OIDCプロバイダ

OIDCプロバイダを作成する際、エクイニクスがプロバイダとの信頼関係を確立するために使用するリソースを指定します。

OIDCプロバイダの構成

• 名前 - プロバイダの人間にとって使いやすい名前。

• Issuer Location - OIDCの発行者所在地URL。このURLはOpenIDプロバイダの設定を取得するために使用され、公開鍵を取得できるJWKSのURLが含まれます。

• IDP Prefix - OIDC プロバイダの一意の IDP ID を作成するために使用します。IDPプレフィックスは、このプロジェクトの既存のOIDCプロバイダレコード（一時停止または非 一時停止）と同じにすることはできません。

• Trusted Client IDs - エクイニクスのAPIアクセストークンとIDトークンを交換できるOAuth 2.0クライアントを指定します。OIDC IDトークンのオーディエンス（aud）クレームの値は、トークン交換の際に信頼済みクライアントIDのリストと照合されます。

• グループ・メンバーシップ・クレーム - (optional) この OIDC 発行者が提供する ID トークンに含まれる、認可を目的としたプリンシパルのグ ループ・メンバーシップ・クレームの名前。ID トークン内のグループメンバーシップのクレームの値は、文字列の配列でなければなりません。このプロパティが設定されていない場合、このプロバイダからのクレームはグループ・メンバーシップ・ クレームとして扱われません。

OIDCプロバイダの作成

エクイニクスでOIDCプロバイダーを作成するには、エクイニクスカスタマーポータルまたはAPIをご利用ください。会社管理者である必要があります。

Portal

1. カスタマーポータル --> _Identity and Access Management_にサインインしてください。

2. OIDC Providers_ タブを開きます。

3. Create OIDC Provider をクリックします。

   

4. OIDC Provider の作成ページで、プロバイダを指定します：

   • プロバイダの名前
   • あなたのOIDC発行者所在地URL
   • IDP 識別子を作成するためのプレフィックス。
   • ID トークンの交換が許可されている信頼済みクライアント ID を入力します。フィールドに ID を入力し、+ をクリックします。
   • a グループメンバーシップ請求（オプション）。

   

5. Create OIDC Provider をクリックします。

API

OIDC プロバイダを登録するには、/v1/projects/{projectId}/oidcProviders エンドポイントに POST リクエストを送信します。リクエストのパスにプロジェクトを指定します。

issuerLocation、idpPrefix、trustedClientIds およびオプションの groupMembershipClaim について、OIDC 発行者と認証の詳細とともに、親しみやすく人間が読める名前をリクエスト本文に指定します。

サンプルcURLリクエスト：

curl -X POST 'https://sts.eqix.equinix.com/v1/projects/{projectId}/oidcProviders' \
-H 'content-type: application/json' \
-H 'authorization: Bearer <token>' \
-d '{
    "name": "<string>",
    "trustedClientIds": [
        "<string>"
    ],
    "groupMembershipClaim": "<string>",
    "issuerLocation": "<oidc_url>",
    "idpPrefix": "<string>"
}'

OIDCプロバイダの利用

OIDCプロバイダーを登録したら、[Access Policies] (oidc-access-policies.md)または[Roles] (oidc-for-roles.md)を使用してエクイニクスインフラストラクチャへのアクセスを許可・管理します。

次に、/v1/tokenエンドポイントを使用して、Equinix APIを呼び出す際に使用するベアラートークンをリクエストします。詳しくは、OIDC API認証をご覧ください。