Configuration d'Okta pour le SSO fédéré d'Equinix
L'intégration de services avec des Identity Providers (IdP) est devenue une pratique exemplaire pour les entreprises qui cherchent à optimiser leur sécurité et à rationaliser la gestion de l'accès des utilisateurs. La prise en charge par Equinix du SAML-based SSO (utilisation de votre propre IdP pour vous connecter à Equinix) est généralement disponible et, pour l'accompagner, nous sommes heureux d'annoncer une version bêta **** de la toute dernière fonctionnalité de notre plate-forme d'identité : la prise en charge du provisionnement et du déprovisionnement des utilisateurs basés sur le SCIM. Cela signifie que votre IdP ne sera pas seulement une partie du flux de connexion, mais qu'elle sera directement responsable de la création et de la suppression des comptes d'utilisateurs Equinix.
L'automatisation de la gestion des utilisateurs présente plusieurs avantages pour votre entreprise, notamment une expérience rationalisée, une réduction de la charge informatique, une diminution du taux d'erreurs et une capacité accrue à assurer la conformité avec les politiques de sécurité. Ce guide vous guidera dans l'automatisation du provisionnement des utilisateurs dans Equinix avec Okta à l'aide du protocole SCIM.
Conditions préalables
Ce guide suppose que vous avez terminé l'intégration SSO sur le [site SSO fédéré d'Equinix] (https://federation.equinix.com). Le processus d'intégration SSO vous fournira une URL d'intégration et un jeton, qui seront référencés dans ce guide.
Création de l'application
Le provisionneur sera configuré à l'aide d'une application Okta. Pour configurer cette application, ouvrez la console d'administration Okta et sélectionnez Applications dans la barre latérale. Cliquez sur Browse App Catalog (Parcourir le catalogue d'applications). Alors qu'il est en version bêta, le service SCIM d'Equinix n'est pas intégré à l'application de catalogue Equinix Customer Portal, recherchez donc " Governance with SCIM " et sélectionnez (OAuth Bearer Token) Governance with SCIM 2.0 et Add Integration.
L'application peut porter n'importe quel nom qui l'identifie raisonnablement, comme "Equinix" ou "Equinix Provisioning". Sous Sign-On Options (Options d'ouverture de session), les champs SAML pour cette application SCIM peuvent être remplis si cette application sera également utilisée pour le flux de connexion, mais Application username format (Format du nom d'utilisateur de l'application) sous Credentials Details (Détails des informations d'identification) doit être défini sur "Email" (et si une autre application Okta est utilisée pour l'ouverture de session SAML à Equinix, celle-ci doit également être "Email"). Cliquez sur Done (Terminé) pour créer l'application.
Assurez-vous que NameID est envoyé en minuscules
Pour éviter les problèmes de provisionnement et d'authentification, assurez-vous que l'attribut d'assertion SAML utilisé comme NameID est en minuscules. Equinix Metal traite les identifiants d'utilisateur en respectant la casse lors de l'authentification SAML et du provisionnement SCIM. Si le même identifiant est envoyé avec une casse différente (par exemple, User@Example.com et user@example.com), il peut en résulter des comptes en double, des échecs de connexion ou des erreurs de synchronisation. Pour éviter ces problèmes, assurez-vous que l'identifiant unique de l'utilisateur (Name ID) est normalisé en minuscules avant d'être envoyé.
- Dans la console d'administration Okta, allez dans Applications.
- Dans la section SAML Settings, cliquez sur Edit pour configurer SAML.
- Réglez Nom d'utilisateur de l'application sur Personnalisé et saisissez une expression en minuscules.
Configuration du provisionnement
Une fois l'application créée, Okta vous amène au panneau de gestion de l'application. Ouvrez la section Provisioning dans la barre d'onglets et cliquez sur Configure API Integration. Saisissez l'URL et le jeton qui vous ont été fournis par federation.equinix.com, puis testez les informations d'identification. Enregistrez les modifications.
Remarque : le service SCIM d'Equinix ne prend pas en charge la fonctionnalité de groupe pour le moment, mais prévoit de le faire à l'avenir. Si vous souhaitez que les groupes Equinix soient reflétés dans Okta, vous pouvez activer la [fonction d'importation de groupes] (https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-import-groups-app-provisioning.htm).
Activation du provisionnement
Une fois les informations d'identification en place, revenez à l'onglet Provisioning et sélectionnez To App. Cliquez sur Edit pour rendre les cases à cocher modifiables, et activez les options Create Users (Créer des utilisateurs), Update User Attributes (Mettre à jour les attributs des utilisateurs) et Deactivate Users (Désactiver les utilisateurs). Assurez-vous que le nom d'utilisateur par défaut est Email.
Configuration des mappages d'attributs
Dans la section To App, configurez les correspondances entre les attributs Okta et les attributs des utilisateurs Equinix. Configurez les mappages comme indiqué :
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
Notez que primaryPhoneType est réglé sur work en sélectionnant "Same value for all users".
Les mappages par défaut supplémentaires doivent être supprimés ou désapprouvés.
Ajout d'utilisateurs et de groupes pour le provisionnement
Les utilisateurs peuvent être affectés à l'application pour le provisionnement soit individuellement, soit par groupe. Ouvrez l'onglet Affectations et cliquez sur le bouton Affecter pour ajouter des utilisateurs à l'application. Okta devrait commencer à provisionner les utilisateurs dans Equinix immédiatement.
Vérification du succès du provisionnement
À ce stade, Okta devrait disposer de toute la configuration nécessaire pour approvisionner et déprovisionner les utilisateurs d'Equinix. Cliquez sur View Logs (Afficher les journaux) à côté du nom de l'application dans l'en-tête, ou accédez à Reports (Rapports), System Log (Journal du système) pour voir les événements de provisionnement. Il est conseillé de surveiller le premier approvisionnement après l'installation pour s'assurer que la connexion fonctionne correctement.
Conclusion
Vous avez configuré Okta pour automatiser vos tâches de gestion des utilisateurs avec le protocole SCIM. Cela rationalisera votre flux de connexion et améliorera la sécurité en conservant la gestion de l'identité au sein du fournisseur d'identité.