Configuration de Microsoft Entra ID pour Equinix Federated SSO
L'intégration de services avec des Identity Providers (IdP) est devenue une pratique exemplaire pour les entreprises qui cherchent à optimiser leur sécurité et à rationaliser la gestion de l'accès des utilisateurs. La prise en charge par Equinix du SAML-based SSO (utilisation de votre propre IdP pour vous connecter à Equinix) est généralement disponible et, pour l'accompagner, nous sommes heureux d'annoncer une version bêta **** de la toute dernière fonctionnalité de notre plate-forme d'identité : la prise en charge du provisionnement et du déprovisionnement des utilisateurs basés sur le SCIM. Cela signifie que votre IdP ne sera pas seulement une partie du flux de connexion, mais qu'elle sera directement responsable de la création et de la suppression des comptes d'utilisateurs Equinix.
L'automatisation de la gestion des utilisateurs présente plusieurs avantages pour votre entreprise, notamment une expérience rationalisée, une réduction de la charge informatique, une réduction du taux d'erreurs et une capacité accrue à faire respecter les politiques de sécurité. Ce guide vous accompagnera dans l'automatisation du provisionnement des utilisateurs dans Equinix avec Microsoft Entra ID (anciennement Azure Active Directory) à l'aide du protocole SCIM.
Conditions préalables
Ce guide suppose que vous avez terminé l'intégration SSO sur le [site SSO fédéré d'Equinix] (https://federation.equinix.com). Le processus d'intégration SSO vous fournira une URL d'intégration et un jeton, qui seront référencés dans ce guide.
Si vous disposez d'une application Entra ID Enterprise existante pour vous connecter à Equinix avec SAML, nous supposons qu'elle utilise l'attribut user.mail comme identifiant unique de l'utilisateur.
Création de l'application d'entreprise
Le provisionneur sera configuré à l'aide d'une application Entra ID _Enterprise. Pour configurer cette application, ouvrez le portail Azure et naviguez jusqu'à Microsoft Entra ID (vous devrez peut-être développer Tous les services). Un bouton Ajouter se trouve en haut du portail et ouvre une liste déroulante dans laquelle vous pouvez sélectionner l'application Entreprise.
Azure vous demandera de sélectionner l'application avec laquelle vous souhaitez vous intégrer et vous présentera une galerie. En version bêta, le service SCIM d'Equinix n'est pas intégré à l'application de galerie Equinix Federation App. Vous devrez donc cliquer sur Créer votre propre application en haut de la page et sélectionner Non-gallery dans la boîte de dialogue modale. Le nom de l'application peut être n'importe quoi qui distingue de manière significative l'objectif de l'application, comme " Equinix SCIM " ou " Equinix Provisioning ". Cliquez sur le bouton pour créer l'application.
Configuration des attributs de l'authentification unique
Tout fournisseur d'identité qui s'intègre à Equinix à l'aide de SAML doit transmettre l'adresse électronique de l'utilisateur comme valeur SAML NameID. Vous pouvez configurer cette valeur dans Entra ID en accédant à Manage, Single Sign-On et en cliquant sur Edit dans la case Attributes & Claims (Attributs et réclamations). Le champ Identifiant unique de l'utilisateur (Name ID) doit être défini sur user.mail avec un format d'identifiant de nom d'adresse électronique.
La section Attributs & Claims de votre panneau d'authentification unique doit correspondre à l'exemple suivant.
Assurez-vous que NameID est envoyé en minuscules
Pour éviter les problèmes de provisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix Metal traite les identifiants d'utilisateur en respectant la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec une casse différente (par exemple, User@Example.com et user@example.com), il peut en résulter des comptes en double, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant unique de l'utilisateur (Name ID) est normalisé en minuscules avant d'être envoyé.
- Dans l'application Entra ID, sélectionnez Single sign-on et Attributes & Claims.
- Sous Required claim, sélectionnez Unique User Identifier (Name ID).
- Sur Manage claim, sous Source, sélectionnez Transformation, puis définissez la transformation sur une valeur minuscule et enregistrez le claim.
Activation du provisionnement
Après avoir créé l'application, vous devriez vous trouver sur la page de présentation de l'application, avec plusieurs options disponibles dans une barre latérale de navigation. Développez le menu déroulant Gérer, ouvrez Provisionnement et sélectionnez Commencer.
Entra ID vous demandera de choisir un mode d'approvisionnement, qui est par défaut Manuel. Changez-le pour Automatique.
Développez le panneau Admin Credentials et saisissez l'URL et le jeton qui vous ont été fournis par federation.equinix.com. Utilisez la fonction Tester la connexion pour vérifier que les informations de connexion entre Entra ID et Equinix sont configurées correctement. Vous pouvez également développer le panneau Paramètres sur cette même page si vous souhaitez configurer des alertes par courriel pour tout problème de provisionnement ou activer [la fonction de prévention de suppression accidentelle d'Entra ID] (https://learn.microsoft.com/en-us/entra/identity/app-provisioning/accidental-deletions?pivots=app-provisioning). Sauvegardez les paramètres et retournez à la page d'aperçu des applications.
Configuration des mappages d'attributs
Dans la barre latérale, cliquez sur Manage, puis à nouveau sur Provisioning. Un nouveau panneau apparaît, appelé Mappings. Ouvrez Provision Microsoft Entra ID Groups, désactivez la case à cocher Enabled et enregistrez les paramètres (la fonctionnalité de groupe Equinix sera disponible dans une prochaine mise à jour de SCIM). Ouvrez Provision Microsoft Entra ID Users et configurez les mappings comme indiqué :
| Custom App Attribute | Microsoft Entra ID Attribute | Matching precedence |
|---|---|---|
| userName | 1 | |
| active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | |
| displayName | displayName | |
| externalId | mailNickname | |
| name.familyName | surname | |
| name.givenName | givenName | |
| phoneNumbers[type eq "work"].value | telephoneNumber (or 'mobile', depending on your environment) | |
| locale | preferredLanguage |
Les correspondances par défaut supplémentaires doivent être supprimées.
Vous pouvez désélectionner Créer, Mettre à jour ou Supprimer si vous ne souhaitez pas qu'Entra ID effectue automatiquement toutes ces actions sur les utilisateurs Equinix - si vous souhaitez seulement approvisionner les utilisateurs mais pas les déprovisionner automatiquement, par exemple. Sauvegardez les changements.
Enfin, une fois la connexion établie et les mappages d'attributs définis, vous pouvez retourner dans Manage, Provisioning et activer le statut de provisionnement.
Ajout d'utilisateurs et de groupes pour le provisionnement
À moins que vous n'ayez choisi de synchroniser tous les utilisateurs de l'annuaire dans un paramètre avancé de l'application, les utilisateurs devront d'abord être affectés à l'application pour être provisionnés dans Equinix. Cette affectation s'effectue dans Manage, Users and groups (Gérer, Utilisateurs et groupes). Les utilisateurs peuvent être affectés individuellement ou par groupe (en fonction de votre niveau d'abonnement Azure).
Vérification de la réussite du provisionnement
À ce stade, Entra ID devrait disposer de toute la configuration nécessaire pour approvisionner et déprovisionner les utilisateurs dans Equinix. Vous pouvez retourner à la page d'aperçu. Après un certain temps, Entra ID tentera d'approvisionner les utilisateurs assignés. Lors du premier approvisionnement, vous pouvez examiner les journaux pour vous assurer que le processus s'est déroulé comme prévu.
Entra ID ne synchronise pas les utilisateurs immédiatement : il s'agit d'une tâche périodique ("toutes les 20 à 40 minutes, en fonction du nombre d'utilisateurs et de groupes dans l'application", selon Microsoft). Ceci n'est pas configurable par Equinix. Si vous souhaitez exécuter un test de provisionnement plus tôt que l'intervalle périodique, ou si vous avez besoin qu'un changement se produise immédiatement, vous pouvez utiliser la fonction Provision on demand d'Entra ID à partir de la page Overview de l'application. Provision on demand exécute toutes les actions qui se produiraient pour un utilisateur donné (provision ou déprovision) immédiatement, et fournit également des détails supplémentaires sur les actions exécutées et leur succès.
Conclusion
Vous avez configuré Entra ID pour automatiser vos tâches de gestion des utilisateurs avec le protocole SCIM. Ceci simplifiera votre flux de connexion et améliorera la sécurité en gardant la gestion de l'identité à l'intérieur du fournisseur d'identité.