Configuración de Microsoft Entra ID para Equinix Federated SSO
La integración de servicios con proveedores de identidad (IdP) se ha convertido en una de las mejores prácticas del sector para las empresas que buscan optimizar su postura de seguridad y agilizar la gestión del acceso de los usuarios. La compatibilidad de Equinix con SAML-based SSO (el uso de su propio IdP para iniciar sesión en Equinix) está disponible de forma general y, para acompañarla, nos complace anunciar una versión beta **** de la característica más novedosa de nuestra plataforma de identidad: la compatibilidad con el aprovisionamiento y desaprovisionamiento de usuarios basado en SCIM. Esto significa que su IdP no será sólo una parte del flujo de inicio de sesión, sino que será directamente responsable de crear y eliminar cuentas de usuario de Equinix.
La automatización de la gestión de usuarios conlleva varias ventajas para su empresa, entre las que se incluyen una experiencia optimizada, una reducción de la carga de TI, una reducción de la tasa de errores y una mayor capacidad para imponer el cumplimiento de las políticas de seguridad. Esta guía le guiará a través de la automatización del aprovisionamiento de usuarios en Equinix con Microsoft Entra ID (anteriormente Azure Active Directory) utilizando el protocolo SCIM.
Requisitos previos
Esta guía asume que usted ha completado el onboarding SSO en el [sitio Equinix Federated SSO. El proceso de incorporación al SSO le proporcionará una URL de integración y un token, a los que se hará referencia en esta guía.
Si ya dispone de una aplicación Entra ID Enterprise para iniciar sesión en Equinix con SAML, suponemos que utiliza el atributo user.mail como identificador único de usuario.
Creación de la aplicación empresarial
El dispositivo de suministro se configurará mediante una aplicación Entra ID Enterprise. Para configurar esta aplicación, abra el portal Azure y navegue hasta Microsoft Entra ID (puede que tenga que expandir Todos los servicios). Hay un botón Añadir en la parte superior del portal, que abre un desplegable en el que puede seleccionar la aplicación Enterprise.
Azure le pedirá que seleccione la aplicación con la que desea integrarse y le presentará una galería. Mientras está en fase beta, el servicio SCIM de Equinix no está integrado con la aplicación de galería Federation App de Equinix, por lo que tendrá que hacer clic en Crear su propia aplicación en la parte superior de la página y seleccionar No galería en el cuadro de diálogo modal. El nombre de la aplicación puede ser cualquier cosa que distinga de forma significativa el propósito de la aplicación, como "Equinix SCIM" o "Equinix Provisioning". Haga clic en el botón para crear la aplicación.
Configuración de atributos de inicio de sesión único
Cualquier proveedor de identidad que se integre con Equinix utilizando SAML debe pasar la dirección de correo electrónico del usuario como su valor SAML NameID. Esto puede configurarse en Entra ID navegando a Manage, Single Sign-On y haciendo clic en Edit en el cuadro de Attributes & Claims. El campo Identificador único de usuario (Name ID) debe configurarse como user.mail con un formato de identificador de nombre de Dirección de correo electrónico.
La sección Atributos y reclamaciones de su panel de Inicio de sesión único debería coincidir con el siguiente ejemplo.
Asegúrese de que NameID se envía en minúsculas
Para evitar problemas de aprovisionamiento y autenticación, asegúrese de que el atributo de aserción SAML utilizado como NameID está en minúsculas. Equinix Metal trata los identificadores de usuario distinguiendo entre mayúsculas y minúsculas en la autenticación SAML y el aprovisionamiento SCIM. Si el mismo identificador se envía con diferentes mayúsculas y minúsculas (por ejemplo, User@Example.com y user@example.com), puede dar lugar a cuentas duplicadas, inicios de sesión fallidos o errores de sincronización. Para evitar estos problemas, asegúrese de que el Identificador Único de Usuario (Nombre ID) se normaliza a minúsculas antes de ser enviado.
- En la aplicación Entra ID, seleccione Single sign-on y Attributes & Claims.
- En Demanda requerida, seleccione Identificador único de usuario (Nombre ID).
- En Gestionar siniestro, en Fuente, seleccione Transformación, luego establezca la transformación en un valor en minúsculas y guarde el siniestro.
Habilitar el aprovisionamiento
Después de crear la aplicación, debería estar en la página Descripción general de la aplicación, con varias opciones disponibles en una barra lateral de navegación. Expanda el menú desplegable Gestionar, abra Aprovisionamiento y seleccione Empezar.
El Entra ID le pedirá un Modo de Aprovisionamiento, que por defecto es Manual. Cámbielo a Automático.
Despliegue el panel Credenciales de administrador e introduzca la URL y el token que le ha proporcionado federation.equinix.com. Utilice la función Probar conexión para verificar que la información de conexión entre Entra ID y Equinix está configurada correctamente. También puede ampliar el panel Configuración en esta misma página si desea configurar alertas por correo electrónico para cualquier problema de aprovisionamiento o activar [la función de prevención de borrado accidental de Entra ID. Guarde los ajustes y vuelva a la página de Vista general de las aplicaciones.
Configuración de asignaciones de atributos
En la barra lateral, haga clic en Gestionar y, de nuevo, en Aprovisionamiento. Aparecerá un nuevo panel, denominado Asignaciones. Abra Provision Microsoft Entra ID Groups, desactive el conmutador Enabled y guarde la configuración (la funcionalidad de grupo de Equinix estará disponible en una futura actualización de SCIM). Abra Provision Microsoft Entra ID Users y configure las asignaciones como se muestra:
| Custom App Attribute | Microsoft Entra ID Attribute | Matching precedence |
|---|---|---|
| userName | 1 | |
| active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | |
| displayName | displayName | |
| externalId | mailNickname | |
| name.familyName | surname | |
| name.givenName | givenName | |
| phoneNumbers[type eq "work"].value | telephoneNumber (or 'mobile', depending on your environment) | |
| locale | preferredLanguage |
Las asignaciones adicionales por defecto deben eliminarse.
Puede deseleccionar Crear, Actualizar o Eliminar si no desea que Entra ID realice automáticamente todas esas acciones en los usuarios de Equinix, por ejemplo, si sólo desea aprovisionar usuarios pero no desprovisionarlos automáticamente. Guarde los cambios.
Por último, una vez establecida la conexión y configuradas las asignaciones de atributos, puede volver a Gestionar, Aprovisionamiento y activar el Estado de aprovisionamiento.
Añadir usuarios y grupos para el aprovisionamiento
A menos que haya optado por sincronizar todos los usuarios del directorio en una configuración avanzada de la aplicación, primero será necesario asignar usuarios a la aplicación para poder aprovisionarlos en Equinix. Esta asignación se realiza en Gestionar, Usuarios y grupos. Los usuarios pueden asignarse individualmente o por grupo (dependiendo de su nivel de suscripción a Azure).
Verificación del aprovisionamiento correcto
En este punto, Entra ID debería tener toda la configuración necesaria para aprovisionar y desaprovisionar usuarios en Equinix. Puede volver a la página de resumen. Después de algún tiempo, Entra ID intentará aprovisionar a los usuarios asignados. En el primer aprovisionamiento, es posible que desee examinar los registros para asegurarse de que este proceso se realizó como se esperaba.
Entra ID no sincroniza a los usuarios inmediatamente, sino que funciona como una tarea periódica ("cada 20-40 minutos, dependiendo del número de usuarios y grupos de la aplicación", según Microsoft). Esto no es configurable por Equinix. Si desea ejecutar una prueba de aprovisionamiento antes del intervalo periódico, o necesita que un cambio ocurra de inmediato, puede utilizar la función Aprovisionamiento a pedido de Entra ID desde la página Descripción general de la aplicación. El aprovisionamiento a pedido ejecuta cualquier acción que ocurriría para un usuario dado (aprovisionamiento o desaprovisionamiento) inmediatamente, y también proporciona detalles adicionales en cuanto a las acciones que realizó y su éxito.
Conclusión
Usted ha configurado Entra ID para automatizar sus tareas de gestión de usuarios con el protocolo SCIM. Esto agilizará su flujo de inicio de sesión y mejorará la seguridad al mantener la gestión de identidades dentro del proveedor de identidades.