Ir al contenido principal

Resumen

Disponibilidad limitada

La funcionalidad de proveedor de OIDC se ofrece actualmente bajo el estado de Disponibilidad Limitada (LA). El acceso está restringido a un conjunto controlado de clientes y casos de uso. Las funciones pueden estar incompletas, sujetas a cambios y podrían contener defectos. Se aplican salvaguardas operativas y límites de capacidad. Al utilizar esta API, usted reconoce que:

  • Está destinado únicamente al acceso temprano y a fines de retroalimentación.
  • La disponibilidad puede estar limitada por la región, el segmento o las restricciones de capacidad.
  • La funcionalidad, el rendimiento y la estabilidad no están garantizados en este momento.
  • La documentación y los recursos de soporte pueden estar evolucionando.
  • Los comentarios proporcionados durante esta fase servirán de base para las mejoras previas a la Disponibilidad General (GA).

No despliegue estos servicios en entornos de producción sin conocer estas limitaciones. El soporte comercial completo y los acuerdos de nivel de servicio estarán disponibles en la AG.

El servicio de token de seguridad (STS) de Equinix proporciona un mecanismo seguro de federación de identidades que permite una autenticación y autorización sin fisuras en todas las plataformas y servicios de Equinix.

Esto le permite intercambiar tokens de identificación OpenID Connect (OIDC) de proveedores de identidad de confianza por tokens de acceso Equinix que pueden utilizarse para acceder a las API y los servicios de Equinix. Esto elimina la necesidad de gestionar credenciales independientes para los servicios de Equinix cuando ya dispone de un proveedor de identidad.

Equinix aplica una verificación estricta de los tokens OIDC, validando el emisor, las reclamaciones del público y la validación de la firma mediante el JWKS del proveedor. Los tokens de acceso se emiten con los alcances apropiados en función de la configuración de confianza del proveedor de identidades y de la pertenencia a grupos del principal.

Características principales:

  • Proveedor de identidades y gestión de relaciones de confianza: Cree, actualice, suspenda, reanude y elimine proveedores de OIDC de confianza para controlar en qué proveedores de identidad e ID de cliente se confía para la autenticación.
  • Autorización basada en grupos: Asigne reclamaciones de grupo de proveedores de identidad a las políticas de autorización de Equinix.
  • Control de acceso: Compatibilidad tanto con el control de acceso basado en roles como con el basado en atributos para gestionar los permisos y el acceso a los servicios de Equinix.
  • Intercambio de tokens: Implemente el intercambio de tokens OAuth 2.0 (RFC 8693) para convertir los tokens de identificación OIDC en tokens de acceso a Equinix.

Federación de identidades de cargas de trabajo

El uso de un proveedor OIDC en Equinix proporciona soporte para la automatización CI/CD con autenticación basada en identidad desde plataformas como GitHub Actions o Terraform Cloud.

Para utilizar su propio proveedor de identidad, haga lo siguiente:

  1. Desde el proyecto raíz registre el proveedor OIDC que utilice. Esta operación crea una relación de confianza entre el proyecto raíz y el proveedor de OIDC de forma que se pueda acceder a los tokens de identidad del proveedor de OIDC para el intercambio de tokens.
  2. Conceda acceso a los principales de su proveedor OIDC utilizando roles o access policies (o ambos).
  3. Obtenga un token de identidad de su proveedor de OIDC.
  4. Realice un intercambio de token para obtener un token de portador de la API de Equinix.

Ámbitos de control de acceso

Al realizar un intercambio de tokens, el token de acceso concede permisos según el ámbito especificado, que es alguna combinación de:

  • Roles y asignación de roles - Concede permisos para todos los roles asignados al director dentro de una Organización.

  • Una única política de acceso con nombre - Concede los permisos de esa política de acceso específica.

  • Todas las políticas de acceso concedidas al mandante en un proyecto - Concede permisos para todas las políticas de acceso concedidas al mandante en un proyecto concreto, ya sea por concesión directa al propio mandante o por concesión indirecta a través de la pertenencia a grupos de un mandante federado.

  • Todas las políticas de acceso concedidas al director en una organización - Concede permisos para todas las políticas de acceso concedidas al director en todos los proyectos del árbol org de una organización determinada, incluido el proyecto rector de esa organización.

Los permisos efectivos concedidos por el token son la unión de los permisos de cada ámbito; una acción está permitida si cualquiera de los ámbitos la permite.

Se comprueba la validez de los ámbitos. Las siguientes combinaciones son ámbitos válidos:

scope valueResulting scope type(s)
roleassignments:<org-id>Assigned roles in the organization
ern:<access-policy-ern>Single access policy
projectpolicies:<project-id>One or more access policies in a project
orgpolicies:<org-id>One or more access policies in an organization
orgpolicies:<org-id> roleassignments:<org-id>One or more access policies in an organization + Assigned roles in the organization

Bolsa de fichas

Para intercambiar tokens de proveedor de OIDC por tokens de portador de la API de Equinix, utilice el punto final /v1/token. Para más información, consulte Autenticación de la API OIDC.

¿Fue útil esta página?