本文へスキップ

エクイニクス連携SSOのためのMicrosoft Entra IDの設定

Identityプロバイダ(IdP)とのサービス統合は、セキュリティ体制の最適化とユーザーアクセス管理の合理化を目指す企業にとって、業界のベストプラクティスとなっています。エクイニクスは、SAMLベースのSSO(お客様独自のIdPを使用してエクイニクスにログインする)の一般的なサポートを開始しました。これに伴い、エクイニクスのアイデンティティプラットフォームの最新機能であるSCIMベースのユーザープロビジョニングとデプロビジョニングのサポートについて、ベータリリース を発表します。これは、お客様のIdPが単にログインフローの一部となるだけでなく、エクイニクスのユーザーアカウントの作成と削除を直接担当することを意味します。

ユーザー管理の自動化には、合理化されたエクスペリエンス、IT負担の軽減、ミスの低減、セキュリティポリシーの遵守の強化など、ビジネスにとってさまざまなメリットがあります。このガイドでは、SCIMプロトコルを使用したMicrosoft Entra ID(旧Azure Active Directory)によるエクイニクスのユーザープロビジョニングの自動化について説明します。

前提条件

このガイドでは、お客様がEquinix Federated SSOサイトでSSOオンボーディングを完了していることを前提としています。SSOオンボーディングプロセスでは、このガイドで参照する統合URLとトークンが提供されます。

SAMLを使用してEquinixにログインするための既存のEntra IDエンタープライズアプリケーションがある場合、そのアプリケーションは固有のユーザー識別子としてuser.mail属性を使用していると考えられます。

エンタープライズ・アプリケーションの作成

プロビジョナーは、Entra ID _Enterprise アプリケーションを使用して構成します。このアプリケーションを構成するには、Azure ポータルを開き、Microsoft Entra ID に移動します(すべてのサービスを展開する必要がある場合があります)。ポータルの上部に [Add] ボタンがあり、ドロップダウンが開きますので、そこから Enterprise アプリケーションを選択します。

Add enterprise application

Azureは、統合するアプリケーションの選択を促し、ギャラリーを表示します。ベータ版では、エクイニクスのSCIMサービスはエクイニクスフェデレーションアプリのギャラリーアプリケーションと統合されていないため、ページ上部の「Create your own application」をクリックし、モーダルダイアログから「Non-gallery」を選択する必要があります。アプリケーション名は、「Equinix SCIM」や「Equinix Provisioning」など、アプリケーションの用途を示すものであれば何でもかまいません。ボタンをクリックしてアプリケーションを作成します。

シングルサインオン属性の設定

SAMLを使用してエクイニクスと統合するIDプロバイダは、ユーザーのメールアドレスをSAML NameIDの値として渡す必要があります。この設定は、Entra IDの「管理」→「シングルサインオン」→「属性と請求」のボックスで「編集」をクリックして行います。Unique User Identifier (Name ID) フィールドは、user.mail に設定し、Name identifier の形式を Email アドレスにする必要があります。

SAML nameid mapping

シングルサインオンパネルの「Attributes & Claims」セクションは、以下の例と一致していなければなりません。

SAML attributes

NameIDが小文字で送信されていることを確認してください。

プロビジョニングと認証の問題を防ぐため、NameIDとして使用されるSAMLアサーション属性が小文字形式であることを確認してください。Equinix Metalは、SAML認証とSCIMプロビジョニングにおいてユーザー識別子の大文字と小文字を区別します。同じ識別子が異なる大文字と小文字(たとえばUser@Example.comuser@example.com)で送信されると、アカウントが重複したり、ログインに失敗したり、同期エラーが発生したりする可能性があります。このような問題を回避するには、一意のユーザー識別子(Name ID)を小文字に正規化してから送信するようにしてください。

  1. Entra IDアプリケーションで、_Single sign-on_と_Attributes & Claims_を選択します。
  2. 必要なクレーム_]で、[固有のユーザー識別子(ネームID)_]を選択します。
  3. Manage claimで_Source_の下にある_Transformation_を選択し、変換を小文字の値に設定し、クレームを保存します。

Selecting the Unique User Identifier (Name ID) claim in Entra ID

Configuring a lowercase transformation for the Unique User Identifier (Name ID) claim in Entra ID

プロビジョニングを有効にする

アプリケーションの作成後、アプリケーションの概要ページに移動し、ナビゲーションサイドバーにいくつかのオプションが表示されます。Manage]ドロップダウンを展開し、[Provisioning]を開き、[Get Started]を選択します。

App overview

Entra IDがプロビジョニングモードの入力を促しますが、デフォルトは「Manual」です。Automatic(自動)に変更します。

管理者資格情報パネルを展開し、federation.equinix.comから提供されたURLとトークンを入力します。接続テスト]機能を使用して、Entra IDとEquinix間の接続情報が正しく設定されていることを確認します。また、プロビジョニングの問題に対するEメールアラートを設定したり、Entra IDの誤削除防止機能を有効にしたい場合は、同じページの[設定]パネルを展開します。設定を保存して、アプリケーションの概要ページに戻ります。

Provisioning config

属性マッピングの設定

サイドバーで「管理」をクリックし、「プロビジョニング」をもう一度クリックします。マッピング」という新しいパネルが表示されます。Provision Microsoft Entra ID Groups]を開き、[Enabled]トグルをオフにして設定を保存します(エクイニクスのグループ機能は今後のSCIMアップデートで提供される予定です)。Provision Microsoft Entra ID Usersを開き、図のようにマッピングを設定します:

Custom App AttributeMicrosoft Entra ID AttributeMatching precedence
userNamemail1
activeSwitch([IsSoftDeleted], , "False", "True", "True", "False")
displayNamedisplayName
externalIdmailNickname
name.familyNamesurname
name.givenNamegivenName
phoneNumbers[type eq "work"].valuetelephoneNumber (or 'mobile', depending on your environment)
localepreferredLanguage

追加のデフォルトマッピングは削除すべきである。

Attribute mappings

ユーザーのプロビジョニングのみを行い、デプロビジョンは自動的に行わないなど、Entra IDがエクイニクスユーザーに対して自動的に行うすべてのアクションを希望しない場合は、[作成]、[更新]、[削除]の選択を解除できます。変更を保存します。

最後に、接続が確立され、属性マッピングが設定されたら、[管理]→[プロビジョニング]に戻り、[プロビジョニングステータス]をオンに切り替えます。

プロビジョニングのためのユーザーとグループの追加

アプリケーションの詳細設定ですべてのディレクトリユーザーを同期することを選択した場合を除き、エクイニクスでプロビジョニングを行うには、まずユーザーをアプリケーションに割り当てる必要があります。この割り当ては「ユーザーとグループの管理」で行います。ユーザーは個別に割り当てることも、グループ単位で割り当てることもできます(Azureサブスクリプションの階層によって異なります)。

User assignment

プロビジョニングの成功の確認

この時点で、Entra IDはエクイニクスでのユーザーのプロビジョニングとデプロビジョニングに必要なすべての設定を完了しているはずです。概要ページに戻ることができます。しばらくすると、Entra IDが割り当てられたユーザーのプロビジョニングを試みます。最初のプロビジョニングの際、このプロセスが期待どおりに実行されたことを確認するため、ログを調べることをお勧めします。

User provisioned

Entra IDはユーザーを即座に同期するのではなく、定期的なジョブとして実行されます(Microsoftによると、「アプリケーションのユーザー数とグループ数に応じて20~40分ごと」)。これはエクイニクスでは設定できません。定期的な間隔よりも早くプロビジョニングテストを実行したい場合や、変更をすぐに実行する必要がある場合は、アプリケーションの概要ページからEntra IDのプロビジョン・オンデマンド機能を使用できます。プロビジョン・オンデマンドは、指定したユーザーに対して発生するすべてのアクション(プロビジョニングまたはデプロビジョニング)を直ちに実行し、実行したアクションとその成功に関する追加情報も提供します。

Provision on demand

結論

SCIM プロトコルを使用してユーザ管理タスクを自動化するために、Entra ID を設定しました。これにより、ログインフローが合理化され、ID管理をプロバイダ内で行うことでセキュリティが強化されます。

このページは役に立ちましたか?