エクイニクス連携SSOのためのOktaの設定

プロバイダ（IdP）とのサービス統合は、セキュリティの向上とユーザーアクセス管理の簡素化を実現するベストプラクティスとして確立されています。エクイニクスはSAMLベースのシングルサインオン(SSO)をサポートしており、エクイニクスへのアクセス時に自社のIdPを通じてユーザーを認証できます。さらに、IDプラットフォームはSCIMベースのユーザープロビジョニングとデプロビジョニングをサポートしています。この機能により、IdPは認証だけでなく、エクイニクスのユーザーアカウントの自動作成と削除にも使用されます。

ユーザー管理を自動化することで、ユーザーエクスペリエンスの合理化、管理オーバーヘッドの削減、手作業によるミスの減少、セキュリティポリシーの強化など、さまざまなメリットが得られます。OktaとSCIMプロトコルを使用することで、エクイニクスのユーザープロビジョニングを自動化し、IDプロバイダ内のID管理を一元化できます。

前提条件

Equinix Federated SSOサイトでSSOオンボーディングを完了してください。オンボーディングプロセスでは、手順で使用する統合URLとトークンが提供されます。

アプリケーションの作成

プロビジョナーは、Okta アプリケーションを使用して設定します。これを構成するには、Okta 管理コンソールを開き、サイドバーでアプリケーション を選択します。Browse App Catalog を選択します。Governance with SCIM_ を検索し、(OAuth Bearer Token) Governance with SCIM 2.0 を選択し、Add Integration を選択します。

Equinix」や「Equinix Provisioning」など、目的を識別できるアプリケーション名をプロバイダに入力してください。サインオンオプション_」では、アプリケーションがログインフローにも使用される場合、このSCIMアプリケーションのSAMLフィールドを設定できます。資格情報の詳細］の［アプリケーションユーザー名形式］は、［Email］に設定する必要があります（エクイニクスへのSAML SSOに別のOktaアプリケーションを使用する場合は、そのアプリケーションも［Email］に設定する必要があります）。Done を選択してアプリケーションを作成します。

Credentials details

NameIDが小文字で送信されていることを確認してください。

プロビジョニングと認証の問題を防ぐため、NameIDとして使用されるSAMLアサーション属性が小文字形式であることを確認してください。エクイニクスは、SAML認証とSCIMプロビジョニングにおいてユーザー識別子の大文字と小文字を区別します。同じ識別子が異なる大文字と小文字（User@Example.comとuser@example.comなど）で送信されると、アカウントの重複、ログインの失敗、同期エラーの原因となります。このような問題を回避するには、一意のユーザー識別子（Name ID）を小文字に正規化してから送信するようにしてください。

Okta Admin Consoleで、_Applications_に移動します。
SAML Settings_ セクションで、Edit をクリックして、SAML を設定します。
Application username_を_Custom_に設定し、小文字の式を入力します。

Configuring Application username to Custom in Okta SAML Settings

Entering a lowercase expression for the Application username in Okta SAML Settings

プロビジョニングの設定

アプリケーションが作成されると、アプリケーションの管理パネルが表示されます。Provisioning セクションバーを開き、Configure API Integration を選択します。federation.equinix.comから提供されたURLとトークンを入力し、認証情報をテストします。変更を保存します。

メモ

エクイニクスのグループをOktaに反映するには、［グループのインポートオプションを有効にしてください。

Credentials verified

プロビジョニングを有効にする

認証情報が構成されたら、Provisioning タブに戻り、To App を選択します。Edit を選択し、チェックボックスを有効にします。Create Users（ユーザの作成）]、[Update User Attributes（ユーザ属性の更新）]、および [Deactivate Users（ユーザの停止）]を有効にします。デフォルトのユーザー名がEmailに設定されていることを確認します。

Enable provisioning

属性マッピングの設定

To App ] セクションで、Okta属性とEquinixユーザー属性のマッピングを設定します。図のようにマッピングを設定します：

Attribute	Attribute Type	Value	Apply on
userName	Personal	Configured in Sign On settings
givenName	Personal	user.firstName	Create and Update
familyName	Personal	user.lastName	Create and Update
displayName	Personal	user.displayName	Create and Update
primaryPhone	Personal	user.primaryPhone	Create and Update
primaryPhoneType	Personal	"work"	Create and Update
locale	Group	user.locale	Create and Update

primaryPhoneTypeは、"Same value for all users "を選択することで、work`に設定されます。

追加のデフォルトマッピングは削除するか、マッピングを解除すべきである。

Attribute mappings

プロビジョニング用のユーザーとグループの追加

ユーザーをアプリケーションに個別またはグループ別に割り当てます。Assignments_タブを開き、Assign を選択してユーザーを追加します。Oktaが自動的にエクイニクスにユーザーを割り当てます。

User assignment

プロビジョニングの成功の確認

この時点で、OktaはEquinixでのユーザーのプロビジョニングとデプロビジョニングに必要な設定を完了しています。ヘッダーのアプリケーション名の横にある「View Logs 」を選択するか、「Reports > System Log」に移動してプロビジョニングイベントを確認してください。最初のプロビジョニングサイクルを監視し、接続が期待どおりに機能していることを確認します。

Provisioned

前提条件​

アプリケーションの作成​

NameIDが小文字で送信されていることを確認してください。​

プロビジョニングの設定​

プロビジョニングを有効にする​

属性マッピングの設定​

プロビジョニング用のユーザーとグループの追加​

プロビジョニングの成功の確認​