Aprovisionamiento con SCIM

System for Cross-domain Identity Management (SCIM) permite una gestión del ciclo de vida de los usuarios automatizada, segura y escalable. Al aprovechar las API estandarizadas de SCIM, los proveedores de identidad (IdP) pueden crear, actualizar y eliminar cuentas de usuario de Equinix, eliminando el aprovisionamiento manual y garantizando un acceso coherente y actualizado en todos los sistemas.

Cuando se activa, el aprovisionamiento basado en SCIM sustituye la gestión manual de perfiles de usuario a través de SSO federado por la automatización estandarizada de API. Los proveedores de identidad (IdP) crean, actualizan y eliminan automáticamente las cuentas de usuario de Equinix mediante las API de SCIM. La autenticación sigue siendo gestionada por el IdP a través de SAML u OIDC.

Flujo de aprovisionamiento SCIM

Para permitir el aprovisionamiento de usuarios mediante llamadas a la API SCIM:

1. En el [Customer Portal, vaya al menú Administration y seleccione Account and Security Management.

   nota

   El menú Administración sólo es visible para los administradores.

2. Haga clic en Federated Single Sign-On para ver la pantalla de detalles de la federación. También puede ir a https://federation.equinix.com/.

3. Seleccione la pestaña Aprovisionamiento. Esta opción estará disponible si ha configurado correctamente una conexión federada y ha iniciado sesión utilizando la autenticación federada.

   

4. Haga clic en el conmutador para habilitar la API SCIM para el aprovisionamiento de perfiles de usuario. Al habilitar las llamadas a la API SCIM se deshabilitará el acceso a SSO Federado para sus usuarios. Durante este proceso, no se podrán realizar otras acciones en el portal Self-Service Federation (SSF).

   

5. El tiempo de procesamiento puede tardar hasta 5 minutos, dependiendo del número de usuarios de su organización. Una vez habilitado correctamente el aprovisionamiento automático, puede proceder a configurar la API SCIM.

6. Para generar un token de acceso a la API SCIM, haga clic en Generar nuevo token. Puede tener hasta dos tokens a la vez. Si necesita uno nuevo, elimine primero un token existente. Envíe el token generado junto con la URL del punto final a su proveedor de identidad (IdP) para establecer la conexión.

   

7. Aparecerán los detalles del token. Copie y guarde el token en un lugar seguro. Necesitará el token para acceder al punto final de la API.

   

   nota

   Esta es la única vez que se mostrarán los detalles del token. Si pierde el token, tendrá que borrar un token existente y regenerar uno nuevo.

8. Para comenzar la configuración del aprovisionamiento, pase el ratón por Configuración del aprovisionamiento para elegir su tipo de aprovisionamiento.

9. Seleccione No restringido para aprovisionar a todos los usuarios, o Restringir por pertenencia a grupo para limitar el aprovisionamiento a grupos IdP específicos. Esto finaliza la gestión automatizada de usuarios para su entorno.

10. Pase el ratón por encima de una sección para editarla o eliminarla, o haga clic en Pausa para detener la sincronización. Puede hacer clic en Habilitar en cualquier momento para reanudar la sincronización.

Configuración del aprovisionamiento basado en grupos

Equinix admite el aprovisionamiento restringido mediante SCIM permitiendo a las organizaciones limitar el aprovisionamiento de usuarios a grupos específicos de proveedores de identidad (IdP). Esta configuración es ideal para los clientes que desean un control más preciso sobre qué usuarios se aprovisionan en los sistemas Equinix.

Al habilitar el aprovisionamiento SCIM, puede elegir entre lo siguiente:

• No restringido - Se aprovisionan todos los usuarios del IdP.
• Restringido por pertenencia a grupo - Sólo se aprovisionan los usuarios que pertenecen a los grupos especificados.

Para configurarlo, siga estos pasos:

1. En la sección Sincronización del aprovisionamiento, seleccione la configuración de aprovisionamiento adecuada.
2. Complete la configuración de aprovisionamiento.

El aprovisionamiento SCIM puede activarse o desactivarse en cualquier momento. Al desactivar el aprovisionamiento SCIM se restablece por completo la configuración. Utilice esta opción sólo si tiene intención de restablecer por completo o interrumpir el aprovisionamiento basado en SCIM.

Gestión de grupos SCIM para clientes federados

Equinix admite el aprovisionamiento de grupos basado en SCIM para proveedores de identidad federados (IdP), lo que permite a los clientes gestionar el acceso utilizando sus estructuras de grupos existentes. Esto permite la asignación de roles, el alcance del acceso y el registro de auditorías alineado con las jerarquías organizativas.

Para los clientes con múltiples organizaciones bajo una única conexión federada, la gestión de grupos SCIM permite:

• Asignación de funciones basada en grupos: Asigne funciones a grupos de proveedores de identidad (grupos IdP) para que todos los miembros del grupo hereden los permisos automáticamente.
• Soporte para grupos anidados: Equinix resuelve las membresías anidadas, permitiendo que los miembros de grupos hijos hereden los permisos de los grupos padres.
• Herencia de acceso a nivel de organización: Los roles asignados a los grupos a nivel de una organización padre pueden aplicarse automáticamente a las organizaciones hijas y a sus recursos asociados.
• Scoped Access: Las asignaciones de grupo pueden delimitarse a organizaciones o proyectos específicos, lo que garantiza que los límites de acceso se ajustan a su estructura interna y evita el acceso entre organizaciones.
• Conservación de roles individuales: Los usuarios eliminados de un grupo conservan todos los roles asignados individualmente.
• Registro de auditoría: Todos los eventos del ciclo de vida de los grupos y los cambios de miembros se registran para garantizar el cumplimiento de las normas.
• Compatibilidad con puntos finales multiorg: Un único punto final SCIM puede gestionar varias organizaciones utilizando metadatos.

Editar grupos y roles

1. Vaya al [Customer Portal y seleccione Identity and Access Management en el menú de la izquierda.

   

2. En la página Gestión de identidades y accesos, seleccione Grupos en la barra de navegación superior.

3. Localice el grupo que desea gestionar. En la parte derecha de la fila del grupo, haga clic en el menú de acciones para ver o editar los detalles del grupo.

   

4. Haga clic en Ver detalles del grupo para abrir la página Detalles del grupo.

   

5. En la parte derecha de la fila del grupo, haga clic en Ver detalles del rol para ver la información del rol. Haga clic en Editar grupo para revisar y editar la lista de roles disponibles.

   

   

6. Haga clic en Editar grupo para abrir la página Editar grupo y revisar los roles disponibles. Utilice el campo Buscar o Filtrar por categoría de rol para acotar la lista.

   

7. Seleccione los roles que desea añadir al grupo marcando sus casillas. Haga clic en Siguiente.

   

8. Revise y confirme su selección. Los cambios de rol afectan a los permisos de todos los usuarios del grupo. Haga clic en Aplicar cambios.

   

Configuración de EntraID y Okta

Para saber cómo configurar EntraID y Okta, consulte:

• Configuring Microsoft Entra ID for Equinix Federated SSO

• Configuring Okta for Equinix Federated SSO