Configuration d'Okta pour le SSO fédéré d'Equinix
L'intégration de services avec des fournisseurs d'identité (IdP) est une meilleure pratique établie pour améliorer la sécurité et simplifier la gestion de l'accès des utilisateurs. Equinix prend en charge l'authentification unique (SSO) basée sur SAML (./ssf.md), ce qui permet aux organisations d'authentifier les utilisateurs par le biais de leur propre IdP lorsqu'ils accèdent à Equinix. En outre, la plate-forme d'identité prend désormais en charge le provisionnement et le déprovisionnement des utilisateurs basés sur SCIM. Grâce à cette capacité, l'IdP est utilisé non seulement pour l'authentification, mais aussi pour créer et supprimer automatiquement des comptes d'utilisateurs Equinix.
L'automatisation de la gestion des utilisateurs présente plusieurs avantages, notamment une expérience utilisateur plus rationnelle, une réduction des frais administratifs, une diminution des erreurs manuelles et une meilleure application des politiques de sécurité. Utilisez Okta avec le protocole SCIM pour automatiser le provisionnement des utilisateurs dans Equinix et centraliser la gestion des identités au sein du fournisseur d'identité.
Conditions préalables
Terminez l'intégration SSO sur le [site SSO fédéré d'Equinix] (https://federation.equinix.com). Le processus d'onboarding fournit une URL d'intégration et un jeton qui sont utilisés dans la procédure.
Création de l'application
Le provisionneur est configuré à l'aide d'une application Okta. Pour le configurer, ouvrez la console d'administration Okta et sélectionnez Applications dans la barre latérale. Sélectionnez Browse App Catalog. Recherchez Governance with SCIM et sélectionnez (OAuth Bearer Token) Governance with SCIM 2.0, puis sélectionnez Add Integration.
Donnez un nom d'application qui identifie son objectif, tel que "Equinix" ou "Equinix Provisioning". Sous Sign-On Options, les champs SAML pour cette application SCIM peuvent être configurés si l'application est également utilisée pour le flux de connexion. Le format du nom d'utilisateur de l'application sous Credentials Details doit être défini sur Email (et si une autre application Okta est utilisée pour le SAML SSO vers Equinix, cette application doit également être définie sur Email). Sélectionnez Done pour créer l'application.
Assurez-vous que NameID est envoyé en minuscules
Pour éviter les problèmes de provisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix traite les identifiants utilisateur en respectant la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec une casse différente (par exemple, User@Example.com et user@example.com), il peut en résulter des comptes en double, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant unique de l'utilisateur (Name ID) est normalisé en minuscules avant d'être envoyé.
- Dans la console d'administration Okta, allez dans Applications.
- Dans la section SAML Settings, cliquez sur Edit pour configurer SAML.
- Réglez Nom d'utilisateur de l'application sur Personnalisé et saisissez une expression en minuscules.
Configuration du provisionnement
Une fois l'application créée, le panneau de gestion de l'application s'affiche. Ouvrez la barre de section Provisioning et sélectionnez Configure API Integration. Saisissez l'URL et le jeton fournis par federation.equinix.com et testez les informations d'identification. Enregistrez les modifications.
Pour refléter les groupes Equinix dans Okta, activez l'option [Import Groups] (https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-import-groups-app-provisioning.htm).
Activation du provisionnement
Une fois les informations d'identification configurées, retournez à l'onglet Provisionnement et sélectionnez To App. Sélectionnez Edit pour activer les cases à cocher. Activez les cases Créer des utilisateurs, Mettre à jour les attributs de l'utilisateur et Désactiver les utilisateurs. Assurez-vous que le nom d'utilisateur par défaut est défini sur Email.
Configuration des mappages d'attributs
Dans la section To App, configurez les correspondances entre les attributs Okta et les attributs utilisateur Equinix. Configurez les mappages comme indiqué :
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
Notez que primaryPhoneType est réglé sur work en sélectionnant "Same value for all users".
Les mappages par défaut supplémentaires doivent être supprimés ou désapprouvés.
Ajout d'utilisateurs et de groupes pour le provisionnement
Affectez des utilisateurs à l'application, individuellement ou par groupe. Ouvrez l'onglet Assignments et sélectionnez Assign pour ajouter des utilisateurs. Okta provisionne automatiquement les utilisateurs dans Equinix.
Vérification de la réussite du provisionnement
À ce stade, Okta dispose de la configuration requise pour approvisionner et déprovisionner les utilisateurs d'Equinix. Sélectionnez View Logs à côté du nom de l'application dans l'en-tête, ou accédez à Reports > System Log pour voir les événements de provisionnement. Surveillez le cycle de provisionnement initial pour confirmer que la connexion fonctionne comme prévu.
