Configuración de Okta para el SSO Federado de Equinix
La integración de servicios con proveedores de identidad (IdP) es una práctica recomendada establecida para mejorar la seguridad y simplificar la gestión del acceso de los usuarios. Equinix admite el inicio de sesión único (SSO) basado en SAML, lo que permite a las organizaciones autenticar a los usuarios a través de su propio IdP cuando acceden a Equinix. Además, la plataforma de identidad incluye ahora soporte para el aprovisionamiento y desaprovisionamiento de usuarios basado en SCIM. Con esta capacidad, el IdP se utiliza no sólo para la autenticación, sino también para crear y eliminar automáticamente cuentas de usuario de Equinix.
La automatización de la gestión de usuarios ofrece varias ventajas, como una experiencia de usuario más ágil, una menor carga administrativa, menos errores manuales y una mejor aplicación de las políticas de seguridad. Utilice Okta con el protocolo SCIM para automatizar el aprovisionamiento de usuarios en Equinix y centralizar la gestión de identidades en el proveedor de identidades.
Requisitos previos
Complete el onboarding SSO en el sitio Equinix Federated SSO. El proceso de onboarding proporciona una URL de integración y un token que se utilizan en el procedimiento.
Creación de la aplicación
El proveedor se configura mediante una Aplicación Okta. Para configurarlo, abra la consola de administración de Okta y seleccione Aplicaciones en la barra lateral. Seleccione Examinar catálogo de aplicaciones. Busque Governance with SCIM y seleccione (OAuth Bearer Token) Governance with SCIM 2.0, después seleccione Add Integration.
Proporcione un nombre de aplicación que identifique su propósito, como "Equinix" o "Equinix Provisioning". En Opciones de inicio de sesión, se pueden configurar los campos SAML para esta aplicación SCIM si la aplicación también se utiliza para el flujo de inicio de sesión. El formato de nombre de usuario de la aplicación en Detalles de las credenciales debe establecerse en Correo electrónico (y si se utiliza una aplicación Okta diferente para SAML SSO a Equinix, esa aplicación también debe establecerse en Correo electrónico). Seleccione Hecho para crear la aplicación.
Asegúrese de que NameID se envía en minúsculas
Para evitar problemas de aprovisionamiento y autenticación, asegúrese de que el atributo de aserción SAML utilizado como NameID está en minúsculas. Equinix trata los identificadores de usuario distinguiendo entre mayúsculas y minúsculas en la autenticación SAML y el aprovisionamiento SCIM. Si el mismo identificador se envía con diferentes mayúsculas y minúsculas (por ejemplo, User@Example.com y user@example.com), puede dar lugar a cuentas duplicadas, inicios de sesión fallidos o errores de sincronización. Para evitar estos problemas, asegúrese de que el Identificador Único de Usuario (Nombre ID) se normaliza a minúsculas antes de ser enviado.
- En la consola de administración de Okta, vaya a Aplicaciones.
- En la sección SAML Settings, haga clic en Edit para configurar SAML.
- Establezca Nombre de usuario de la aplicación en Personalizado, e introduzca una expresión en minúsculas.
Configuración del aprovisionamiento
Una vez creada la aplicación, aparecerá el panel de gestión de la misma. Abra la barra de la sección Aprovisionamiento y seleccione Configurar integración API. Introduzca la URL y el token proporcionados por federation.equinix.com, y pruebe las credenciales. Guarde los cambios.
Para reflejar los grupos de Equinix en Okta, active la opción Importar grupos.
Habilitar el aprovisionamiento
Con las credenciales configuradas, vuelva a la pestaña Provisioning y seleccione To App. Seleccione Editar para habilitar las casillas de verificación. Habilite Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios. Asegúrese de que el nombre de usuario predeterminado está configurado como Correo electrónico.
Configuración de asignaciones de atributos
En la sección To App, configure las correspondencias de los atributos de Okta con los atributos de usuario de Equinix. Configure los mapeos como se muestra:
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
Tenga en cuenta que primaryPhoneType se establece en work seleccionando "Mismo valor para todos los usuarios".
Las asignaciones adicionales por defecto deben eliminarse o desasignarse.
Añadir usuarios y grupos para el aprovisionamiento
Asigne usuarios a la aplicación individualmente o por grupo. Abra la pestaña Asignaciones y seleccione Asignar para añadir usuarios. Okta aprovisiona a los usuarios en Equinix automáticamente.
Verificación del aprovisionamiento correcto
En este punto, Okta tiene la configuración necesaria para aprovisionar y desaprovisionar usuarios en Equinix. Seleccione Ver registros junto al nombre de la aplicación en la cabecera, o vaya a Informes > Registro del sistema para ver los eventos de aprovisionamiento. Supervise el ciclo de aprovisionamiento inicial para confirmar que la conexión funciona como se espera.
