Migration des Benutzer-Repositorys

Online bearbeiten

IBM® Verify bietet eine einfache Möglichkeit zur Migration von Benutzer-Repositorys. Der Standardprozess für die Registrierung von Verify-Benutzern erfolgt über die bereitgestellte REST-API. Mit der Importfunktion „ CSV “ können Sie Benutzer schnell einrichten.

IBM Verify unterstützt die folgenden Möglichkeiten zum Importieren von Benutzerdaten.
  • Manuelle Eingabe
  • CSV Import-API
  • Benutzer-API (einzeln)
  • API für Massenladung (mehrere)
Die Importmethode „ CSV “ ist der gängigste Ansatz.

Datenangaben

Datenformat
Um Benutzer mit der Methode „ CSV “ zu importieren, Verify müssen Sie Ihr Benutzer-Repository – sei es eine „ LDAP “-Datei oder eine SQL-Datenbank – in ein mit „ UTF-8 “ kompatibles „ CSV “-Format konvertieren. Stellen Sie sicher, dass die Methode, mit der Sie Ihre Daten konvertieren möchten, dieses Format unterstützt.
Typ des Benutzers
Es ist wichtig, darauf zu achten, welche Art von Benutzern Sie importieren. Falls Sie mit dem Verify Cloud-Verzeichnis-Modell noch nicht vertraut sind, lesen Sie den Artikel über die Struktur des Verify Verzeichnisses. Bei dieser Aufgabe erhalten die importierten Benutzer ein Standard-Benutzerkonto im Cloud-Verzeichnis mit einem lokalen Passwort, das bei der Benutzererstellung generiert wird. Der regular Benutzertyp bestimmt diese Art von Benutzer. userCategoryWenn Sie nur die Metadaten des Benutzers ohne lokales Passwort importieren möchten, müssen Sie die Attributwerte für realm und ersetzen.
Zugriffstoken
IBM VerifyDer API-Client, der zum Importieren von Benutzern verwendet wird, muss über mindestens eine der folgenden Berechtigungen verfügen.
  • Benutzer und Gruppen verwalten
  • Benutzer und Gruppen synchronisieren
  • Benutzer und Standardgruppen verwalten
Die Anwendung muss mithilfe des Client-Credentials-Ablaufs einen Zugriffstoken abrufen.

CSV -Kopfzeilen abrufen

Um Ihre „ CSV “-Datei für den Import richtig zu strukturieren, müssen Sie zunächst wissen, welche Header-Optionen es gibt. Wenn Sie mit dem Benutzerschema vertraut sind, entspricht der Name des Headers der Kennung des Attributs in SCIM. Wenn Sie ein benutzerdefiniertes Attribut verwenden, dann den Wert, der bei der Erstellung des Attributs angegeben wurde.

curl -X GET "https://${tenant_url}/v2.0/CSV/headerNames?filter=user" -H "Authorization: Bearer ${access_token}"
Diese Antwort enthält alle möglichen Header-Namen. Der Name, den Sie in der Spalte „a“ im „ CSV “ verwenden, ist der name Objektname. Im Beispielaufruf wurde ein Benutzerfilter hinzugefügt, um zu verhindern, dass die Attributnamen für Gruppen zurückgegeben werden.

Erstellen Sie die Datei „ CSV “

Um eine schnelle und minimalistische ` CSV `-Datei mit den grundlegenden Benutzerfeldern und einem automatisch generierten Passwort zu erstellen, verwende dieses Beispiel.

preferred_username given_name family_name email
user1 John Reh jdoe@example.com
user2 Jane Smith jsmith@example.com
user3 John Jones jjones@example.com
Fügen Sie bei Bedarf weitere Spalten hinzu. Attributwerte können jederzeit nachträglich in der Admin-Konsole aktualisiert werden. Speichern Sie diese Datei als Textdatei im Format „ UTF-8 “ ( CSV ). Die maximale Dateigröße beträgt 10 MB. Wenn Ihre Datei größer ist, teilen Sie sie in mehrere „ CSV “-Dateien auf.
Hinweis: Wenn Sie Ihre „ CSV “-Datei aus Excel exportiert haben, enthält die Kodierung häufig einige seltsame Zeichen am Anfang der Datei. Öffne die Datei in einem einfachen Texteditor und lösche die Zeichen. Die Zeichen sehen so aus:  und werden als Byte Order Mark (BOM) bezeichnet. Falls die Zeichen im Texteditor nicht angezeigt werden, kopieren Sie den Text in einen anderen Texteditor, fügen Sie ihn dort ein und speichern Sie ihn als neue Datei.

Kennwortmigration

Verify unterstützt die Migration bestehender Passwörter sowie Passwörter, die im Klartext angegeben werden. Wenn Sie Benutzer mit einem bekannten oder gehashten Passwort anlegen möchten, fügen Sie zu jeder Benutzerzeile eine Spalte mit dem Namen password hinzu; Verify legt einen Benutzer mit diesem Passwort an. {TYPE}Wenn Ihre Datenbank oder Ihr „ LDAP “ den Einweg-Hash in einem der unterstützten Formate bereitstellt, müssen Sie den Wert abrufen und ihm das Präfix „.“ voranstellen. {SSHA256}Wenn Sie beispielsweise Salted-SHA256 verwenden, muss dem Wert ein Punkt vorangestellt werden.
“%2B”Hinweis: Wenn Ihr Passwort ein '+' enthält, müssen Sie alle “+” durch ersetzen.

Beispiel für eine „ CSV “-Datei

Dies ist eine Beispiel-Datei „ CSV “ mit minimalen Angaben.
preferred_username,given_name,family_name,email
user1,John,Doe,jdoe@example.com
user2,Jane,Smith,jsmith@example.com
user3,John,Jones,jjones@example.com
Hinweis: Leerzeichen nach Kommas führen zu Fehlern beim Import.

Datei importieren

Nachdem Ihre Datei erstellt wurde, stehen noch einige weitere Konfigurationsmöglichkeiten zur Verfügung. notifyType=NONEIm folgenden Aufruf werden alle E-Mail-Benachrichtigungen über neue Konten über den Parameter unterdrückt. Bei der ersten Anmeldung wird ein zufälliges Passwort generiert, das der Benutzer jedoch nicht zurücksetzen muss (er kann es später zurücksetzen). usershouldnotneedtoresetpassword: trueUm die Aufforderung zur Passwortänderung bei der ersten Anmeldung zu deaktivieren, fügen Sie den Header hinzu.
curl --location -X POST "https://${tenant_url}/v2.0/CSV/importUsers?notifyType=NONE" \
--header "Authorization: Bearer ${access_token}" \
--header 'usershouldnotneedtoresetpassword: true' \
--form 'file=@/path/to/file/user_import.csv'

Wenn die Datei korrekt formatiert und akzeptiert wurde, erhalten Sie eine ID zurück. Mit dieser ID kann die Status-API abgefragt werden, um zu überprüfen, ob alles ordnungsgemäß funktioniert. Die Benutzer werden nacheinander verarbeitet. Die Verarbeitung einer Datei mit einer maximalen Größe von 10 MB kann etwa 15 bis 20 Minuten dauern.

Hinweis: Bei einem zufällig generierten Passwort erhält der Benutzer immer eine E-Mail, unabhängig von den Benachrichtigungseinstellungen. Wenn das Passwort in der Datei „ CSV “ angegeben ist, gilt die Einstellung „NONE“ für die Benachrichtigung, und der Benutzer erhält keine E-Mail.

Importstatus prüfen

Während die Benutzer verarbeitet werden, können Sie den aktuellen Status des Imports abrufen, indem Sie die API „ CSV jobs“ aufrufen.
curl --location --request GET "https://${tenant_url}/v2.0/CSV/jobs/${id}" \
--header "Authorization: Bearer ${access_token}"
Die Antwort enthält die aktuelle state Anzahl sowie Statistiken zu den noch nicht verarbeiteten Benutzern (unprocessedCount) und zu den Benutzern, die verarbeitet und hinzugefügt wurden (processedCount). Falls Fehler auftreten, wird deren Anzahl angegeben (errorsCount).

Massendaten

Mithilfe der Massen-APIs können Sie Millionen von Benutzern migrieren. Siehe https://docs.verify.ibm.com/verify/reference/bulkrequest. Es ist jedoch effizienter, gemeinsam mit Ihrem Verify-Team einen Termin für die Massenübertragung zu vereinbaren. Sie können ein Support-Ticket beim „ IBM “-Support über die webbasierte „ IBM “-Support-Community oder telefonisch unter 1-800- IBM -SERV (800-426-7378) erstellen. Das Servicemanagement-Team stellt Ihnen einen sicheren Ort zum Hochladen zur Verfügung. VerifySie können Ihre Benutzerdaten dann an diesen Speicherort hochladen, und das Servicemanagement-Team lädt Ihre Daten dort hoch.