Configuration de Microsoft Entra ID pour Equinix Federated SSO
L'intégration de services avec des fournisseurs d'identité (IdP) est une meilleure pratique établie pour améliorer la sécurité et simplifier la gestion de l'accès des utilisateurs. Equinix prend en charge l'authentification unique (SSO) basée sur SAML (./ssf.md), ce qui permet aux organisations d'authentifier les utilisateurs par le biais de leur propre IdP lorsqu'ils accèdent à Equinix. En outre, la plate-forme d'identité prend désormais en charge le provisionnement et le déprovisionnement des utilisateurs basés sur SCIM. Grâce à cette capacité, l'IdP est utilisé non seulement pour l'authentification, mais aussi pour créer et supprimer automatiquement des comptes d'utilisateurs Equinix.
L'automatisation de la gestion des utilisateurs présente plusieurs avantages, notamment une expérience utilisateur plus rationnelle, une réduction des frais administratifs, une diminution des erreurs manuelles et une meilleure application des politiques de sécurité. Utilisez Microsoft Entra ID (anciennement Azure Active Directory) avec le protocole SCIM pour automatiser le provisionnement des utilisateurs dans Equinix et centraliser la gestion des identités au sein du fournisseur d'identité.
Conditions préalables
Terminez l'intégration SSO sur le [site SSO fédéré d'Equinix] (https://federation.equinix.com). Le processus d'onboarding fournit une URL d'intégration et un jeton qui sont utilisés dans la procédure.
Si une application Entra ID Enterprise existante est utilisée pour se connecter à Equinix avec SAML, elle doit utiliser l'attribut user.mail comme identifiant unique de l'utilisateur.
Création de l'application d'entreprise
Le provisionneur est configuré à l'aide d'une application Entra ID _Enterprise. Pour configurer cette application, ouvrez le portail Azure et naviguez jusqu'à Microsoft Entra ID. Développez All Services. Sélectionnez Add, puis Enterprise application dans la liste déroulante.
Le portail affiche la galerie d'applications. Comme le service SCIM d'Equinix est actuellement en version bêta et qu'il n'est pas intégré à la galerie d'applications d'Equinix Federation App, sélectionnez Create your own application, puis Non-gallery dans la boîte de dialogue modale.
Donnez un nom d'application qui distingue son objectif, par exemple " Equinix SCIM " ou " Equinix Provisioning ". Sélectionnez l'option pour créer l'application.
Configuration des attributs de l'authentification unique
Tout fournisseur d'identité qui s'intègre à Equinix à l'aide de SAML doit transmettre l'adresse électronique de l'utilisateur comme valeur SAML NameID. Ceci peut être configuré dans Entra ID en naviguant vers Manage > Single Sign-On et en sélectionnant Edit dans la section Attributes & Claims. Définissez le champ Identifiant unique de l'utilisateur (Name ID) sur user.mail avec un format d'identifiant de nom d'adresse électronique.
La section Attributs & Claims du panneau d'authentification unique doit correspondre à l'exemple suivant.
Assurez-vous que NameID est envoyé en minuscules
Pour éviter les problèmes de provisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix traite les identifiants utilisateur en respectant la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec une casse différente (par exemple, User@Example.com et user@example.com), il peut en résulter des comptes en double, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant unique de l'utilisateur (Name ID) est normalisé en minuscules avant d'être envoyé.
- Dans l'application Entra ID, sélectionnez Single sign-on et Attributes & Claims.
- Sous Required claim, sélectionnez Unique User Identifier (Name ID).
- Sur Manage claim, sous Source, sélectionnez Transformation, puis définissez la transformation sur une valeur minuscule et enregistrez le claim.
Activation du provisionnement
Après avoir créé l'application, la page Aperçu s'affiche, avec plusieurs options disponibles dans une barre latérale de navigation. Développez le menu déroulant Gestion, sélectionnez Provisionnement, puis Commencer.
Lorsque vous êtes invité à choisir un mode de provisionnement, modifiez la valeur par défaut de Manuel à Automatique.
Développez le panneau Admin Credentials et entrez l'URL et le jeton fournis par federation.equinix.com. Utilisez l'option Tester la connexion pour vérifier que la connexion entre Entra ID et Equinix est configurée correctement. En option, développez le panneau Settings (Paramètres) sur la même page pour configurer des alertes par courriel pour les problèmes de provisionnement ou pour activer la [prévention de suppression accidentelle d'Entra ID] (https://learn.microsoft.com/en-us/entra/identity/app-provisioning/accidental-deletions?pivots=app-provisioning). Enregistrez les paramètres et revenez à la page de présentation des applications.
Configuration des mappages d'attributs
Dans la barre latérale, sélectionnez Manage, puis Provisioning. Un panneau Mappings s'affiche. Ouvrez Provision Microsoft Entra ID Groups, désactivez la case à cocher Enabled et enregistrez les paramètres. Ouvrez Provision Microsoft Entra ID Users, et configurez les mappings comme indiqué :
| Custom App Attribute | Microsoft Entra ID Attribute | Matching precedence |
|---|---|---|
| userName | 1 | |
| active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | |
| displayName | displayName | |
| externalId | mailNickname | |
| name.familyName | surname | |
| name.givenName | givenName | |
| phoneNumbers[type eq "work"].value | telephoneNumber (or 'mobile', depending on your environment) | |
| locale | preferredLanguage |
Les correspondances par défaut supplémentaires doivent être supprimées.
Désélectionnez Create, Update, ou Delete si Entra ID ne doit pas effectuer automatiquement toutes les actions sur les utilisateurs Equinix. Par exemple, pour provisionner des utilisateurs sans les déprovisionner automatiquement. Enregistrez les modifications.
Une fois la connexion établie et les mappages d'attributs configurés, retournez dans Manage > Provisioning et réglez Provisioning Status sur On.
Ajout d'utilisateurs et de groupes pour le provisionnement
À moins que tous les utilisateurs du répertoire ne soient configurés pour se synchroniser via un paramètre d'application avancé, les utilisateurs doivent être affectés à l'application avant de pouvoir être approvisionnés dans Equinix. Effectuez cette affectation dans Manage > Utilisateurs et groupes. Les utilisateurs peuvent être affectés individuellement ou par groupe (en fonction du niveau d'abonnement Azure).
Vérification de la réussite du provisionnement
À ce stade, Entra ID dispose de la configuration requise pour approvisionner et déprovisionner les utilisateurs d'Equinix. Retournez à la page d'aperçu. Après un certain temps, Entra ID tente d'approvisionner les utilisateurs assignés. Pendant le cycle de provisionnement initial, examinez les journaux pour confirmer que le processus s'est déroulé comme prévu.
Entra ID does not synchronize users immediately but runs as a periodic job (every 20-40 minutes, depending on the number of users and groups in the application, according to Microsoft). This interval is not configurable by Equinix.
Pour exécuter le provisionnement en dehors de l'intervalle prévu ou appliquer les changements immédiatement, utilisez la fonction Provision on demand d'Entra ID à partir de la page Overview de l'application. Provision on demand exécute des actions de provisionnement ou de déprovisionnement pour un utilisateur sélectionné et fournit des détails sur les actions effectuées et leurs résultats.
