Proveedores de OIDC

Cuando usted crea un proveedor OIDC, especifica los recursos que Equinix utiliza para establecer relaciones de confianza con su proveedor.

Un proveedor de OIDC se compone de:

• Nombre - Un nombre amigable para el proveedor.

• Ubicación del emisor - La URL de ubicación del emisor de OIDC. Esta URL se utiliza para obtener la configuración del proveedor de OpenID, que incluye la URL del JWKS donde pueden obtenerse sus claves públicas.

• Prefijo IDP - Se utiliza para crear un IDP único para el proveedor de OIDC. El prefijo IDP no puede coincidir con ningún registro de proveedor OIDC existente, suspendido o no, para este proyecto.

• Trusted Client IDs - Especifique los clientes OAuth 2.0 que pueden intercambiar tokens de identidad por tokens de acceso a la API de Equinix. El valor de la demanda de audiencia (aud) en un token de identidad OIDC se coteja con la lista de ID de clientes de confianza durante el intercambio de tokens.

• Reclamación de pertenencia a grupo - (opcional) Nombre de la reclamación en los tokens de identificación proporcionados por este emisor de OIDC que contiene las pertenencias a grupo de un mandante, a efectos de autorización. El valor de la reivindicación de pertenencia a un grupo en un token de identificación debe ser una matriz de cadenas, donde cada cadena es un identificador único y no reasignable para un grupo. Cuando esta propiedad no está establecida, ninguna solicitud de este proveedor se trata como una solicitud de pertenencia a un grupo.

Crear un proveedor OIDC

Utilice el Customer Portal o la API de Equinix para crear un proveedor OIDC en Equinix. Debe ser administrador de la empresa.

Portal

1. Acceda al [Portal del cliente --> Gestión de identidad y acceso.

2. Abra la pestaña Proveedores OIDC.

3. Haga clic en Crear proveedor OIDC.

   

4. En la página Crear proveedor OIDC, indique:

   • un nombre para el proveedor
   • su URL de ubicación del emisor OIDC
   • IDP Prefijo para crear un identificador único para el proveedor de identidad.
   • los ID de cliente de confianza que tienen permiso para intercambiar tokens de identidad. Introduzca un ID en el campo y haga clic en +.
   • a Reclamación de pertenencia a un grupo (opcional).

   

5. Haga clic en Crear proveedor OIDC.

API

Para registrar un proveedor de OIDC, envíe una solicitud POST al punto final /v1/projects/{projectId}/oidcProviders. Especifique el proyecto en la ruta de la solicitud.

Especifique un nombre amigable y legible por humanos junto con su emisor OIDC y los detalles de autenticación para issuerLocation, idpPrefix, trustedClientIds, y opcional groupMembershipClaim en el cuerpo de la solicitud.

Ejemplo de solicitud cURL:

curl -X POST 'https://sts.eqix.equinix.com/v1/projects/{projectId}/oidcProviders' \
-H 'content-type: application/json' \
-H 'authorization: Bearer <token>' \
-d '{
    "name": "<string>",
    "trustedClientIds": [
        "<string>"
    ],
    "groupMembershipClaim": "<string>",
    "issuerLocation": "<oidc_url>",
    "idpPrefix": "<string>"
}'

Cómo utilizar su proveedor de OIDC

Una vez que haya registrado un proveedor de OIDC, conceda y gestione el acceso a su infraestructura Equinix utilizando Access Policies o Roles.

A continuación, utilice el punto final /v1/token para solicitar tokens de portador para utilizarlos al llamar a la API de Equinix. Para más información, consulte Autenticación de la API OIDC.