Approvisionnement avec le SCIM

System for Cross-domain Identity Management (SCIM) permet une gestion automatisée, sécurisée et évolutive du cycle de vie des utilisateurs. En exploitant les API SCIM normalisées, les fournisseurs d'identité (IdP) peuvent créer, mettre à jour et supprimer des comptes utilisateur Equinix, ce qui élimine le provisionnement manuel et garantit un accès cohérent et actualisé dans tous les systèmes.

Lorsqu'il est activé, le provisionnement basé sur le SCIM remplace la gestion manuelle du profil de l'utilisateur via le SSO fédéré par une automatisation API standardisée. Les fournisseurs d'identité (IdP) créent, mettent à jour et suppriment automatiquement les comptes utilisateur Equinix à l'aide des API SCIM. L'authentification continue d'être gérée par l'IdP via SAML ou OIDC.

Flux de provisionnement SCIM

Pour permettre le provisionnement des utilisateurs via les appels API SCIM :

1. Dans le [Customer Portal, accédez au menu Administration et sélectionnez Account and Security Management.

   note

   Le menu Administration n'est visible que par les administrateurs.

2. Cliquez sur Federated Single Sign-On pour afficher l'écran des détails de la fédération. Vous pouvez également vous rendre sur https://federation.equinix.com/.

3. Sélectionnez l'onglet Provisionnement. Cette option sera disponible si vous avez configuré avec succès une connexion fédérée et si vous vous êtes connecté à l'aide de l'authentification fédérée.

   

4. Cliquez sur le bouton pour activer l'API SCIM pour le provisionnement des profils d'utilisateurs. L'activation des appels API SCIM désactivera l'accès SSO fédéré pour vos utilisateurs. Pendant ce processus, aucune autre action ne peut être effectuée dans le portail Self-Service Federation (SSF).

   

5. Le temps de traitement peut prendre jusqu'à 5 minutes, en fonction du nombre d'utilisateurs dans votre organisation. Une fois le provisionnement automatique activé avec succès, vous pouvez procéder à la configuration de l'API SCIM.

6. Pour générer un jeton d'accès à l'API SCIM, cliquez sur Generate New Token. Vous pouvez avoir jusqu'à deux tokens à la fois. Si vous avez besoin d'un nouveau token, supprimez d'abord le token existant. Soumettez le jeton généré ainsi que l'URL du point final à votre fournisseur d'identité (IdP) pour établir la connexion.

   

7. Les détails du jeton s'affichent. Copiez et enregistrez le jeton dans un endroit sûr. Vous aurez besoin du jeton pour accéder au point de terminaison de l'API.

   

   note

   C'est la seule fois où les détails du jeton seront affichés. Si vous perdez le jeton, vous devrez supprimer un jeton existant et en régénérer un nouveau.

8. Pour commencer la configuration du provisionnement, allez sur Provisioning Setup pour choisir votre type de provisionnement.

9. Sélectionnez Not restricted pour provisionner tous les utilisateurs, ou Restrict by group membership pour limiter le provisionnement à des groupes IdP spécifiques. Ceci finalise la gestion automatisée des utilisateurs pour votre environnement.

10. Survolez une section pour la modifier ou la supprimer, ou cliquez sur Pause pour arrêter la synchronisation. Vous pouvez cliquer sur Activer à tout moment pour reprendre la synchronisation.

Configuration du provisionnement basé sur les groupes

Equinix prend en charge le provisionnement restreint à l'aide de SCIM en permettant aux organisations de limiter le provisionnement des utilisateurs à des groupes de fournisseurs d'identité (IdP) spécifiques. Cette configuration est idéale pour les clients qui souhaitent exercer un contrôle plus fin sur les utilisateurs provisionnés dans les systèmes Equinix.

Lorsque vous activez le provisionnement SCIM, vous avez le choix entre les options suivantes :

• Non restreint - Tous les utilisateurs de l'IdP sont provisionnés.
• Restricted by group membership - Seuls les utilisateurs appartenant aux groupes spécifiés sont provisionnés.

Pour configurer ceci, suivez les étapes suivantes :

1. Dans la section Provisioning Synchronization, sélectionnez la configuration de provisionnement appropriée.
2. Complétez la configuration de l'approvisionnement.

Le provisionnement SCIM peut être activé ou désactivé à tout moment. La désactivation du provisionnement SCIM réinitialise entièrement la configuration. N'utilisez cette option que si vous avez l'intention de réinitialiser complètement ou d'interrompre le provisionnement basé sur le SCIM.

Gestion de groupe SCIM pour les clients fédérés

Equinix prend en charge le provisionnement de groupe basé sur SCIM pour les fournisseurs d'identité fédérés (IdP), ce qui permet aux clients de gérer l'accès à l'aide de leurs structures de groupe existantes. Cela permet d'attribuer des rôles, de délimiter l'accès et de consigner les audits en fonction des hiérarchies organisationnelles.

Pour les clients ayant plusieurs organisations sous une seule connexion fédérée, la gestion de groupe SCIM permet :

• Attribution de rôles par groupe: Attribuez des rôles aux groupes de fournisseurs d'identité (groupes IdP) afin que tous les membres du groupe héritent automatiquement des autorisations.
• Prise en charge des groupes imbriqués: Equinix résout les adhésions imbriquées, ce qui permet aux membres des groupes enfants d'hériter des autorisations du groupe parent.
• Héritage d'accès au niveau de l'organisation: Les rôles attribués aux groupes au niveau de l'organisation mère peuvent s'appliquer automatiquement aux organisations filles et à leurs ressources associées.
• Accès limité: Les affectations de groupe peuvent être limitées à des organisations ou à des projets spécifiques, ce qui permet d'aligner les limites d'accès sur votre structure interne et d'empêcher l'accès à d'autres organisations.
• Préservation des rôles individuels: Les utilisateurs retirés d'un groupe conservent les rôles qui leur ont été attribués individuellement.
• Journalisation des audits: Tous les événements du cycle de vie du groupe et les changements de membres sont enregistrés pour assurer la conformité.
• Prise en charge de points d'extrémité multi-organes: Un seul point d'extrémité SCIM peut gérer plusieurs organisations à l'aide de métadonnées.

Modifier les groupes et les rôles

1. Allez sur le [Customer Portal et sélectionnez Identity & Access Management dans le menu de gauche.

   

2. Dans la page Identity and Access Management, choisissez Groups dans la barre de navigation supérieure.

3. Localisez le groupe à gérer. Sur le côté droit de la ligne du groupe, cliquez sur le menu d'actions pour afficher ou modifier les détails du groupe.

   

4. Cliquez sur Voir les détails du groupe pour ouvrir la page Détails du groupe.

   

5. Sur le côté droit de la ligne du groupe, cliquez sur View Role Details pour voir les informations sur le rôle. Cliquez sur Edit Group pour consulter et modifier la liste des rôles disponibles.

   

   

6. Cliquez sur Edit Group pour ouvrir la page Edit Group et passer en revue les rôles disponibles. Utilisez le champ de recherche ou le filtre par catégorie de rôle pour réduire la liste.

   

7. Sélectionnez les rôles à ajouter au groupe en cochant leurs cases. Cliquez sur Next.

   

8. Vérifiez et confirmez votre sélection. Les modifications de rôle affectent les autorisations de tous les utilisateurs du groupe. Cliquez sur Appliquer les modifications.

   

Configuration d'EntraID et d'Okta

Pour savoir comment configurer EntraID et Okta, reportez-vous à :

• Configuring Microsoft Entra ID for Equinix Federated SSO

• Configuring Okta for Equinix Federated SSO