Skip to main content

Vue d'ensemble

Disponibilité limitée

Les fonctionnalités de l'OIDC Provider sont actuellement proposées dans le cadre d'une disponibilité limitée. L'accès est limité à un ensemble contrôlé de clients et de cas d'utilisation. Les fonctionnalités peuvent être incomplètes, sujettes à des changements, et peuvent contenir des défauts. Des garanties opérationnelles et des limites de capacité s'appliquent. En utilisant cette API, vous reconnaissez que :

  • Il s'agit d'un accès anticipé et d'un retour d'information uniquement.
  • La disponibilité peut être limitée par la région, le segment ou les contraintes de capacité.
  • La fonctionnalité, les performances et la stabilité ne sont pas garanties à ce stade.
  • La documentation et les ressources d'assistance peuvent évoluer.
  • Les commentaires fournis au cours de cette phase permettront d'apporter des améliorations avant la mise à disposition générale (GA).

Ne déployez pas ces services dans des environnements de production sans comprendre ces limitations. Un support commercial complet et des accords de niveau de service seront disponibles lors de l'AG.

Le Security Token Service (STS) d'Equinix est un mécanisme de fédération d'identités sécurisé qui permet une authentification et une autorisation transparentes sur les plateformes et services Equinix.

Cela vous permet d'échanger des jetons d'identification OpenID Connect (OIDC) provenant de fournisseurs d'identité de confiance contre des jetons d'accès Equinix qui peuvent être utilisés pour accéder aux API et aux services Equinix. Il n'est donc plus nécessaire de gérer des identifiants distincts pour les services Equinix lorsque vous disposez déjà d'un fournisseur d'identité.

Equinix applique une vérification stricte des jetons OIDC, en validant l'émetteur, les revendications de l'audience et la validation de la signature à l'aide de la JWKS du fournisseur. Les jetons d'accès sont émis avec des portées appropriées en fonction de la configuration de confiance du fournisseur d'identité et de l'appartenance du principal à un groupe.

Caractéristiques principales :

  • Fournisseur d'identité et gestion des relations de confiance: Créez, mettez à jour, suspendez, reprenez et supprimez les fournisseurs OIDC de confiance afin de contrôler les fournisseurs d'identité et les identifiants de clients auxquels on fait confiance pour l'authentification.
  • Autorisation basée sur le groupe: Mettez en correspondance les réclamations de groupe des fournisseurs d'identité avec les politiques d'autorisation d'Equinix.
  • Contrôle d'accès: Prise en charge du contrôle d'accès basé sur les rôles et du contrôle d'accès basé sur les attributs pour gérer les autorisations et l'accès aux services Equinix.
  • Échange de jetons: Mise en œuvre de l'échange de jetons OAuth 2.0 (RFC 8693) pour convertir les jetons d'identification OIDC en jetons d'accès Equinix.

Fédération d'identité de charge de travail

L'utilisation d'un fournisseur OIDC sur Equinix permet de prendre en charge l'automatisation CI/CD avec une authentification basée sur l'identité à partir de plateformes telles que GitHub Actions ou Terraform Cloud.

Pour utiliser votre propre fournisseur d'identité, procédez comme suit :

  1. Depuis le projet racine, enregistrez le fournisseur OIDC que vous utilisez. Cette opération crée une relation de confiance entre le projet racine et le fournisseur OIDC de sorte que les jetons d'identité du fournisseur OIDC sont accessibles pour l'échange de jetons.
  2. Accordez l'accès aux mandants de votre fournisseur OIDC en utilisant roles ou access policies (ou les deux).
  3. Obtenez un jeton d'identité auprès de votre fournisseur OIDC.
  4. Effectuez un échange de jeton pour obtenir un jeton porteur API Equinix.

Champs d'application du contrôle d'accès

Lors d'un échange de jetons, le jeton d'accès accorde des autorisations en fonction de l'étendue spécifiée, qui est une combinaison de :

  • Rôles et attributions de rôles - Permet d'accorder des autorisations pour tous les rôles attribués au mandant au sein d'une organisation.

  • Une seule politique d'accès nommée - accorde les permissions de cette politique d'accès spécifique.

  • Toutes les politiques d'accès accordées au principal dans un projet - Accorde des autorisations pour toutes les politiques d'accès accordées au principal dans un projet particulier, soit par des autorisations directes au principal lui-même, soit par des autorisations indirectes via l'appartenance à un groupe d'un principal fédéré.

  • All Access Policies granted to the principal in an Organization - Accorde des autorisations pour toutes les politiques d'accès accordées au principal dans tous les projets de l'arborescence d'une organisation donnée, y compris le projet directeur de cette organisation.

Les autorisations effectives accordées par le jeton sont l'union des autorisations de chaque champ d'application ; une action est autorisée si l'un des champs d'application l'autorise.

La validité des champs d'application est vérifiée. Les combinaisons suivantes sont des champs d'application valides :

scope valueResulting scope type(s)
roleassignments:<org-id>Assigned roles in the organization
ern:<access-policy-ern>Single access policy
projectpolicies:<project-id>One or more access policies in a project
orgpolicies:<org-id>One or more access policies in an organization
orgpolicies:<org-id> roleassignments:<org-id>One or more access policies in an organization + Assigned roles in the organization

Échange de jetons

Pour échanger des jetons de fournisseur OIDC contre des jetons de porteur API Equinix, utilisez le point de terminaison /v1/token. Pour plus d'informations, consultez OIDC API Authentication.

Cette page vous a-t-elle été utile ?