本文へスキップ

概要

限定発売

OIDC プロバイダの機能は現在、LA(Limited Availability)ステータスで提供されています。アクセスは、管理された顧客とユースケースに制限されています。機能は不完全で、変更される可能性があり、不具合が含まれる可能性があります。運用上のセーフガードと容量制限が適用されます。このAPIを使用することで、お客様は以下を認識することになります:

  • 早期アクセスおよびフィードバックのみを目的としています。
  • 地域、セグメント、または容量の制約により、可用性が制限される場合があります。
  • 現段階では、機能、パフォーマンス、安定性は保証されていません。
  • ドキュメントとサポートリソースは進化している可能性があります。
  • このフェーズで提供されるフィードバックは、一般提供(GA)前の改善に反映されます。

これらの制限を理解せずに、本番環境にこれらのサービスを導入しないでください。GAでは、完全な商用サポートとSLAを提供する予定です。

Equinix Security Token Service(STS)は、エクイニクスのプラットフォームやサービス全体でシームレスな認証と認可を可能にする、セキュアなIDフェデレーションメカニズムを提供します。

これにより、お客様は信頼できるIDプロバイダのOpenID Connect(OIDC)IDトークンを、エクイニクスのAPIやサービスにアクセスできるエクイニクスのアクセストークンと交換できます。これにより、既存のIDプロバイダーがある場合、エクイニクスのサービス用に個別の認証情報を管理する必要がなくなります。

エクイニクスは、OIDCトークンの厳格な検証を実施し、プロバイダのJWKSを使用して発行者、視聴者の主張、署名の検証を行っています。アクセストークンは、IDプロバイダの信頼設定とプリンシパルのグループメンバーシップに基づいて、適切なスコープで発行されます。

主な特徴

  • Identity Provider and Trust Relationship Management :信頼できる OIDC プロバイダの作成、更新、一時停止、再開、および削除を行い、認証のために信頼できる ID プロバイダとクライアント ID を制御します。
  • グループベースの認証 :IDプロバイダのグループクレームをエクイニクスの認可ポリシーにマッピングします。
  • アクセス・コントロール :ロールベースのアクセスコントロールと属性ベースのアクセスコントロールの両方をサポートし、エクイニクスのサービスに対する権限とアクセスを管理します。
  • トークン交換 :OAuth 2.0のトークンエクスチェンジ(RFC8693)を実装し、OIDC IDトークンをエクイニクスのアクセストークンに変換します。

ワークロード・アイデンティティ・フェデレーション

エクイニクスのOIDCプロバイダを利用すると、GitHub ActionsやTerraform Cloudなどのプラットフォームから、IDベースの認証によるCI/CD自動化をサポートできます。

独自のIDプロバイダを使用するには、次の手順を実行します:

  1. ルートプロジェクトから、使用するOIDCプロバイダの登録を行います。この操作により、ルートプロジェクトと OIDC プロバイダの間に信頼関係が作成され、OIDC プロバイダの ID トークンにアクセスしてトークン交換ができるようになります。
  2. ロール](oidc-for-roles.md)またはアクセスポリシー(またはその両方)を使用して、OIDCプロバイダからプリンシパルにアクセスをプロバイダします。
  3. OIDC プロバイダーから ID トークンを取得します。
  4. トークン交換を実行して、Equinix APIベアラートークンを取得してください。

アクセス制御スコープ

トークン交換を行う際、アクセストークンは指定されたスコープに従って権限を付与します:

  • ロールとロールの割り当て - 組織内で本人に割り当てられたすべてのロールの権限を付与します。

  • 単一の名前のアクセスポリシー - 特定のアクセスポリシーの権限を付与します。

  • All Access Policies granted to the principal in a Project(プロジェクト内のプリンシパルに付与されたすべてのアクセスポリシー) - 特定のプロジェクト内のプリンシパルに付与されたすべてのアクセスポリシー(プリンシパル自身への直接付与、または連携プリンシパルのグループメンバーシップを介した間接付与)のアクセス許可を付与します。

  • All Access Policies granted to the principal in an Organization(組織内のプリンシパルに付与されたすべてのアクセスポリシー) - 指定された組織のorgツリー内のすべてのプロジェクト(その組織の管理プロジェクトを含む)にわたって、プリンシパルに付与されたすべてのアクセスポリシーのアクセス許可を付与します。

トークンによって付与される有効なパーミッションは、各スコープからのパーミッションを結合したものです。

スコープは有効かどうかチェックされます。以下の組み合わせが有効なスコープです:

scope valueResulting scope type(s)
roleassignments:<org-id>Assigned roles in the organization
ern:<access-policy-ern>Single access policy
projectpolicies:<project-id>One or more access policies in a project
orgpolicies:<org-id>One or more access policies in an organization
orgpolicies:<org-id> roleassignments:<org-id>One or more access policies in an organization + Assigned roles in the organization

トークン交換

OIDCプロバイダトークンとEquinix APIベアラートークンを交換するには、/v1/tokenエンドポイントを使用してください。詳しくは、OIDC API認証をご覧ください。

このページは役に立ちましたか?