Fornecedores OIDC

Ao criar um provedor OIDC, você especifica os recursos que a Equinix utiliza para estabelecer relações de confiança com o seu provedor.

Um provedor OIDC consiste em:

• Nome - Um nome amigável para o provedor.

• Local do Emissor - O URL de localização do emissor OIDC. Este URL é usado para obter a configuração do provedor OpenID, que inclui o URL do JWKS onde suas chaves públicas podem ser obtidas.

• Prefixo do IDP - Usado para criar um ID de IDP exclusivo para o provedor OIDC. O prefixo do IDP não pode ser igual a nenhum registro de provedor OIDC existente, suspenso ou não, para este projeto.

• IDs de Clientes Confiáveis - Especifique os clientes OAuth 2.0 que podem trocar tokens de identidade por tokens de acesso à API da Equinix . O valor da declaração de público-alvo (aud) em um token de ID OIDC é verificado na lista de IDs de Clientes Confiáveis ​​durante a troca de token.

• Declaração de Associação a Grupo - (opcional) Nome da declaração nos tokens de ID fornecidos por este emissor OIDC contendo as associações a grupos de uma entidade, para fins de autorização. O valor da declaração de associação a grupo em um token de ID deve ser uma matriz de strings, onde cada string é um identificador único e não reatribuível para um grupo. Quando esta propriedade não é definida, nenhuma declaração deste provedor é tratada como uma declaração de associação a grupo.

Criar um provedor OIDC

Utilize o Portal do Cliente ou a API da Equinix para criar um provedor OIDC na Equinix. Você precisa ser um Administrador da Empresa.

Portal

1. Faça login no [Portal do Cliente --> Gerenciamento de Identidade e Acesso.

2. Abra a aba Provedores OIDC.

3. Clique em Criar provedor OIDC.

   

4. Na página Criar provedor OIDC, forneça:

   • um nome para o fornecedor
   • URL de localização do seu emissor OIDC
   • Prefixo IDP para criar um identificador único para o provedor de identidade.
   • Os IDs de clientes confiáveis ​​que têm permissão para trocar tokens de identidade. Insira um ID no campo e clique em ***+.
   • Solicitação de adesão a um grupo (opcional).

   

5. Clique em Criar provedor OIDC.

API

Para registrar um provedor OIDC, envie uma solicitar POST para o /v1/projects/{projectId}/oidcProviders endpoint. Especifique o projeto no caminho da solicitar.

Especifique um nome amigável e legível para humanos, juntamente com seu emissor OIDC e detalhes de autenticação para issuerLocation, idpPrefix, trustedClientIds e opcionalmente groupMembershipClaim no corpo da solicitar.

Exemplo de solicitação cURL:

curl -X POST 'https://sts.eqix.equinix.com/v1/projects/{projectId}/oidcProviders' \
-H 'content-type: application/json' \
-H 'authorization: Bearer <token>' \
-d '{
    "name": "<string>",
    "trustedClientIds": [
        "<string>"
    ],
    "groupMembershipClaim": "<string>",
    "issuerLocation": "<oidc_url>",
    "idpPrefix": "<string>"
}'

Utilizando seu provedor OIDC

Depois de você um provedor OIDC, conceda e gerencie o acesso à sua infraestrutura Equinix usando Políticas de Acesso ou Funções.

Em seguida, use o endpoint /v1/token para solicitar tokens de portador para uso ao chamar a API da Equinix . Para obter mais informações, consulte Autenticação da API OIDC.