Configuration d'Okta pour Equinix Federated SSO
L'intégration des services avec les fournisseurs d'identité (IdP) est une pratique courante pour renforcer la sécurité et simplifier la gestion des accès utilisateurs. Equinix prend en charge l'authentification unique (SSO) basée sur SAML, permettant aux organisations d'authentifier leurs utilisateurs via leur propre IdP lors de l'accès à Equinix. De plus, la plateforme d'identité prend désormais en charge la création et la suppression automatiques des comptes utilisateurs via SCIM. Grâce à cette fonctionnalité, l'IdP sert non seulement à l'authentification, mais aussi à la création et à la suppression automatiques des comptes d'utilisateur Equinix .
L'automatisation de la gestion des utilisateurs offre de nombreux avantages: une expérience utilisateur plus fluide, une réduction des coûts administratifs, une diminution des erreurs manuelles et une meilleure application des politiques de sécurité. Utilisez Okta avec le protocole SCIM pour automatiser l'approvisionnement des utilisateurs dans Equinix et centraliser la gestion des identités au sein du fournisseur d'identité.
Conditions préalables
Terminez votre inscription à l'authentification unique (SSO) sur le site Equinix Federated SSO. Le processus d'inscription fournit une URL d'intégration et un jeton qui seront utilisés lors de la procédure.
Création de l'application
Le provisionneur est configuré à l'aide d'une application Okta. Pour ce faire, ouvrez la console d'administration Okta et sélectionnez Applications dans la barre latérale. Sélectionnez Parcourir le catalogue d'applications. Recherchez Gouvernance avec SCIM et sélectionnez (OAuth Bearer Token) Governance avec SCIM 2.0, puis sélectionnez Ajouter une intégration.
Indiquez un nom d'application qui identifie sa fonction, comme « Equinix» ou « Equinix Provisioning ». Dans la section Options de connexion, les champs SAML de cette application SCIM peuvent être configurés si elle est également utilisée pour le processus de connexion. Le format du nom d'utilisateur de l'application, sous Détails des informations d'identification, doit être défini sur Adresse électronique (et si une autre application Okta est utilisée pour l'authentification unique SAML vers Equinix, cette application doit également être configurée sur Adresse électronique). Sélectionnez Terminé pour créer l'application.
Assurez-vous que NameID soit envoyé en minuscules
Pour éviter les problèmes d'approvisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix traite les identifiants utilisateur en fonction de la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec des casses différentes (par exemple, User@Example.com et user@example.com), cela peut entraîner des comptes dupliqués, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant utilisateur unique (NameID) est normalisé en minuscules avant d'être envoyé.
- Dans la console d'administration Okta, accédez à Applications.
- Dans la section Paramètres SAML, cliquez sur Modifier pour configurer SAML.
- Définissez Nom d'utilisateur de l'application à Personnalisé et entrez une expression en minuscules.
Configuration du provisionnement
Une fois l'application créée, son panneau de gestion s'affiche. Ouvrez la section Approvisionnement et sélectionnez Configurer l'intégration de l'API. Entrez l'URL et le jeton fournis par federation.equinix.com, puis testez les identifiants. Sauvegardez les modifications.
Pour refléter les groupes Equinix dans Okta, activez l'option Importer les groupes.
Activation du provisionnement
Une fois les informations d'identification configurées, retournez à l'onglet Provisionnement et sélectionnez Vers l'application. Sélectionnez Modifier pour activer les cases à cocher. Activez les options Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs. Assurez-vous que le nom d'utilisateur par défaut est bien défini sur Adresse e-mail.
Configuration des mappages d'attributs
Dans la section Vers l'application, configurez les correspondances entre les attributs Okta et les attributs utilisateur Equinix . Configurez les correspondances comme indiqué:
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
Notez que primaryPhoneType est défini sur work en sélectionnant « Même valeur pour tous les utilisateurs ».
Les mappages par défaut supplémentaires doivent être supprimés ou non mappés.
Ajout d'utilisateurs et de groupes pour le provisionnement
Attribuez les utilisateurs à l'application individuellement ou par groupe. Ouvrez l'onglet Attributions et sélectionnez Attribuer pour ajouter des utilisateurs. Okta provisionne automatiquement les utilisateurs dans Equinix .
Vérification de la réussite du provisionnement
À ce stade, Okta dispose de la configuration requise pour la gestion des comptes d'utilisateurs dans Equinix. Sélectionnez Afficher les journaux à côté du nom de l'application dans l'en-tête, ou allez à Rapports. Consultez le journal système pour visualiser les événements de provisionnement. Surveillez le cycle d'approvisionnement initial pour vérifier que la connexion fonctionne comme prévu.
