エクイニクス連携SSOのためのOktaの設定
Identityプロバイダ(IdP)とのサービス統合は、セキュリティ体制の最適化とユーザーアクセス管理の合理化を目指す企業にとって、業界のベストプラクティスとなっています。エクイニクスは、SAMLベースのSSO(お客様独自のIdPを使用してエクイニクスにログインする)の一般的なサポートを開始しました。これに伴い、エクイニクスのアイデンティティプラットフォームの最新機能であるSCIMベースのユーザープロビジョニングとデプロビジョニングのサポートについて、ベータリリース を発表します。これは、お客様のIdPが単にログインフローの一部となるだけでなく、エクイニクスのユーザーアカウントの作成と削除を直接担当することを意味します。
ユーザー管理の自動化には、合理化されたエクスペリエンス、IT負担の軽減、ミスの低減、セキュリティポリシーの遵守の強化など、ビジネスにとってさまざまなメリットがあります。このガイドでは、SCIMプロトコルを使用したOktaによるエクイニクスのユーザープロビジョニングの自動化について説明します。
前提条件
このガイドでは、お客様がEquinix Federated SSOサイトでSSOオンボーディングを完了していることを前提としています。SSOオンボーディングプロセスでは、このガイドで参照する統合URLとトークンが提供されます。
アプリケーションの作成
プロビジョナは、Oktaアプリケーションを使用して設定します。これを設定するには、Okta管理コンソールを開き、サイドバーでアプリケーションを選択します。アプリカタログを参照」をクリックします。ベータ版では、エクイニクスのSCIMサービスはエクイニクスカスタマーポータルカタログアプリケーションと統合されていないため、「Governance with SCIM」を検索し、「(OAuth Bearer Token) Governance with SCIM 2.0」と「Add Integration」を選択します。
アプリの名前は、「エクイニクス」や「エクイニクスプロビジョニング」など、アプリを合理的に識別できるものであれば何でもかまいません。Sign-On Options(サインオンオプション)]で、このアプリケーションがログインフローにも使用される場合は、このSCIMアプリケーションのSAMLフィールドを入力できますが、[Credentials Details(資格情報の詳細)]の[Application username format(アプリケーションユーザー名の形式)]は「Email」に設定する必要があります(エクイニクスへのSAML SSOに別のOktaアプリケーションが使用される場合は、そのアプリケーションも「Email」に設定する必要があります)。Done」をクリックしてアプリケーションを作成します。
NameIDが小文字で送信されていることを確認してください。
プロビジョニングと認証の問題を防ぐため、NameIDとして使用されるSAMLアサーション属性が小文字形式であることを確認してください。Equinix Metalは、SAML認証とSCIMプロビジョニングにおいてユーザー識別子の大文字と小文字を区別します。同じ識別子が異なる大文字と小文字(たとえばUser@Example.comとuser@example.com)で送信されると、アカウントが重複したり、ログインに失敗したり、同期エラーが発生したりする可能性があります。このような問題を回避するには、一意のユーザー識別子(Name ID)を小文字に正規化してから送信するようにしてください。
- Okta Admin Consoleで、_Applications_に移動します。
- SAML Settings_ セクションで、Edit をクリックして、SAML を設定します。
- Application username_を_Custom_に設定し、小文字の式を入力します。
プロビジョニングの設定
アプリケーションが作成されると、Oktaはアプリケーションの管理パネルに移動します。タブバーの「Provisioning」セクションを開き、「Configure API Integration」をクリックします。federation.equinix.comから提供されたURLとトークンを入力し、認証情報をテストします。変更を保存します。
注:エクイニクスのSCIMサービスは、現時点ではグループ機能をサポートしていませんが、将来的にサポートする予定です。エクイニクスのグループをOktaに反映させたい場合は、グループのインポート機能を有効にしてください。
プロビジョニングを有効にする
認証情報を配置した状態で、「Provisioning」タブに戻り、「To App」を選択します。Edit(編集)」をクリックしてチェックボックスを編集可能にし、「Create Users(ユーザーの作成)」、「Update User Attributes(ユーザー属性の更新)」、「Deactivate Users(ユーザーの停止)」をオンにします。デフォルトのユーザー名がEmailであることを確認します。
属性マッピングの設定
引き続き「To App」セクションで、Okta属性とエクイニクスユーザー属性のマッピングを設定します。図のようにマッピングを設定します:
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
primaryPhoneTypeは、"Same value for all users "を選択することで、work`に設定されます。
追加のデフォルトマッピングは削除するか、マッピングを解除すべきである。
プロビジョニング用のユーザーとグループの追加
プロビジョニングのためにユーザーをアプリケーションに割り当てるには、個別またはグループ別に割り当てることができます。Assignments」タブを開き、「Assign」ボタンをクリックしてユーザーをアプリケーションに追加します。Oktaは直ちにエクイニクスでユーザーのプロビジョニングを開始します。
プロビジョニングの成功を確認する
この時点で、Oktaはエクイニクスのユーザープロビジョニングとデプロビジョニングに必要なすべての設定を完了しているはずです。ヘッダーのアプリケーション名の横にある「View Logs(ログを表示)」をクリックするか、「Reports(レポート)」の「System Log(システムログ)」に移動して、プロビジョニングイベントを確認してください。セットアップ後の最初のプロビジョニングを監視して、接続がスムーズに行われていることを確認することをお勧めします。
結論
SCIMプロトコルを使用してユーザー管理タスクを自動化するためにOktaを設定しました。これによりログインフローが効率化され、ID管理をプロバイダ内で行うことでセキュリティが強化されます。