エクイニクス連携SSOのためのMicrosoft Entra IDの設定

プロバイダ（IdP）とのサービス統合は、セキュリティの向上とユーザーアクセス管理の簡素化を実現するベストプラクティスとして確立されています。エクイニクスはSAMLベースのシングルサインオン(SSO)をサポートしており、エクイニクスへのアクセス時に自社のIdPを通じてユーザーを認証できます。さらに、IDプラットフォームはSCIMベースのユーザープロビジョニングとデプロビジョニングをサポートしています。この機能により、IdPは認証だけでなく、エクイニクスのユーザーアカウントの自動作成と削除にも使用されます。

ユーザー管理を自動化することで、ユーザーエクスペリエンスの合理化、管理オーバーヘッドの削減、手作業によるエラーの減少、セキュリティポリシーの施行の改善など、いくつかのメリットが得られます。Microsoft Entra ID（旧Azure Active Directory）をSCIMプロトコルと組み合わせて使用することで、エクイニクスにおけるユーザーのプロビジョニングを自動化し、IDプロバイダー内のID管理を一元化できます。

前提条件

Equinix Federated SSOサイトでSSOオンボーディングを完了してください。オンボーディングプロセスでは、手順で使用する統合URLとトークンが提供されます。

既存のEntra IDエンタープライズアプリケーションを使用してSAMLでエクイニクスにログインする場合、その固有ユーザー識別子としてuser.mail属性を使用する必要があります。

エンタープライズ・アプリケーションの作成

プロビジョナは、Entra ID _Enterprise アプリケーションを使用して構成します。このアプリケーションを構成するには、Azure ポータルを開き、Microsoft Entra ID に移動します。すべてのサービス を展開します。Add を選択し、ドロップダウンからEnterprise application を選択します。

ポータルにはアプリケーションギャラリーが表示されます。Equinix SCIMサービスは現在ベータ版であり、Equinix Federation Appギャラリーアプリケーションと統合されていないため、Create your own application を選択し、モーダルダイアログでNon-gallery を選択します。

Equinix SCIM」や「Equinix Provisioning」など、目的を示すアプリケーション名を入力してください。アプリケーションを作成するオプションを選択します。

シングルサインオン属性の設定

SAMLを使用してエクイニクスと統合するIDプロバイダは、ユーザーのメールアドレスをSAML NameIDの値として渡す必要があります。これはEntra IDの_Manage_ > _Single Sign-On_に移動し、_Attributes & Claims_セクションでEdit 。Unique User Identifier (Name ID)] フィールドを user.mail に設定し、[Name identifier] の形式を電子メール・アドレスにします。

シングルサインオン・パネルの「Attributes & Claims（属性と請求）」セクションは、以下の例と一致している必要があります。

NameIDが小文字で送信されていることを確認してください。

プロビジョニングと認証の問題を防ぐため、NameIDとして使用されるSAMLアサーション属性が小文字形式であることを確認してください。エクイニクスは、SAML認証とSCIMプロビジョニングにおいてユーザー識別子の大文字と小文字を区別します。同じ識別子が異なる大文字と小文字（User@Example.comとuser@example.comなど）で送信されると、アカウントの重複、ログインの失敗、同期エラーの原因となります。このような問題を回避するには、一意のユーザー識別子（Name ID）を小文字に正規化してから送信するようにしてください。

1. Entra IDアプリケーションで、_Single sign-on_と_Attributes & Claims_を選択します。
2. 必要なクレーム_]で、[固有のユーザー識別子（ネームID）_]を選択します。
3. Manage claimで_Source_の下にある_Transformation_を選択し、変換を小文字の値に設定し、クレームを保存します。

プロビジョニングを有効にする

アプリケーションを作成すると、ナビゲーションサイドバーにいくつかのオプションが用意された "Overview "ページが表示されます。管理_」ドロップダウンを展開し、「プロビジョニング_」を選択して、「開始_」を選択します。

プロビジョニングモードのプロンプトが表示されたら、デフォルト値をManualからAutomaticに変更します。

管理者資格情報パネルを展開し、federation.equinix.comから提供されたURLとトークンを入力します。Test Connection］を使用して、Entra IDとEquinix間の接続が正しく設定されていることを確認します。オプションとして、同じページの［Settings］パネルを展開して、プロビジョニングの問題に対するEメールアラートを設定したり、［Entra IDの誤削除防止］(https://learn.microsoft.com/en-us/entra/identity/app-provisioning/accidental-deletions?pivots=app-provisioning)を有効にしたりします。設定を保存して、アプリケーションの概要ページに戻ります。

属性マッピングの設定

サイドバーで、管理 を選択し、プロビジョニング を選択します。マッピングパネルが表示されます。Provision Microsoft Entra ID Groups を開き、［Enabled（有効）］トグルをオフにして、設定を保存します。Provision Microsoft Entra ID Users を開き、図のようにマッピングを構成します：

Custom App Attribute	Microsoft Entra ID Attribute	Matching precedence
userName	mail	1
active	Switch([IsSoftDeleted], , "False", "True", "True", "False")
displayName	displayName
externalId	mailNickname
name.familyName	surname
name.givenName	givenName
phoneNumbers[type eq "work"].value	telephoneNumber (or 'mobile', depending on your environment)
locale	preferredLanguage

追加のデフォルトマッピングは削除すべきである。

作成 、更新 、削除 のいずれかを選択しないでください。たとえば、自動的にデプロビジョニングせずにユーザーをプロビジョニングする場合などです。変更を保存します。

接続が確立され、属性マッピングが構成されたら、Manage > _Provisioning_に戻り、_Provisioning Status_をOnに設定します。

プロビジョニングのためのユーザーとグループの追加

すべてのディレクトリユーザーが高度なアプリケーション設定で同期するように構成されていない限り、エクイニクスでプロビジョニングを行う前に、ユーザーをアプリケーションに割り当てる必要があります。この割り当ては、_管理 > _ユーザーとグループ_で行います。ユーザーは、個別に割り当てることも、グループ単位で割り当てることもできます（Azureサブスクリプションの階層によって異なります）。

プロビジョニングの成功の確認

この時点で、Equinixでのユーザーのプロビジョニングとデプロビジョニングに必要なEntra IDの設定が完了しました。概要ページに戻ります。しばらくすると、Entra IDは割り当てられたユーザーのプロビジョニングを試みます。最初のプロビジョニングサイクル中にログを確認し、プロセスが期待どおりに完了したことを確認してください。

Entra ID does not synchronize users immediately but runs as a periodic job (every 20-40 minutes, depending on the number of users and groups in the application, according to Microsoft). This interval is not configurable by Equinix.

スケジュールされた間隔外でプロビジョニングを実行したり、変更をすぐに適用したりするには、アプリケーションの概要ページから Entra ID の Provision on demand 機能を使用します。オンデマンドプロビジョニングは、選択したユーザーに対してプロビジョニングまたはデプロビジョニングアクションを実行し、実行されたアクションとその結果の詳細を提供します。