Configuración de Microsoft Entra ID para Equinix Federated SSO
La integración de servicios con proveedores de identidad (IdP) es una práctica recomendada establecida para mejorar la seguridad y simplificar la gestión del acceso de los usuarios. Equinix admite el inicio de sesión único (SSO) basado en SAML, lo que permite a las organizaciones autenticar a los usuarios a través de su propio IdP cuando acceden a Equinix. Además, la plataforma de identidad incluye ahora soporte para el aprovisionamiento y desaprovisionamiento de usuarios basado en SCIM. Con esta capacidad, el IdP se utiliza no sólo para la autenticación, sino también para crear y eliminar automáticamente cuentas de usuario de Equinix.
La automatización de la gestión de usuarios ofrece varias ventajas, como una experiencia de usuario más ágil, una menor carga administrativa, menos errores manuales y una mejor aplicación de las políticas de seguridad. Utilice Microsoft Entra ID (antes Azure Active Directory) con el protocolo SCIM para automatizar el aprovisionamiento de usuarios en Equinix y centralizar la gestión de identidades en el proveedor de identidades.
Requisitos previos
Complete el onboarding SSO en el sitio Equinix Federated SSO. El proceso de onboarding proporciona una URL de integración y un token que se utilizan en el procedimiento.
Si se utiliza una Aplicación Empresarial Entra ID existente para iniciar sesión en Equinix con SAML, deberá utilizar el atributo user.mail como su Identificador Único de Usuario.
Creación de la aplicación empresarial
El aprovisionador se configura mediante una aplicación Entra ID Enterprise. Para configurar esta aplicación, abra el portal Azure y navegue hasta Microsoft Entra ID. Expanda Todos los servicios. Seleccione Añadir y, a continuación, elija Aplicación empresarial en el menú desplegable.
El portal muestra la galería de aplicaciones. Dado que el servicio SCIM de Equinix se encuentra actualmente en fase beta y no está integrado con la aplicación de galería Equinix Federation App, seleccione Cree su propia aplicación y, a continuación, seleccione No galería en el cuadro de diálogo modal.
Proporcione un nombre de aplicación que distinga su propósito, como "Equinix SCIM" o "Equinix Provisioning". Seleccione la opción para crear la aplicación.
Configuración de atributos de inicio de sesión único
Cualquier proveedor de identidad que se integre con Equinix utilizando SAML debe pasar la dirección de correo electrónico del usuario como valor SAML NameID. Esto puede configurarse en Entra ID navegando a Manage > Single Sign-On y seleccionando Edit en la sección Attributes & Claims. Establezca el campo Identificador único de usuario (Name ID) en user.mail con un formato de Identificador de nombre de Dirección de correo electrónico.
La sección Atributos y reclamaciones del panel Inicio de sesión único debería coincidir con el siguiente ejemplo.
Asegúrese de que NameID se envía en minúsculas
Para evitar problemas de aprovisionamiento y autenticación, asegúrese de que el atributo de aserción SAML utilizado como NameID está en minúsculas. Equinix trata los identificadores de usuario distinguiendo entre mayúsculas y minúsculas en la autenticación SAML y el aprovisionamiento SCIM. Si el mismo identificador se envía con diferentes mayúsculas y minúsculas (por ejemplo, User@Example.com y user@example.com), puede dar lugar a cuentas duplicadas, inicios de sesión fallidos o errores de sincronización. Para evitar estos problemas, asegúrese de que el Identificador Único de Usuario (Nombre ID) se normaliza a minúsculas antes de ser enviado.
- En la aplicación Entra ID, seleccione Single sign-on y Attributes & Claims.
- En Demanda requerida, seleccione Identificador único de usuario (Nombre ID).
- En Gestionar siniestro, en Fuente, seleccione Transformación, luego establezca la transformación en un valor en minúsculas y guarde el siniestro.
Habilitar el aprovisionamiento
Tras crear la aplicación, se muestra la página Descripción general, con varias opciones disponibles en una barra lateral de navegación. Despliegue el menú desplegable Gestionar, seleccione Aprovisionamiento y elija Empezar.
Cuando se le solicite un modo de aprovisionamiento, cambie el valor predeterminado de Manual a Automático.
Expanda el panel Credenciales de administrador e introduzca la URL y el token proporcionados por federation.equinix.com. Utilice Probar conexión para verificar que la conexión entre Entra ID y Equinix está configurada correctamente. Opcionalmente, amplíe el panel Ajustes en la misma página para configurar alertas por correo electrónico para problemas de aprovisionamiento o habilite la prevención de borrado accidental de Entra ID. Guarde los ajustes y vuelva a la página de Vista general de las aplicaciones.
Configuración de asignaciones de atributos
En la barra lateral, seleccione Gestionar, y a continuación Aprovisionamiento. Aparecerá un panel de Asignaciones. Abra Provision Microsoft Entra ID Groups, desactive el conmutador Activado y guarde la configuración. Abra Provision Microsoft Entra ID Users, y configure las asignaciones como se muestra:
| Custom App Attribute | Microsoft Entra ID Attribute | Matching precedence |
|---|---|---|
| userName | 1 | |
| active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | |
| displayName | displayName | |
| externalId | mailNickname | |
| name.familyName | surname | |
| name.givenName | givenName | |
| phoneNumbers[type eq "work"].value | telephoneNumber (or 'mobile', depending on your environment) | |
| locale | preferredLanguage |
Las asignaciones adicionales por defecto deben eliminarse.
Deseleccione Crear, Actualizar, o Eliminar si Entra ID no debe realizar todas las acciones sobre los usuarios de Equinix automáticamente. Por ejemplo, para aprovisionar usuarios sin desprovisionarlos automáticamente. Guarde los cambios.
Con la conexión establecida y las asignaciones de atributos configuradas, vuelva a Manage > Provisioning y establezca Provisioning Status en On.
Añadir usuarios y grupos para el aprovisionamiento
A menos que todos los usuarios del directorio estén configurados para sincronizarse a través de un ajuste avanzado de la aplicación, los usuarios deben asignarse a la aplicación antes de que puedan aprovisionarse en Equinix. Realice esta asignación en Gestión > Usuarios y grupos. Los usuarios pueden asignarse individualmente o por grupos (dependiendo del nivel de suscripción a Azure).
Verificación del aprovisionamiento correcto
En este punto, Entra ID tiene la configuración necesaria para aprovisionar y desaprovisionar usuarios en Equinix. Vuelva a la página Descripción general. Transcurrido un tiempo, el Entra ID intenta aprovisionar a los usuarios asignados. Durante el ciclo de aprovisionamiento inicial, revise los registros para confirmar que el proceso se completó como se esperaba.
Entra ID does not synchronize users immediately but runs as a periodic job (every 20-40 minutes, depending on the number of users and groups in the application, according to Microsoft). This interval is not configurable by Equinix.
Para ejecutar el aprovisionamiento fuera del intervalo programado o aplicar los cambios inmediatamente, utilice la función Aprovisionamiento bajo demanda de Entra ID desde la página de descripción general de la aplicación. El aprovisionamiento bajo demanda ejecuta acciones de aprovisionamiento o desaprovisionamiento para un usuario seleccionado y proporciona detalles sobre las acciones realizadas y sus resultados.
