Configuration d'Okta pour Equinix Federated SSO
L'intégration des services avec les fournisseurs d'identité (IdP) est devenue une pratique courante pour les entreprises souhaitant optimiser leur sécurité et simplifier la gestion des accès aux utilisateurs. La prise en charge de l'authentification unique (SSO) basée sur SAML (via votre propre IdP pour vous connecter à Equinix) est maintenant disponible. Nous sommes heureux d'annoncer la disponibilité d'une version bêta de la toute nouvelle fonctionnalité de notre plateforme d'identité: la prise en charge de la création et de la suppression des comptes d'utilisateurs via SCIM. Votre IdP ne sera donc plus seulement un élément du processus de connexion, mais directement responsable de la création et de la suppression des comptes d'utilisateurs Equinix.
L'automatisation de la gestion des utilisateurs présente de nombreux avantages pour votre entreprise: une expérience simplifiée, une réduction de la charge informatique, une diminution du taux d'erreurs et une meilleure capacité à garantir la conformité aux politiques de sécurité. Ce guide vous guidera dans l'automatisation du provisionnement des utilisateurs dans Equinix avec Okta grâce au protocole SCIM.
Conditions préalables
Ce guide suppose que vous avez terminé la procédure d'intégration SSO sur le site [Equinix Federated SSO. Cette procédure vous fournira une URL d'intégration et un jeton, qui seront utilisés dans ce guide.
Création de l'application
L'approvisionneur sera configuré à l'aide d'une application Okta. Pour ce faire, ouvrez la console d'administration Okta et sélectionnez « Applications » dans la barre latérale. Cliquez ensuite sur « Parcourir le catalogue d'applications ». En version bêta, le service SCIM d'Equinix n'est pas intégré au catalogue du Equinix Customer Portal . Recherchez donc « Gouvernance avec SCIM » et sélectionnez « (Jeton porteur OAuth) Gouvernance avec SCIM 2.0 » et « Ajouter une intégration ».
L'application peut porter un nom qui l'identifie raisonnablement, comme « Equinix» ou « Equinix Provisioning ». Dans les Options de connexion, les champs SAML de cette application SCIM peuvent être renseignés si cette application est également utilisée pour la connexion. Cependant, le format du nom d'utilisateur de l'application sous Informations d'identification doit être défini sur « E-mail » (et si une autre application Okta est utilisée pour l'authentification unique SAML avec Equinix, celle-ci doit également être définie sur « E-mail »). Cliquez sur « Terminé » pour créer l'application.
Assurez-vous que NameID soit envoyé en minuscules
Pour éviter les problèmes d'approvisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix Metal traite les identifiants utilisateur en fonction de la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec des casses différentes (par exemple, User@Example.com et user@example.com), cela peut entraîner des comptes dupliqués, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant utilisateur unique (NameID) est normalisé en minuscules avant d'être envoyé.
- Dans la console d'administration Okta, accédez à Applications.
- Dans la section Paramètres SAML, cliquez sur Modifier pour configurer SAML.
- Définissez Nom d'utilisateur de l'application à Personnalisé et entrez une expression en minuscules.
Configuration du provisionnement
Une fois l'application créée, Okta vous redirigera vers son panneau de gestion. Ouvrez la section « Provisionnement » dans la barre d'onglets et cliquez sur « Configurer l'intégration API ». Saisissez l'URL et le jeton fournis par federation.equinix.com, puis testez les identifiants. Enregistrez les modifications.
Remarque: Le service SCIM d’Equinix ne prend pas en charge la gestion des groupes pour le moment, mais prévoit de le faire ultérieurement. Si vous voulez que les groupes Equinix soient pris en compte dans Okta, vous pouvez activer la fonction [Importer les groupes.
Activation du provisionnement
Une fois les identifiants configurés, revenez à l'onglet « Provisionnement » et sélectionnez « Vers l'application ». Cliquez sur « Modifier » pour rendre les cases modifiables, puis activez « Créer des utilisateurs », « Mettre à jour les attributs utilisateur » et « Désactiver des utilisateurs ». Assurez-vous que le nom d'utilisateur par défaut est « E-mail ».
Configuration des mappages d'attributs
Dans la section « Vers l'application », configurez les mappages des attributs Okta avec les attributs utilisateur Equinix . Configurez les mappages comme indiqué:
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
Notez que primaryPhoneType est défini sur work en sélectionnant « Même valeur pour tous les utilisateurs ».
Les mappages par défaut supplémentaires doivent être supprimés ou non mappés.
Ajout d'utilisateurs et de groupes pour le provisionnement
Les utilisateurs peuvent être affectés à l'application pour le provisionnement, individuellement ou par groupe. Ouvrez l'onglet « Affectations » et cliquez sur le bouton « Attribuer » pour ajouter des utilisateurs à l'application. Okta devrait commencer immédiatement le provisionnement des utilisateurs dans Equinix .
Vérification du provisionnement réussi
À ce stade, Okta devrait disposer de toute la configuration nécessaire pour provisionner et déprovisionner les utilisateurs dans Equinix. Cliquez sur « Afficher les journaux » à côté du nom de l'application dans l'en-tête, ou accédez à « Rapports », puis « Journal système » pour consulter les événements de provisionnement. Il est conseillé de surveiller le premier provisionnement après la configuration afin de garantir le bon fonctionnement de la connexion.
Conclusion
Vous avez configuré Okta pour automatiser vos tâches de gestion des utilisateurs avec le protocole SCIM. Cela simplifiera votre processus de connexion et renforcera la sécurité en conservant la gestion des identités au sein du fournisseur d'identité.