Configuration de Microsoft Entra ID pour Equinix Federated SSO
L'intégration des services avec les fournisseurs d'identité (IdP) est une pratique courante pour renforcer la sécurité et simplifier la gestion des accès utilisateurs. Equinix prend en charge l'authentification unique (SSO) basée sur SAML, permettant aux organisations d'authentifier leurs utilisateurs via leur propre IdP lors de l'accès à Equinix. De plus, la plateforme d'identité prend désormais en charge la création et la suppression automatiques des comptes utilisateurs via SCIM. Grâce à cette fonctionnalité, l'IdP sert non seulement à l'authentification, mais aussi à la création et à la suppression automatiques des comptes d'utilisateur Equinix .
L'automatisation de la gestion des utilisateurs offre de nombreux avantages: une expérience utilisateur simplifiée, une réduction des coûts administratifs, une diminution des erreurs manuelles et une meilleure application des politiques de sécurité. Utilisez Microsoft Entra ID (anciennement Azure Active Directory) avec le protocole SCIM pour automatiser le provisionnement des utilisateurs dans Equinix et centraliser la gestion des identités au sein du fournisseur d'identité.
Conditions préalables
Terminez votre inscription à l'authentification unique (SSO) sur le site Equinix Federated SSO. Le processus d'inscription fournit une URL d'intégration et un jeton qui seront utilisés lors de la procédure.
Si une application Entra ID Enterprise existante est utilisée pour se connecter à Equinix avec SAML, elle doit utiliser l'attribut user.mail comme identifiant utilisateur unique.
Création de l'application d'entreprise
Le provisionneur est configuré à l'aide d'une application d'entreprise Entra ID. Pour configurer cette application, ouvrez le portail Azure et accédez à Microsoft Entra ID. Développez Tous les services. Sélectionnez Ajouter, puis choisissez Application d'entreprise dans la liste déroulante.
Le portail affiche la galerie d'applications. Le service Equinix SCIM étant actuellement en version bêta et non intégré à l'application Equinix Federation App Gallery, sélectionnez Créer votre propre application, puis Hors galerie dans la boîte de dialogue modale.
Indiquez un nom d'application qui précise sa fonction, comme « Equinix SCIM » ou « Equinix Provisioning ». Sélectionnez l'option pour créer l'application.
Configuration des attributs d'authentification unique
Tout fournisseur d'identité qui s'intègre à Equinix via SAML doit transmettre l'adresse courriel de l'utilisateur comme valeur NameID SAML. Cette configuration s'effectue dans Entra ID, sous Gérer. > Authentification unique (SSO) et sélectionnez Modifier dans la section Attributs et revendications. Définissez le champ Identificateur unique de l'utilisateur (ID du nom) à user.mail avec un identifiant de nom au format adresse e-mail.
La section Attributs et revendications du panneau d'authentification unique doit correspondre à l'exemple suivant.
Assurez-vous que NameID soit envoyé en minuscules
Pour éviter les problèmes d'approvisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix traite les identifiants utilisateur en fonction de la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec des casses différentes (par exemple, User@Example.com et user@example.com), cela peut entraîner des comptes dupliqués, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant utilisateur unique (NameID) est normalisé en minuscules avant d'être envoyé.
- Dans l'application Entra ID, sélectionnez Authentification unique et Attributs et revendications.
- Sous Obligatoire, sélectionnez Identifiant unique de l'utilisateur (ID du nom).
- Dans la section Gérer la revendication, sous Source, sélectionnez Transformation, puis définissez la transformation sur une valeur en minuscules et enregistrez la revendication.
Activation du provisionnement
Une fois l'application créée, la page Vue d'ensemble s'affiche, avec plusieurs options disponibles dans une barre latérale de navigation. Déroulez le menu Gérer, sélectionnez Provisionnement, puis Démarrer.
Lorsque le système vous invite à choisir un mode de configuration, remplacez la valeur par défaut « Manuel » par « Automatique ».
Développez le panneau « Identifiants d'administrateur » et entrez l'URL et le jeton fournis par federation.equinix.com. Utilisez le bouton « Tester la connexion » pour vérifier que la connexion entre Entra ID et Equinix est correctement configurée. Vous pouvez également développer le panneau « Paramètres » sur la même page pour configurer les alertes par courriel en cas de problème d'approvisionnement ou activer la protection contre la suppression accidentelle d'Entra ID. Sauvegardez les paramètres et retournez à la page d'aperçu des applications.
Configuration des mappages d'attributs
Dans la barre latérale, sélectionnez Gérer, puis Provisionnement. Le panneau Mappages s'affiche. Ouvrez Provisionner les groupes d'identifiants Microsoft Entra, désactivez l'option Activé et sauvegardez les paramètres. Ouvrez Provisionner les utilisateurs d'identifiants Microsoft Entra et configurez les mappages comme indiqué:
| Custom App Attribute | Microsoft Entra ID Attribute | Matching precedence |
|---|---|---|
| userName | 1 | |
| active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | |
| displayName | displayName | |
| externalId | mailNickname | |
| name.familyName | surname | |
| name.givenName | givenName | |
| phoneNumbers[type eq "work"].value | telephoneNumber (or 'mobile', depending on your environment) | |
| locale | preferredLanguage |
Les mappages par défaut supplémentaires doivent être supprimés.
Décochez Créer, Mettre à jour ou Supprimer si Entra ID ne doit pas effectuer automatiquement toutes les actions sur les utilisateurs Equinix . Par exemple, pour provisionner des utilisateurs sans les déprovisionner automatiquement. Sauvegardez les modifications.
Une fois la connexion établie et les mappages d'attributs configurés, retournez à Gérer > Provisionnement et définissez État de l'approvisionnement sur Activé.
Ajout d'utilisateurs et de groupes pour le provisionnement
À moins que tous les utilisateurs de l'annuaire ne soient configurés pour se synchroniser via un paramètre avancé de l'application, les utilisateurs doivent être affectés à l'application avant de pouvoir être provisionnés dans Equinix. Effectuez cette affectation dans Gérer. > Utilisateurs et groupes. Les utilisateurs peuvent être affectés individuellement ou par groupe (selon le niveau d'abonnement Azure).
Vérification de la réussite du provisionnement
À ce stade, Entra ID est configuré pour gérer les comptes d'utilisateurs dans Equinix. Retournez à la page Vue d'ensemble. Après un certain temps, Entra ID tente de provisionner les utilisateurs assignés. Lors du premier cycle d'approvisionnement, consultez les journaux pour vérifier que le processus s'est déroulé comme prévu.
Entra ID does not synchronize users immediately but runs as a periodic job (every 20-40 minutes, depending on the number of users and groups in the application, according to Microsoft). This interval is not configurable by Equinix.
Pour exécuter un provisionnement en dehors de l'intervalle planifié ou appliquer des modifications immédiatement, utilisez la fonctionnalité « Provisionnement à la demande » d'Entra ID, accessible depuis la page Aperçu de l'application. Cette fonctionnalité exécute des actions de provisionnement ou de déprovisionnement pour un utilisateur sélectionné et fournit des informations détaillées sur les actions effectuées et leurs résultats.
