Provisionnement avec SCIM

Le système SCIM (System for Cross-domain Identity Management) permet une gestion automatisée, sécurisée et évolutive du cycle de vie des utilisateurs. Grâce aux API SCIM standardisées, les fournisseurs d'identité (IdP) peuvent créer, mettre à jour et supprimer les comptes d'utilisateurs Equinix, éliminant ainsi le provisionnement manuel et garantissant un accès cohérent et à jour sur l'ensemble des systèmes.

Une fois activée, la gestion des comptes utilisateurs basée sur SCIM remplace la gestion manuelle des profils d'utilisateurs via l'authentification unique fédérée par une automatisation par API standardisée. Les fournisseurs d'identité (IdP) créent, mettent à jour et suppriment automatiquement les comptes d'utilisateur Equinix à l'aide des API SCIM. L'authentification reste gérée par l'IdP via SAML ou OIDC.

Flux d'approvisionnement SCIM

Pour activer l'approvisionnement des utilisateurs par les appels d'API SCIM:

1. Dans le [Portail client, accédez au menu Administration et sélectionnez Gestion du compte et de la sécurité.

   remarque

   Le menu Administration est visible uniquement par les administrateurs.

2. Cliquez sur Authentification unique fédérée pour afficher l'écran des détails de la fédération. Vous pouvez aussi accéder àhttps://federation.equinix.com/ .

3. Sélectionnez l'onglet Provisionnement. Cette option sera disponible si vous avez correctement configuré une connexion fédérée et que vous êtes connecté à l'aide de l'authentification fédérée.

   

4. Cliquez sur le bouton pour activer l'API SCIM pour l'approvisionnement des profils utilisateur. L'activation des appels à l'API SCIM désactivera l'accès SSO fédéré pour vos utilisateurs. Durant ce processus, aucune autre action ne peut être effectuée sur le portail Self-Service Federation (SSF).

   

5. Le traitement peut prendre jusqu'à 5 minutes, selon le nombre d'utilisateurs de votre organisation. Une fois l'approvisionnement automatique activé, vous pouvez procéder à la configuration de l'API SCIM.

6. Pour générer un jeton d'accès à l'API SCIM, cliquez sur Générer un nouveau jeton. Vous pouvez avoir jusqu'à deux jetons simultanément. Si vous avez besoin d'un nouveau jeton, supprimez d'abord un jeton existant. Soumettez le jeton généré ainsi que l'URL du point de terminaison à votre fournisseur d'identité (IdP) pour établir la connexion.

   

7. Les détails du jeton s'afficheront. Copiez et enregistrez le jeton dans un emplacement sécurisé. Vous aurez besoin du jeton pour accéder au point de terminaison de l'API.

   

   remarque

   C'est le seul moment où les détails du jeton seront affichés. En cas de perte du jeton, vous devrez supprimer un jeton existant et en générer un nouveau.

8. Pour commencer la configuration de l'approvisionnement, survolez Configuration de l'approvisionnement pour choisir votre type d'approvisionnement.

9. Sélectionnez « Non restreint » pour provisionner tous les utilisateurs, ou « Restreindre par appartenance à un groupe » pour limiter le provisionnement à des groupes IdP spécifiques. La gestion automatisée des utilisateurs de votre environnement est ainsi finalisée.

10. Survolez une section pour la modifier ou la supprimer, ou cliquez sur Pause pour interrompre la synchronisation. Vous pouvez cliquer sur Activer en tout temps pour reprendre la synchronisation.

Configuration de l'approvisionnement basé sur les groupes

Equinix prend en charge l'approvisionnement restreint via SCIM, permettant aux organisations de limiter l'approvisionnement des utilisateurs à des groupes spécifiques de fournisseurs d'identité (IdP). Cette configuration est idéale pour les clients souhaitant un contrôle plus précis des utilisateurs provisionnés dans les systèmes Equinix.

Lors de l'activation de l'approvisionnement SCIM, vous pouvez choisir parmi les options suivantes:

• Non restreint – Tous les utilisateurs du fournisseur d'identité sont provisionnés.
• Accès restreint selon l'appartenance à un groupe – Seuls les utilisateurs appartenant aux groupes spécifiés sont pris en charge.

Pour configurer ceci, suivez ces étapes:

1. Dans la section Synchronisation de l'approvisionnement, sélectionnez la configuration d'approvisionnement appropriée.
2. Terminez la configuration de l'approvisionnement.

L'approvisionnement SCIM peut être activé ou désactivé à tout moment. Sa désactivation réinitialise complètement la configuration. N'utilisez cette option que si vous souhaitez réinitialiser ou interrompre définitivement l'approvisionnement basé sur SCIM.

Gestion de groupe SCIM pour les clients fédérés

Equinix prend en charge l'approvisionnement de groupes basé sur SCIM pour les fournisseurs d'identité fédérés (IdP), permettant ainsi aux clients de gérer les accès à l'aide de leurs structures de groupe existantes. Cela permet l'attribution de rôles, la définition du périmètre d'accès et la journalisation des audits, conformément aux hiérarchies organisationnelles.

Pour les clients ayant plusieurs organisations sous une seule connexion fédérée, la gestion des groupes SCIM permet:

• Attribution des rôles par groupe: Attribuez des rôles aux groupes de fournisseurs d’identité (groupes IdP) afin que tous les membres du groupe héritent automatiquement des autorisations.
• Prise en charge des groupes imbriqués: Equinix gère les appartenances imbriquées, permettant aux membres des groupes enfants d’hériter des autorisations du groupe parent.
• Héritage des accès au niveau de l'organisation: Les rôles attribués aux groupes au niveau d'une organisation parente peuvent s'appliquer automatiquement aux organisations enfants et à leurs ressources associées.
• Accès limité: Les affectations de groupe peuvent être limitées à des organisations ou des projets spécifiques, garantissant ainsi que les limites d’accès correspondent à votre structure interne et empêchant l’accès inter-organisationnel.
• Préservation des rôles individuels: Les utilisateurs retirés d’un groupe conservent tous les rôles qui leur ont été attribués individuellement.
• Journalisation des vérifications: Tous les événements liés au cycle de vie du groupe et les changements d’adhésion sont consignés à des fins de conformité.
• Prise en charge des points de terminaison multi-organisations: Un seul point de terminaison SCIM peut gérer plusieurs organisations à l’aide de métadonnées.

Modifier les groupes et les rôles

1. Allez au [Portail client et sélectionnez Gestion des identités et des accès dans le menu de gauche.

   

2. Sur la page Gestion des identités et des accès, choisissez Groupes dans la barre de navigation supérieure.

3. Repérez le groupe à gérer. À droite de la ligne du groupe, cliquez sur le menu Actions pour afficher ou modifier les détails du groupe.

   

4. Cliquez sur Voir les détails du groupe pour ouvrir la page Détails du groupe.

   

5. À droite de la ligne du groupe, cliquez sur Afficher les détails du rôle pour voir les informations relatives au rôle. Cliquez sur Modifier le groupe pour consulter et modifier la liste des rôles disponibles.

   

   

6. Cliquez sur Modifier le groupe pour ouvrir la page Modifier le groupe et voir les rôles disponibles. Utilisez la boîte de recherche ou filtrez par catégorie de rôle pour raffiner la liste.

   

7. Sélectionnez les rôles à ajouter au groupe en cochant les cases correspondantes. Cliquez sur Suivant.

   

8. Vérifiez et confirmez votre sélection. Les changements de rôle affectent les permissions de tous les utilisateurs du groupe. Cliquez sur Appliquer les modifications.

   

Configuration d'EntraID et d'Okta

Pour savoir comment configurer EntraID et Okta, consultez:

• Configuring Microsoft Entra ID for Equinix Federated SSO

• Configuring Okta for Equinix Federated SSO