Importación y exportación de usuarios, grupos y AppRoles

Un dominio de identidad puede ser uno de los varios repositorios de una organización. Al empezar a utilizar dominios de identidad, puede que desee cargar datos de los otros repositorios. La carga masiva ofrece una solución a este requisito.

La carga masiva automatiza el proceso de carga de una gran cantidad de datos en un dominio de identidad. Puede cargar en bloque usuarios, grupos y roles de aplicación mediante la API de REST o la interfaz de usuario de los dominios de identidad. Consulte Transferencia de datos para obtener más información sobre la carga masiva mediante la consola del dominio de identidad.

Nota

Para gestionar de forma segura la exportación del archivo CSV desde un dominio de identidad, se identifican los valores de celda que empiecen por los siguientes caracteres. Esto garantiza que si un valor de celda comienza con uno de estos valores de la lista de bloqueo, se escape en el CSV, lo que evita la inyección CSV. Por ejemplo, durante la exportación si el valor es @test, el valor real será '@test'.
  • En: @
  • Más: +
  • Menos: -
  • Igual que: =
  • Canal: |
  • Porcentaje: %
Durante la importación, si se identifica algún valor de celda, se eliminan las comillas. Por ejemplo, durante la importación si el valor de celda es '@test', el valor real será @test.
Operación Descripción Rol Administrador Necesario Más información
Importación de Grupos Cree grupos, modifique los existentes y asígnelos.

El administrador del dominio de identidad tiene permisos para disparar el trabajo específico del recurso GroupImport e importación genérica para el resourceType de Group.

El administrador de usuarios tiene permisos para disparar el trabajo específico del recurso GroupImport.

El número máximo de filas del archivo de importación de grupos no debe superar los 100 000 y el tamaño del archivo de importación no debe superar los 52 MB.

Para obtener un mejor rendimiento, asegúrese de que el número máximo de miembros de usuario por fila de grupo en el archivo CSV no supere los siete.

Importar Usuarios Cree usuarios y modifique los existentes.

El administrador del dominio de identidad tiene permisos para disparar el trabajo específico del recurso UserImport e importación genérica para el resourceType de User.

El administrador de usuarios tiene permisos para disparar el trabajo específico del recurso UserImport.

El número máximo de filas del archivo de importación de usuarios no debe ser superior a 100 000 y el tamaño del archivo de importación no debe superar los 52 MB

Puede incluir una contraseña en texto sin formato sin hash o en formato hash. Los dominios de identidad utilizan {PBKDF2-HMAC-SHA256} por defecto para las contraseñas de hashing que se proporcionan como valor de texto sin formato. Los dominios de identidad admiten los siguientes algoritmos criptográficos para la importación de usuarios:
  • {PBKDF2-HMAC-SHA1}

  • {PBKDF2-HMAC-SHA256}

  • {PBKDF2-HMAC-SHA384}

  • {PBKDF2-HMAC-SHA512}

  • {SSHA}

  • {SSHA256}

  • {SSHA384}

  • {SSHA512}

Contraseña hash de ejemplo:

{PBKDF2-HMAC-SHA1}10000$T78t/00uHfSr95 czOvVufNLEfkwyBJKdZ0w3bV4wxIg/nb4pvTzvzA==

Consulte Creación de un usuario para obtener más información sobre cómo generar un valor de contraseña hash.

Si desea que los usuarios utilicen sus cuentas federadas para conectarse, debe definir la columna Federado en TRUE para esos usuarios. Cuando el indicador de federado está definido en TRUE, IAM deja de gestionar la contraseña del usuario federado. Esto evita que IAM fuerce un cambio de contraseña para estas cuentas de usuario importadas.

Si no desea que se notifique a los usuarios que el dominio de identidad ha creado cuentas para ellos, debe definir la columna ByPass Notification en TRUE para esos usuarios. El indicador de notificación ByPass controla si se debe enviar una notificación de correo electrónico después de crear o actualizar un usuario.

Importar afiliaciones de roles de aplicación Asignar usuarios y grupos a roles de aplicación.

El administrador del dominio de identidad tiene permisos para disparar el trabajo específico del recurso AppRoleImport y la importación genérica para el resourceType de Grant.

El administrador de la aplicación tiene permisos para disparar el trabajo específico del recurso AppRoleImport.

El uso de resourceType de AppRole para la importación no está soportado.

El número máximo de filas del archivo de importación de afiliaciones de roles de aplicación no debe superar los 100 000 y el tamaño del archivo de importación no debe superar los 52 MB.

Exportar grupos Exportar grupos y pertenencia a grupos.

El administrador del dominio de identidad tiene permisos para disparar el trabajo específico del recurso GroupExport y la exportación genérica para el resourceType de Group.

El administrador de usuarios tiene permisos para disparar el trabajo específico del recurso GroupExport.

Exportar usuarios Exportar usuarios.

El administrador del dominio de identidad tiene permisos para disparar el trabajo específico del recurso UserExport y la exportación genérica para el resourceType de User.

El administrador de usuarios tiene permisos para disparar el trabajo específico del recurso UserExport.

Exportar afiliaciones de roles de aplicación Exportar afiliaciones a AppRole.

El administrador del dominio de identidad tiene permisos para disparar el trabajo específico del recurso AppRoleExport y la exportación genérica para el resourceType de AppRole.

El administrador de la aplicación tiene permisos para disparar el trabajo específico del recurso AppRoleExport.

Exporte las afiliaciones AppRole a una sola aplicación. Al exportar en varias aplicaciones, se exporta la pertenencia a varios AppRoles en todas las aplicaciones.

Descargar la plantilla

Utilice el siguiente enlace para descargar el archivo bulkImportSampleFilesCSV.zip: Descargue las plantillas. El archivo bulkImportSampleFilesCSV.zip contiene plantillas CSV para importar usuarios (Users.csv), grupos (Groups.csv) y AppRoles (AppRoleMembership.csv) a un dominio de identidad.

En las plantillas se proporcionan muchas columnas. Por ejemplo, la columna Federado (que soporta TRUE o FALSE) indica si se deben marcar los usuarios creados como federados. La columna ByPass Notification (que soporta TRUE o FALSE) indica si se envía una notificación de correo electrónico después de crear o actualizar un usuario.

Nota

Para acceder a la lista completa de nombres de columna CSV permitidos y sus descripciones, use la siguiente solicitud:
GET <domainURL>/admin/v1/ResourceTypeSchemaAttributes?filter=resourceType eq "User" and idcsCsvAttributeName pr&attributes=name,idcsCsvAttributeName,idcsDisplayName,description,type,required,canonicalValues,mutability,caseExact,multiValued,idcsMinLength,idcsMaxLength,idcsSearchable

Consulte Transferencia de datos para obtener más información sobre la carga masiva mediante la consola del dominio de identidad.

Respuesta de ejemplo

{
    "name": "customerId",
    "mutability": "readWrite",
    "idcsMinLength": 5,
    "type": "string",
    "idcsSearchable": true,
    "idcsDisplayName": "Customer ID",
    "description": "Customer Identification Number",
    "idcsMaxLength": 30,
    "multiValued": false,
    "required": false,
    "caseExact": true,
    "idcsCsvAttributeName": "Customer ID"
}

Más información

  • Consulte Importación mediante la API de REST para conocer el caso de uso al importar datos de rol de usuario, grupo y aplicación mediante la API de REST de dominios de identidad.

  • Consulte Exportación mediante la API de REST para conocer el caso de uso sobre la exportación de datos de usuario, grupo y aprobación mediante las API de REST de dominios de identidad.