Fournisseurs de l'OIDC

Lorsque vous créez un fournisseur OIDC, vous spécifiez les ressources qu'Equinix utilise pour établir des relations de confiance avec votre fournisseur.

Un fournisseur OIDC se compose de :

• Nom - Un nom convivial pour le fournisseur.

• Issuer Location - URL de l'emplacement de l'émetteur de l'OIDC. Cette URL est utilisée pour obtenir la configuration du fournisseur OpenID, qui comprend l'URL du JWKS où ses clés publiques peuvent être obtenues.

• IDP Prefix - Utilisé pour créer un IDP unique pour le fournisseur OIDC. Le préfixe IDP ne peut pas être le même que celui d'un enregistrement de fournisseur OIDC existant, suspendu ou non suspendu, pour ce projet.

• Trusted Client IDs - Indiquez les clients OAuth 2.0 qui peuvent échanger des jetons d'identité contre des jetons d'accès à l'API Equinix. La valeur de l'audience (aud) d'un jeton d'identité OIDC est vérifiée par rapport à la liste des ID de clients de confiance pendant l'échange de jetons.

• Group Membership Claim - (optionnel) Nom de la revendication dans les jetons d'identification fournis par cet émetteur d'OIDC contenant les appartenances à un groupe d'un mandant, à des fins d'autorisation. La valeur de la revendication d'appartenance à un groupe dans un jeton d'identification doit être un tableau de chaînes, où chaque chaîne est un identifiant unique et non réassignable pour un groupe. Lorsque cette propriété n'est pas définie, aucune demande de ce fournisseur n'est traitée comme une demande d'appartenance à un groupe.

Créer un fournisseur OIDC

Utilisez le portail client ou l'API Equinix pour créer un fournisseur OIDC dans Equinix. Vous devez être administrateur d'entreprise.

Portal

1. Connectez-vous au [Portail client --> Identity and Access Management.

2. Ouvrez l'onglet OIDC Providers.

3. Cliquez sur Create OIDC Provider.

   

4. Sur la page Create OIDC Provider, indiquez :

   • un nom pour le fournisseur
   • votre URL de localisation de l'émetteur OIDC
   • IDP Préfixe permettant de créer un identifiant unique pour le fournisseur d'identité.
   • les identifiants des clients de confiance autorisés à échanger des jetons d'identité. Saisissez un ID dans le champ et cliquez sur +.
   • a Group Membership Claim (optionnel).

   

5. Cliquez sur Create OIDC Provider.

API

Pour enregistrer un fournisseur OIDC, envoyez une demande POST au point de terminaison /v1/projects/{projectId}/oidcProviders. Spécifiez le projet dans le chemin de la demande.

Spécifiez un nom convivial et lisible par l'homme ainsi que votre émetteur OIDC et les détails d'authentification pour issuerLocation, idpPrefix, trustedClientIds, et optionnellement groupMembershipClaim dans le corps de la demande.

Exemple de requête cURL :

curl -X POST 'https://sts.eqix.equinix.com/v1/projects/{projectId}/oidcProviders' \
-H 'content-type: application/json' \
-H 'authorization: Bearer <token>' \
-d '{
    "name": "<string>",
    "trustedClientIds": [
        "<string>"
    ],
    "groupMembershipClaim": "<string>",
    "issuerLocation": "<oidc_url>",
    "idpPrefix": "<string>"
}'

Utiliser votre fournisseur OIDC

Une fois que vous avez enregistré un fournisseur OIDC, accordez et gérez l'accès à votre infrastructure Equinix à l'aide de Access Policies ou de Roles.

Utilisez ensuite le point de terminaison /v1/token pour demander des jetons de support à utiliser lors de l'appel de l'API d'Equinix. Pour plus d'informations, consultez OIDC API Authentication.