Configuration de Microsoft Entra ID pour Equinix Federated SSO
L'intégration des services avec les fournisseurs d'identité (IdP) est devenue une pratique courante pour les entreprises souhaitant optimiser leur sécurité et simplifier la gestion des accès aux utilisateurs. La prise en charge de l'authentification unique (SSO) basée sur SAML (via votre propre IdP pour vous connecter à Equinix) est maintenant disponible. Nous sommes heureux d'annoncer la disponibilité d'une version bêta de la toute nouvelle fonctionnalité de notre plateforme d'identité: la prise en charge de la création et de la suppression des comptes d'utilisateurs via SCIM. Votre IdP ne sera donc plus seulement un élément du processus de connexion, mais directement responsable de la création et de la suppression des comptes d'utilisateurs Equinix.
L'automatisation de la gestion des utilisateurs présente de nombreux avantages pour votre entreprise: une expérience simplifiée, une charge informatique réduite, un taux d'erreurs réduit et une meilleure capacité à garantir la conformité aux politiques de sécurité. Ce guide vous guidera dans l'automatisation du provisionnement des utilisateurs dans Equinix avec Microsoft Entra ID (anciennement Azure Active Directory) grâce au protocole SCIM.
Conditions préalables
Ce guide suppose que vous avez terminé la procédure d'intégration SSO sur le site [Equinix Federated SSO. Cette procédure vous fournira une URL d'intégration et un jeton, qui seront utilisés dans ce guide.
Si vous disposez d'une application Entra ID Enterprise existante pour vous connecter à Equinix avec SAML, nous supposons qu'elle utilise l'attribut user.mail comme identifiant utilisateur unique.
Création de l'application d'entreprise
Le provisionneur sera configuré à l'aide d'une application d'entreprise Entra ID. Pour configurer cette application, ouvrez le portail Azure et accédez à Microsoft Entra ID (vous devrez peut-être développer « Tous les services »). Un bouton « Ajouter » se trouve en haut du portail ; il ouvre une liste déroulante dans laquelle vous pouvez sélectionner « Application d'entreprise ».
Azure vous invitera à sélectionner l'application à intégrer et vous présentera une galerie. En version bêta, le service SCIM d'Equinix n'est pas intégré à la galerie d'applications Equinix Federation. Vous devrez donc cliquer sur « Créer votre propre application » en haut de la page, puis sélectionner « Hors galerie » dans la boîte de dialogue. Le nom de l'application peut être un nom qui en distingue clairement l'objectif, comme « Equinix SCIM » ou « Equinix Provisioning ». Cliquez sur le bouton pour créer l'application.
Configuration des attributs d'authentification unique
Tout fournisseur d'identité s'intégrant à Equinix via SAML doit transmettre l'adresse courriel de l'utilisateur comme valeur NameID SAML. Cette configuration s'effectue dans Entra ID, en accédant à Gérer, Authentification unique et en cliquant sur Modifier dans la section Attributs et revendications. Le champ Identifiant unique de l'utilisateur (Nom ID) doit être défini sur user.mail avec un format d'identifiant de nom correspondant à une adresse e-mail.
La section Attributs et revendications de votre panneau d’authentification unique doit correspondre à l’exemple suivant.
Assurez-vous que NameID soit envoyé en minuscules
Pour éviter les problèmes d'approvisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix Metal traite les identifiants utilisateur en fonction de la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec des casses différentes (par exemple, User@Example.com et user@example.com), cela peut entraîner des comptes dupliqués, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant utilisateur unique (NameID) est normalisé en minuscules avant d'être envoyé.
- Dans l'application Entra ID, sélectionnez Authentification unique et Attributs et revendications.
- Sous Obligatoire, sélectionnez Identifiant unique de l'utilisateur (ID du nom).
- Dans la section Gérer la revendication, sous Source, sélectionnez Transformation, puis définissez la transformation sur une valeur en minuscules et enregistrez la revendication.
Activation du provisionnement
Après avoir créé l'application, vous devriez accéder à sa page d'aperçu, avec plusieurs options disponibles dans la barre de navigation latérale. Développez le menu déroulant « Gérer », ouvrez « Provisionnement » et sélectionnez « Commencer ».
Entra ID vous demandera de choisir un mode d'approvisionnement, qui est par défaut manuel. Choisissez-le automatiquement.
Développez le panneau « Informations d'identification d'administrateur » et entrez l'URL et le jeton fournis par federation.equinix.com. Utilisez la fonction « Tester la connexion » pour vérifier que les informations de connexion entre Entra ID et Equinix sont correctement configurées. Vous pouvez également développer le panneau « Paramètres » sur cette même page si vous souhaitez configurer des alertes par courriel en cas de problème d'approvisionnement ou activer la [fonction de prévention des suppressions accidentelles d'Entra ID. Sauvegardez les paramètres et retournez à la page d'aperçu des applications.
Configuration des mappages d'attributs
Dans la barre latérale, cliquez sur Gérer, puis à nouveau sur Provisionnement. Un nouveau panneau, intitulé « Mappings », apparaît. Ouvrez « Provisionner les groupes d'identifiants Microsoft Entra », désactivez l'option « Activé » et enregistrez les paramètres (la fonctionnalité de groupe Equinix sera disponible dans une prochaine mise à jour SCIM). Ouvrez « Provisionner les utilisateurs d'identifiants Microsoft Entra » et configurez les mappages comme indiqué:
| Custom App Attribute | Microsoft Entra ID Attribute | Matching precedence |
|---|---|---|
| userName | 1 | |
| active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | |
| displayName | displayName | |
| externalId | mailNickname | |
| name.familyName | surname | |
| name.givenName | givenName | |
| phoneNumbers[type eq "work"].value | telephoneNumber (or 'mobile', depending on your environment) | |
| locale | preferredLanguage |
Les mappages par défaut supplémentaires doivent être supprimés.
Vous pouvez décocher « Créer », « Mettre à jour » ou « Supprimer » si vous ne souhaitez pas qu'Entra ID effectue automatiquement toutes ces actions sur les utilisateurs Equinix (par exemple, si vous souhaitez uniquement provisionner des utilisateurs sans les déprovisionner automatiquement). Enregistrez les modifications.
Enfin, une fois la connexion établie et les mappages d'attributs définis, vous pouvez revenir à Gérer, Provisionnement et activer l'état de provisionnement.
Ajout d'utilisateurs et de groupes pour le provisionnement
Sauf si vous avez choisi de synchroniser tous les utilisateurs de l'annuaire dans les paramètres avancés de l'application, les utilisateurs doivent d'abord être affectés à l'application pour être provisionnés dans Equinix. Cette affectation s'effectue dans Gérer, Utilisateurs et groupes. Les utilisateurs peuvent être affectés individuellement ou par groupe (selon votre niveau d'abonnement Azure).
Vérification de la réussite du provisionnement
À ce stade, Entra ID devrait disposer de toute la configuration nécessaire pour provisionner et déprovisionner les utilisateurs dans Equinix. Vous pouvez revenir à la page d'aperçu. Après un certain temps, Entra ID tentera de provisionner les utilisateurs attribués. Lors de la première provision, vous pouvez consulter les journaux pour vous assurer que le processus s'est déroulé comme prévu.
Entra ID ne synchronise pas les utilisateurs immédiatement ; il fonctionne de manière périodique (« toutes les 20 à 40 minutes, selon le nombre d'utilisateurs et de groupes dans l'application », selon Microsoft). Equinix ne peut pas configurer cette fonction. Si vous souhaitez exécuter un test de provisionnement plus tôt que l'intervalle périodique, ou si vous souhaitez qu'une modification soit effectuée immédiatement, vous pouvez utiliser la fonctionnalité « Provisionnement à la demande » d'Entra ID depuis la page d'aperçu de l'application. La fonctionnalité « Provisionnement à la demande » exécute immédiatement toutes les actions qui se produiraient pour un utilisateur donné (provisionnement ou déprovisionnement) et fournit également des détails supplémentaires sur les actions effectuées et leur succès.
Conclusion
Vous avez configuré Entra ID pour automatiser vos tâches de gestion des utilisateurs avec le protocole SCIM. Cela simplifiera votre processus de connexion et renforcera la sécurité en conservant la gestion des identités au sein du fournisseur d'identité.