Skip to main content

Vue d'ensemble

Disponibilité limitée

La fonctionnalité de fournisseur OIDC est actuellement offerte en disponibilité limitée. L'accès est restreint à un ensemble contrôlé de clients et de cas d'utilisation. Les fonctionnalités peuvent être incomplètes, sujettes à modification et peuvent contenir des défauts. Des mesures de sécurité opérationnelles et des limites de capacité s'appliquent. En utilisant cette API, vous reconnaissez que:

  • Il est destiné uniquement à un accès anticipé et à la collecte de commentaires.
  • La disponibilité peut être limitée par la région, le segment ou des contraintes de capacité.
  • La fonctionnalité, la performance et la stabilité ne sont pas garanties à ce stade.
  • La documentation et les ressources de soutien peuvent évoluer.
  • Les commentaires fournis au cours de cette phase permettront d'apporter des améliorations avant la mise à disposition générale (GA).

Ne déployez pas ces services en production sans en comprendre les limitations. Un soutien commercial complet et des SLA seront disponibles dès la mise à disposition générale.

Le service de jetons de sécurité Equinix (STS) fournit un mécanisme de fédération d'identité sécurisé qui permet une authentification et une autorisation transparentes sur les plateformes et services Equinix.

Cela vous permet d'échanger des jetons d'identification OpenID Connect (OIDC) provenant de fournisseurs d'identité de confiance contre des jetons d'accès Equinix, utilisables pour accéder aux API et services Equinix. Ainsi, vous n'avez plus besoin de gérer des identifiants distincts pour les services Equinix si vous avez déjà un fournisseur d'identité.

Equinix applique une vérification stricte des jetons OIDC, validant l'émetteur, les revendications du public et la signature à l'aide du JWKS du fournisseur. Les jetons d'accès sont émis avec les étendues appropriées en fonction de la configuration de confiance du fournisseur d'identité et des appartenances aux groupes du principal.

Caractéristiques principales:

  • Gestion des fournisseurs d'identité et des relations de confiance: Créez, mettez à jour, suspendez, reprenez et supprimez les fournisseurs OIDC de confiance afin de contrôler quels fournisseurs d'identité et identifiants clients sont utilisés pour l'authentification.
  • Autorisation basée sur les groupes: Associer les revendications de groupe du fournisseur d’identité aux politiques d’autorisation d’Equinix.
  • Contrôle d'accès: Prise en charge du contrôle d'accès basé sur les rôles et du contrôle d'accès basé sur les attributs pour gérer les autorisations et l'accès aux services Equinix.
  • Échange de jetons: Implémenter l'échange de jetons OAuth 2.0 (RFC 8693) pour convertir les jetons d'identification OIDC en jetons d'accès Equinix.

Fédération d'identité de la charge de travail

L'utilisation d'un fournisseur OIDC sur Equinix permet de prendre en charge l'automatisation CI/CD avec une authentification basée sur l'identité à partir de plateformes telles que GitHub Actions ou Terraform Cloud.

Pour utiliser votre propre fournisseur d'identité, procédez comme suit:

  1. Depuis le projet racine, enregistrez le fournisseur OIDC (fichier create-oidc-provider.mdx) que vous utilisez. Cette opération établit une relation de confiance entre le projet racine et le fournisseur OIDC, permettant ainsi d'accéder aux jetons d'identité de ce dernier pour l'échange de jetons.
  2. Accordez l'accès aux principaux de votre fournisseur OIDC en utilisant roles ou access policies (ou les deux).
  3. Obtenez un jeton d'identité de votre fournisseur OIDC.
  4. Effectuez un échange de jetons pour obtenir un jeton porteur d'API Equinix.

Portées de contrôle d'accès

Lors d'un échange de jetons, le jeton d'accès octroie des autorisations en fonction du périmètre spécifié, qui est une combinaison de:

  • Rôles et attribution des rôles - Accorde les autorisations pour tous les rôles attribués au gestionnaire au sein d'une organisation.

  • Une seule politique d'accès nommée: accorde les autorisations de cette politique d'accès spécifique.

  • Toutes les politiques d'accès accordées au principal dans un projet - Accorde les autorisations pour toutes les politiques d'accès accordées au principal dans un projet particulier, soit par des octrois directs au principal lui-même, soit par des octrois indirects via les appartenances à un groupe de principaux fédérés.

  • Toutes les politiques d'accès accordées au principal dans une organisation - Accorde des autorisations pour toutes les politiques d'accès accordées au principal dans tous les projets de l'arborescence organisationnelle d'une organisation donnée, y compris le projet directeur de cette organisation.

Les autorisations effectives accordées par le jeton correspondent à l'union des autorisations de chaque étendue ; une action est permise si l'une des étendues l'autorise.

La validité des étendues est vérifiée. Les combinaisons suivantes constituent des étendues valides:

scope valueResulting scope type(s)
roleassignments:<org-id>Assigned roles in the organization
ern:<access-policy-ern>Single access policy
projectpolicies:<project-id>One or more access policies in a project
orgpolicies:<org-id>One or more access policies in an organization
orgpolicies:<org-id> roleassignments:<org-id>One or more access policies in an organization + Assigned roles in the organization

Échange de jetons

Pour échanger des jetons de fournisseur OIDC contre des jetons porteurs d'API Equinix, utilisez le point de terminaison /v1/token. Pour plus d'informations, consultez la section Authentification de l'API OIDC.

Cette page vous a-t-elle été utile ?