Ir para o conteúdo principal

Visão geral

Disponibilidade limitada

A funcionalidade de provedor OIDC está atualmente disponível em status de Disponibilidade Limitada (LA). O acesso é restrito a um conjunto controlado de clientes e casos de uso. Os recursos podem estar incompletos, sujeitos a alterações e podem conter defeitos. Aplicam-se medidas de segurança operacionais e limites de capacidade. Ao usar esta API, você reconhece que:

  • Destina-se exclusivamente ao acesso antecipado e à coleta de feedback.
  • A disponibilidade pode ser limitada por região, segmento ou restrições de capacidade.
  • Funcionalidade, desempenho e estabilidade não são garantidos nesta fase.
  • A documentação e os recursos de suporte podem estar em constante evolução.
  • O feedback fornecido durante esta fase servirá de base para melhorias antes da Disponibilidade Geral (GA).

Não implemente esses serviços em ambientes de produção sem compreender essas limitações. Suporte comercial completo e SLAs estarão disponíveis no momento da aprovação geral.

O serviço de token de segurança (STS) da Equinix fornece um mecanismo seguro de federação de identidades que permite autenticação e autorização perfeitas em todas as plataformas e serviços da Equinix.

Isso permite que você troque tokens de ID OpenID Connect (OIDC) de provedores de identidade confiáveis ​​por tokens de acesso da Equinix, que podem ser usados ​​para acessar APIs e serviços da Equinix. Isso elimina a necessidade de gerenciar credenciais separadas para os serviços da Equinix quando você já possui um provedor de identidade.

A Equinix impõe uma verificação rigorosa dos tokens OIDC, validando o emissor, as declarações de público-alvo e a assinatura usando o JWKS do provedor. Os tokens de acesso são emitidos com os escopos apropriados com base na configuração de confiança do provedor de identidade e nas associações de grupo do principal.

Principais características:

  • Gerenciamento de Provedores de Identidade e Relacionamento de Confiança: Crie, atualize, suspenda, retome e exclua provedores OIDC confiáveis ​​para controlar quais provedores de identidade e IDs de cliente são confiáveis ​​para autenticação.
  • Autorização baseado em grupo: Mapeie as declarações de grupo do provedor de identidade para as políticas de autorização da Equinix .
  • Controle de Acesso: Suporte para Controle de Acesso baseado em Funções e Controle de Acesso baseado em Atributos para gerenciar permissões e acesso aos serviços da Equinix .
  • Troca de Tokens: Implementar a troca de tokens OAuth 2.0 (RFC 8693) para converter tokens de ID OIDC em tokens de acesso Equinix .

Federação de identidade de carga de trabalho

Utilizar um provedor OIDC no Equinix oferece suporte à automação de CI/CD com autenticação baseada em identidade a partir de plataformas como GitHub Actions ou Terraform Cloud.

Para usar seu próprio provedor de identidade, faça o seguinte:

  1. A partir do projeto raiz, registre o provedor OIDC que você utiliza. Essa operação cria uma relação de confiança entre o projeto raiz e o provedor OIDC, permitindo o acesso aos tokens de identidade do provedor OIDC para a troca de tokens.
  2. Conceda acesso aos principais do seu provedor OIDC usando funções ou políticas de acesso (ou ambos).
  3. Obtenha um token de identidade do seu provedor OIDC.
  4. Realize uma troca de token para obter um token de portador da API Equinix .

Escopos de Controle de Acesso

Ao realizar uma troca de tokens, o token de acesso concede permissões de acordo com o escopo especificado, que é alguma combinação de:

  • Funções e atribuições de funções - Concede permissões para todas as funções atribuídas ao diretor dentro de uma organização.

  • Uma única Política de Acesso nomeada concede as permissões dessa política de acesso específica.

  • Todas as Políticas de Acesso concedidas ao principal em um Projeto - Concede permissões para todas as Políticas de Acesso concedidas ao principal em um projeto específico, seja por meio de concessões diretas ao próprio principal ou por meio de concessões indiretas através das associações de grupo de um principal federado.

  • Todas as Políticas de Acesso concedidas à entidade principal em uma Organização - Concede permissões para todas as Políticas de Acesso concedidas à entidade principal em todos os projetos na árvore organizacional de uma determinada organização, incluindo o projeto governante dessa organização.

As permissões efetivas concedidas pelo token são a união das permissões de cada escopo; uma ação é permitida se qualquer um dos escopos a permitir.

Os escopos são verificados quanto à validade. As seguintes combinações são escopos válidos:

scope valueResulting scope type(s)
roleassignments:<org-id>Assigned roles in the organization
ern:<access-policy-ern>Single access policy
projectpolicies:<project-id>One or more access policies in a project
orgpolicies:<org-id>One or more access policies in an organization
orgpolicies:<org-id> roleassignments:<org-id>One or more access policies in an organization + Assigned roles in the organization

Troca de tokens

Para trocar tokens de provedor OIDC por tokens de portador da API Equinix, use o endpoint /v1/token. Para obter mais informações, consulte Autenticação da API OIDC.

Esta página foi útil?