーン・テキスト値として指定されたパスワードのハッシュ化に、デフォルトで{PBKDF2-HMAC-SHA256}が使用されます。アイデンティティ・ドメインでは、ユーザー・インポート用に次の暗号化アルゴリズムがサポートされています:
ハッシュ・パスワードの例: ハッシュ・パスワード値を生成する方法の詳細は、「ユーザーの作成」を参照してください。 ユーザーがフェデレーテッド・アカウントを使用してサインインする場合は、そのユーザーの「フェデレーテッド」列をTRUEに設定する必要があります。フェデレーテッド・フラグがTRUEに設定されている場合、IAMはフェデレーテッド・ユーザーのパスワードを管理しません。これにより、IAMは、インポートされたこれらのユーザー・アカウントのパスワード変更を強制しなくなります。 アイデンティティ・ドメインによってアカウントが作成されたことをユーザーに通知しない場合は、それらのユーザーのByPass通知列をTRUEに設定する必要があります。ByPass通知フラグは、ユーザーの作成または更新後に電子メール通知を送信するかどうかを制御します。 |
| アプリケーション・ロール・メンバーシップのインポート | アプリケーション・ロールにユーザーおよびグループを割り当てます。 |
アイデンティティ・ドメイン管理者には、 アプリケーション管理者には、リソース固有のジョブ |
インポートで アプリケーション・ロール・メンバーシップのインポート・ファイルの最大行数は100,000以下で、インポート・ファイル・サイズは52 MB以下です。 |
| グループのエクスポート | グループおよびグループ・メンバーシップをエクスポートします。 |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
|
| ユーザーのエクスポート | ユーザーのエクスポート |
アイデンティティ・ドメイン管理者には、リソース固有のジョブ ユーザー管理者には、リソース固有のジョブ |
|
| アプリケーション・ロール・メンバーシップのエクスポート | AppRoleメンバーシップをエクスポートします。 |
アイデンティティ・ドメイン管理者には、 アプリケーション管理者には、リソース固有のジョブ |
AppRoleメンバーシップを単一のアプリケーションにエクスポートします。複数のアプリケーション間でエクスポートすると、様々なAppRolesのメンバーシップがすべてのアプリケーション間でエクスポートされます。 |
テンプレートをダウンロードします
次のリンクを使用してbulkImportSampleFilesCSV.zipファイルをダウンロードしてください: テンプレートのダウンロード。bulkImportSampleFilesCSV.zipファイルには、ユーザー(Users.csv)、グループ(Groups.csv)およびAppRoles (AppRoleMembership.csv)をアイデンティティ・ドメインにインポートするためのCSVテンプレートが格納されています。
テンプレートには多数の列があります。たとえば、「Federated」列(TRUEまたはFALSEのいずれかをサポート)は、作成されたユーザーをフェデレーテッドとしてマークするかどうかを示します。ByPass Notification列(TRUEまたはFALSEのいずれかをサポート)は、ユーザーの作成または更新後に電子メール通知を送信するかどうかを示します。
GET <domainURL>/admin/v1/ResourceTypeSchemaAttributes?filter=resourceType eq "User" and idcsCsvAttributeName pr&attributes=name,idcsCsvAttributeName,idcsDisplayName,description,type,required,canonicalValues,mutability,caseExact,multiValued,idcsMinLength,idcsMaxLength,idcsSearchableアイデンティティ・ドメイン・コンソールを使用したバルク・ロードの詳細は、データの転送を参照してください。
レスポンスの例
{
"name": "customerId",
"mutability": "readWrite",
"idcsMinLength": 5,
"type": "string",
"idcsSearchable": true,
"idcsDisplayName": "Customer ID",
"description": "Customer Identification Number",
"idcsMaxLength": 30,
"multiValued": false,
"required": false,
"caseExact": true,
"idcsCsvAttributeName": "Customer ID"
}詳細情報
-
アイデンティティ・ドメインREST APIを使用したユーザー、グループおよびアプリケーション・ロール・データのインポートに関するユースケースは、REST APIを使用したインポートを参照してください。
-
アイデンティティ・ドメインREST APIを使用したユーザー、グループおよび承認データのエクスポートに関するユースケースは、「REST APIを使用したエクスポート」を参照してください。