Configuración de Okta para el SSO Federado de Equinix
La integración de servicios con proveedores de identidad (IdP) se ha convertido en una de las mejores prácticas del sector para las empresas que buscan optimizar su postura de seguridad y agilizar la gestión del acceso de los usuarios. La compatibilidad de Equinix con SAML-based SSO (el uso de su propio IdP para iniciar sesión en Equinix) está disponible de forma general y, para acompañarla, nos complace anunciar una versión beta **** de la característica más novedosa de nuestra plataforma de identidad: la compatibilidad con el aprovisionamiento y desaprovisionamiento de usuarios basado en SCIM. Esto significa que su IdP no será sólo una parte del flujo de inicio de sesión, sino que será directamente responsable de crear y eliminar cuentas de usuario de Equinix.
La automatización de la gestión de usuarios conlleva varios beneficios para su empresa, entre los que se incluyen una experiencia optimizada, una reducción de la carga de TI, una reducción de la tasa de errores y una mayor capacidad para imponer el cumplimiento de las políticas de seguridad. Esta guía le guiará a través de la automatización del aprovisionamiento de usuarios en Equinix con Okta utilizando el protocolo SCIM.
Requisitos previos
Esta guía asume que usted ha completado el onboarding SSO en el [sitio Equinix Federated SSO. El proceso de incorporación al SSO le proporcionará una URL de integración y un token, a los que se hará referencia en esta guía.
Creación de la aplicación
El provisionador se configurará utilizando una Aplicación de Okta. Para configurarlo, abra la consola de administración de Okta y seleccione Aplicaciones en la barra lateral. Haga clic en Examinar catálogo de aplicaciones. Mientras está en fase beta, el servicio SCIM de Equinix no está integrado con la aplicación de catálogo Equinix Customer Portal, así que busque "Governance with SCIM" y seleccione (OAuth Bearer Token) Governance with SCIM 2.0 y Add Integration.
La aplicación puede llamarse de cualquier forma que la identifique razonablemente, como "Equinix" o "Equinix Provisioning". En Sign-On Options (Opciones de inicio de sesión), los campos SAML para esta aplicación SCIM pueden rellenarse si esta aplicación también se utilizará para el flujo de inicio de sesión, pero Application username format (Formato de nombre de usuario de la aplicación) en Credentials Details (Detalles de las credenciales) debe establecerse en "Email" (Correo electrónico) (y si se utiliza una aplicación Okta diferente para SAML SSO a Equinix, esa también debe ser "Email"). Haga clic en Listo para crear la aplicación.
Asegúrese de que NameID se envía en minúsculas
Para evitar problemas de aprovisionamiento y autenticación, asegúrese de que el atributo de aserción SAML utilizado como NameID está en minúsculas. Equinix Metal trata los identificadores de usuario distinguiendo entre mayúsculas y minúsculas en la autenticación SAML y el aprovisionamiento SCIM. Si el mismo identificador se envía con diferentes mayúsculas y minúsculas (por ejemplo, User@Example.com y user@example.com), puede dar lugar a cuentas duplicadas, inicios de sesión fallidos o errores de sincronización. Para evitar estos problemas, asegúrese de que el Identificador Único de Usuario (Nombre ID) se normaliza a minúsculas antes de ser enviado.
- En la consola de administración de Okta, vaya a Aplicaciones.
- En la sección SAML Settings, haga clic en Edit para configurar SAML.
- Establezca Nombre de usuario de la aplicación en Personalizado, e introduzca una expresión en minúsculas.
Configuración del aprovisionamiento
Una vez creada la aplicación, Okta le llevará al panel de gestión de la aplicación. Abra la sección Provisioning en la barra de pestañas y haga clic en Configure API Integration. Introduzca la URL y el token que le proporcionó federation.equinix.com, y pruebe las credenciales. Guarde los cambios.
Nota: El servicio SCIM de Equinix no admite la funcionalidad de grupo en este momento, pero tiene previsto hacerlo en el futuro. Si desea que los grupos de Equinix se reflejen en Okta, puede activar la función [Importar grupos.
Habilitar el aprovisionamiento
Una vez introducidas las credenciales, vuelva a la pestaña Aprovisionamiento y seleccione A la aplicación. Haga clic en Editar para que se puedan editar las casillas de verificación y active Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios. Asegúrese de que el nombre de usuario predeterminado sea Correo electrónico.
Configuración de asignaciones de atributos
En la sección To App, configure las correspondencias de los atributos de Okta con los atributos de usuario de Equinix. Configure las asignaciones como se muestra:
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
Tenga en cuenta que primaryPhoneType se establece en work seleccionando "Mismo valor para todos los usuarios".
Las asignaciones adicionales por defecto deben eliminarse o desasignarse.
Añadir usuarios y grupos para el aprovisionamiento
Los usuarios pueden asignarse a la aplicación para su aprovisionamiento de forma individual o por grupos. Abra la pestaña Asignaciones y haga clic en el botón Asignar para agregar usuarios a la aplicación. Okta debería empezar a aprovisionar a los usuarios en Equinix inmediatamente.
Verificación del aprovisionamiento correcto
En este punto, Okta debería tener toda la configuración necesaria para aprovisionar y desaprovisionar usuarios en Equinix. Haga clic en Ver registros junto al nombre de la aplicación en el encabezado, o vaya a Informes, Registro del sistema para ver los eventos de aprovisionamiento. Es una buena idea supervisar el primer aprovisionamiento después de la configuración para asegurarse de que la conexión funciona sin problemas.
Conclusión
Ha configurado Okta para automatizar sus tareas de gestión de usuarios con el protocolo SCIM. Esto agilizará su flujo de inicio de sesión y mejorará la seguridad al mantener la gestión de identidades dentro del proveedor de identidades.