Configurando o Microsoft Entra ID para o Equinix Federated SSO

A integração de serviços com provedores de identidade (IdPs) é uma prática recomendada consolidada para aprimorar a segurança e simplificar o gerenciamento de acesso do usuário . A Equinix oferece suporte ao Single Sign-On (SSO) baseado em SAML, permitindo que as organizações autentiquem usuários por meio de seus próprios IdPs ao acessarem a Equinix. Além disso, a plataforma de identidade agora inclui suporte para provisionamento e desprovisionamento de usuário baseados em SCIM. Com essa funcionalidade, o IdP é utilizado não apenas para autenticação, mas também para a criação e remoção automática de contas de usuário da Equinix .

A automatização da gestão de usuário proporciona diversas vantagens, incluindo uma experiência do usuário mais simplificada, redução da sobrecarga administrativa, menos erros manuais e uma melhor aplicação das políticas de segurança. Utilize o Microsoft Entra ID (anteriormente Azure Active Directory) com o protocolo SCIM para automatizar o provisionamento de usuário na Equinix e centralizar a gestão de identidades no provedor de identidades.

Pré-requisitos

Conclua o processo de integração do SSO no site do SSO federado da Equinix . O processo de integração fornece um URL de integração e um token que são usados no procedimento.

Se um aplicativo Entra ID Enterprise existente for usado para fazer login no Equinix com SAML, ele deverá usar o atributo user.mail como seu identificador de usuário exclusivo.

Criando o aplicativo corporativo

O provisionador é configurado usando um aplicativo corporativo do Entra ID. Para configurar este aplicativo, abra o portal do Azure e navegue até o Microsoft Entra ID. Expanda Todos os serviços. Selecione Adicionar e, em seguida, escolha Aplicativo corporativo na lista suspensa.

Add enterprise application

O portal exibe a galeria de aplicativos. Como o serviço SCIM da Equinix está atualmente em versão beta e não está integrado ao aplicativo da galeria de aplicativos de federação da Equinix, selecione Criar seu próprio aplicativo e, em seguida, selecione Não da galeria na caixa de diálogo modal.

Forneça um nome de aplicativo que distinga sua finalidade, como "Equinix SCIM" ou "Equinix Provisioning". Selecione a opção para criar o aplicativo.

Configurando atributos de logon único

Qualquer provedor de identidade que se integre ao Equinix usando SAML deve passar o endereço e-mail do usuário como o valor NameID do SAML. Isso pode ser configurado no Entra ID navegando até Gerenciar. > Single Sign-On e selecione Editar na seção Atributos e Declarações. Defina o campo Identificador Único do Usuário (ID do Nome) como user.mail com um formato de identificador de nome como endereço de e-mail.

SAML nameid mapping

A seção Atributos e Declarações do painel de Autenticação Única deve corresponder ao exemplo a seguir.

SAML attributes

Certifique-se de que o NameID seja enviado em letras minúsculas.

Para evitar problemas de provisionamento e autenticação, certifique-se de que o atributo de declaração SAML usado como NameID esteja em letras minúsculas. A Equinix trata os identificadores de usuário como sensíveis a maiúsculas e minúsculas na autenticação SAML e no provisionamento SCIM. Se o mesmo identificador for enviado com maiúsculas e minúsculas diferentes (por exemplo, User@Example.com e user@example.com), isso pode resultar em contas duplicadas, falhas de login ou erros de sincronização. Para evitar esses problemas, certifique-se de que o Identificador Único de Usuário (NameID) seja normalizado para letras minúsculas antes de ser enviado.

No aplicativo Entra ID, selecione Single sign-on e Attributes & Claims.
Em Reivindicação obrigatória, selecione Identificador exclusivo do usuário (ID do nome).
Na guia Gerenciar declaração, em Origem, selecione Transformação, defina a transformação para um valor em minúsculas e salve a declaração.

Selecting the Unique User Identifier (Name ID) claim in Entra ID

Configuring a lowercase transformation for the Unique User Identifier (Name ID) claim in Entra ID

Habilitando o provisionamento

Após criar o aplicativo, a página Visão geral é exibida, com várias opções disponíveis em uma barra lateral de navegação. Expanda o menu suspenso Gerenciar, selecione Provisionamento e selecione Começar.

App overview

Quando solicitado a escolher um modo de provisionamento, altere o valor padrão de Manual para Automático.

Expanda o painel Credenciais de Administrador e insira o URL e o token fornecidos por federation.equinix.com. Use Testar Conexão para verificar se a conexão entre o Entra ID e o Equinix está configurada corretamente. Opcionalmente, expanda o painel Configurações na mesma página para configurar alertas e-mail para problemas de provisionamento ou ativar a prevenção de exclusão acidental do Entra ID. Salve as configurações e retorne à página Visão Geral do aplicativo.

Provisioning config

Configurando mapeamentos de atributos

Na barra lateral, selecione Gerenciar e, em seguida, Provisionamento. Um painel de Mapeamentos será exibido. Abra Provisionar Grupos de IDs do Microsoft Entra, desative a opção Ativado e salve as configurações. Abra Provisionar Usuários de IDs do Microsoft Entra e configure os mapeamentos conforme mostrado:

Custom App Attribute	Microsoft Entra ID Attribute	Matching precedence
userName	mail	1
active	Switch([IsSoftDeleted], , "False", "True", "True", "False")
displayName	displayName
externalId	mailNickname
name.familyName	surname
name.givenName	givenName
phoneNumbers[type eq "work"].value	telephoneNumber (or 'mobile', depending on your environment)
locale	preferredLanguage

Mapeamentos padrão adicionais devem ser excluídos.

Attribute mappings

Desmarque Criar, Atualizar ou Excluir se o Entra ID não deve executar todas as ações em usuários do Equinix automaticamente. Por exemplo, para provisionar usuários sem desprovisioná-los automaticamente. Salve as alterações.

Com a conexão estabelecida e os mapeamentos de atributos configurados, retorne a Gerenciar. > Provisionamento e defina Status do Provisionamento como Ativado.

Adicionando usuários e grupos para provisionamento

A menos que todos os usuários do diretório estejam configurados para sincronizar por meio de uma configuração avançada do aplicativo, os usuários devem ser atribuídos ao aplicativo antes de serem provisionados no Equinix. Faça essa atribuição em Gerenciar. > Usuários e grupos. Os usuários podem ser atribuídos individualmente ou por grupo (dependendo do nível de assinatura do Azure).

User assignment

Verificando o provisionamento bem-sucedido

Neste ponto, o Entra ID possui a configuração necessária para provisionar e desprovisionar usuários no Equinix. Retorne à página Visão geral. Após algum tempo, o Entra ID tentará provisionar os usuários atribuídos. Durante o ciclo inicial de provisionamento, revise os logs para confirmar se o processo foi concluído conforme o esperado.

User provisioned Entra ID does not synchronize users immediately but runs as a periodic job (every 20-40 minutes, depending on the number of users and groups in the application, according to Microsoft). This interval is not configurable by Equinix.

Para executar o provisionamento fora do intervalo agendado ou aplicar alterações imediatamente, use o recurso "Provisionar sob demanda" do Entra ID, acessível pela página Visão geral do aplicativo. O recurso "Provisionar sob demanda" executa ações de provisionamento ou desprovisionamento para um usuário selecionado e fornece detalhes sobre as ações realizadas e seus resultados.

Provision on demand

Pré-requisitos​

Criando o aplicativo corporativo​

Configurando atributos de logon único​

Certifique-se de que o NameID seja enviado em letras minúsculas.​

Habilitando o provisionamento​

Configurando mapeamentos de atributos​

Adicionando usuários e grupos para provisionamento​

Verificando o provisionamento bem-sucedido​