Configurando o Microsoft Entra ID para o Equinix Federated SSO

A integração de serviços com provedores de identidade (IdPs) tornou-se uma prática recomendada do setor para empresas que buscam otimizar sua postura de segurança e simplificar o gerenciamento de acesso de usuário . O suporte da Equinix para SSO baseado em SAML (usando seu próprio IdP para fazer login na Equinix) já está disponível para todos e, para complementar, temos o prazer de anunciar o lançamento da versão beta do recurso mais recente de nossa plataforma de identidade: suporte para provisionamento e desprovisionamento de usuário baseado em SCIM. Isso significa que seu IdP não será apenas parte do fluxo de login, mas será diretamente responsável pela criação e remoção de contas de usuário da Equinix .

Automatizar o gerenciamento de usuário traz diversos benefícios para a sua empresa, incluindo uma experiência otimizada, redução da carga de TI, menor taxa de erros e maior capacidade de garantir a conformidade com as políticas de segurança. Este guia orientará você na automação do provisionamento de usuário no Equinix com o Microsoft Entra ID (antigo Azure Active Directory) usando o protocolo SCIM.

Pré-requisitos

Este guia pressupõe que você já tenha concluído o processo de integração do SSO no site do Equinix Federated SSO (https://federation.equinix.com). O processo de integração do SSO fornecerá um URL de integração e um token, que serão referenciados neste guia.

Se você já possui um aplicativo Entra ID Enterprise para fazer login no Equinix com SAML, presumimos que ele utilize o atributo user.mail como seu Identificador de Usuário Único.

Criando o aplicativo corporativo

O provisionador será configurado usando um ID Entra Aplicativo corporativo. Para configurar este aplicativo, abra o portal do Azure e navegue até IDs corporativos da Microsoft (talvez seja necessário expandir Todos os serviços). Há um botão Adicionar na parte superior do portal, que abre um menu suspenso, no qual você pode selecionar Aplicativo corporativo.

O Azure solicitará que você selecione o aplicativo com o qual você se integrar e você uma galeria. Embora em fase beta, o serviço SCIM da Equinix não está integrado ao aplicativo de galeria do Equinix Federation App, portanto, você precisará clicar em "Criar seu próprio aplicativo" na parte superior da página e selecionar "Sem galeria" na caixa de diálogo modal. O nome do aplicativo pode ser qualquer nome que diferencie significativamente a finalidade do aplicativo, como "Equinix SCIM" ou "Equinix Provisioning". Clique no botão para criar o aplicativo.

Configurando atributos de logon único

Qualquer provedor de identidade que se integre com a Equinix usando SAML deve passar o endereço e-mail do usuário como seu valor NameID do SAML. Isso pode ser configurado no Entra ID navegando até Gerenciar, Single Sign-On e clicando em Editar na caixa Atributos e Declarações. O campo Identificador Único do Usuário (Name ID) deve ser definido como user.mail com o formato de identificador Name como endereço de e-mail.

A seção Atributos e Declarações do seu painel de Logon Único deve corresponder ao exemplo a seguir.

Certifique-se de que o NameID seja enviado em letras minúsculas.

Para evitar problemas de provisionamento e autenticação, certifique-se de que o atributo de declaração SAML usado como NameID esteja em letras minúsculas. O Equinix Metal trata os identificadores de usuário como sensíveis a maiúsculas e minúsculas na autenticação SAML e no provisionamento SCIM. Se o mesmo identificador for enviado com maiúsculas e minúsculas diferentes (por exemplo, User@Example.com e user@example.com), isso pode resultar em contas duplicadas, falhas de login ou erros de sincronização. Para evitar esses problemas, certifique-se de que o Identificador Único do Usuário (NameID) seja normalizado para letras minúsculas antes de ser enviado.

1. No aplicativo Entra ID, selecione Single sign-on e Attributes & Claims.
2. Em Reivindicação obrigatória, selecione Identificador exclusivo do usuário (ID do nome).
3. Na guia Gerenciar declaração, em Origem, selecione Transformação, defina a transformação para um valor em minúsculas e salve a declaração.

Habilitando o provisionamento

Após criar o aplicativo, você deverá estar na página Visão Geral do aplicativo, com diversas opções disponíveis em uma barra lateral de navegação. Expanda o menu suspenso Gerenciar, abra Provisionamento e selecione Começar.

O Entra ID você um Modo de Provisionamento, cujo padrão é Manual. Altere para Automático.

Expanda o painel Credenciais de Administrador e insira o URL e o token fornecidos por federation.equinix.com. Use a função Testar Conexão para verificar se as informações de conexão entre o Entra ID e o Equinix estão configuradas corretamente. Você também pode expandir o painel Configurações nesta mesma página se desejar configurar alertas por e-mail para problemas de provisionamento ou habilitar o recurso de prevenção de exclusão acidental do Entra ID. Salve as configurações e retorne à página Visão Geral do aplicativo.

Configurando mapeamentos de atributos

Na barra lateral, clique em Gerenciar e, em seguida, em Provisionamento novamente. Haverá um novo painel, chamado Mapeamentos. Abra "Provisionar Grupos de IDs do Microsoft Entra", desative a opção "Habilitado" e salve as configurações (a funcionalidade de grupos do Equinix será disponibilizada em uma futura atualização do SCIM). Abra "Provisionar Usuários de IDs do Microsoft Entra" e configure os mapeamentos conforme mostrado:

Custom App Attribute	Microsoft Entra ID Attribute	Matching precedence
userName	mail	1
active	Switch([IsSoftDeleted], , "False", "True", "True", "False")
displayName	displayName
externalId	mailNickname
name.familyName	surname
name.givenName	givenName
phoneNumbers[type eq "work"].value	telephoneNumber (or 'mobile', depending on your environment)
locale	preferredLanguage

Mapeamentos padrão adicionais devem ser excluídos.

Você pode desmarcar Criar, Atualizar ou Excluir se você desejar que o Entra ID execute todas essas ações nos usuários Equinix automaticamente — por exemplo, se você apenas provisionar usuários, mas não desprovisioná-los automaticamente. Salve as alterações.

Por fim, com a conexão estabelecida e os mapeamentos de atributos definidos, você pode retornar para Gerenciar, Provisionamento e ativar o Status de Provisionamento.

Adicionando usuários e grupos para provisionamento

A menos que você tenha optado por sincronizar todos os usuários do diretório em uma configuração avançada no aplicativo, os usuários precisarão primeiro ser atribuídos ao aplicativo para serem provisionados no Equinix. Essa atribuição é feita em Gerenciar, Usuários e grupos. Os usuários podem ser atribuídos individualmente ou por grupo (dependendo do seu nível de assinatura do Azure).

Verificando o provisionamento bem-sucedido

Neste ponto, o Entra ID deve ter toda a configuração necessária para provisionar e desprovisionar usuários no Equinix. Você pode retornar à página de visão geral. Após algum tempo, o Entra ID tentará provisionar os usuários atribuídos. No primeiro provisionamento, você pode examinar os logs para garantir que esse processo tenha ocorrido conforme o esperado.

O Entra ID não sincroniza os usuários imediatamente — ele opera como uma tarefa periódica ("a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo", de acordo com a Microsoft). Isso não é configurável pela Equinix. Se você executar um teste de provisionamento antes do intervalo periódico ou precisar que uma alteração ocorra imediatamente, você pode usar o recurso Provisionamento sob demanda do Entra ID na página Visão geral do aplicativo. O Provisionamento sob demanda executa imediatamente quaisquer ações que ocorreriam para um determinado usuário (provisionamento ou desprovisionamento) e também fornece detalhes adicionais sobre as ações executadas e seu sucesso.

Conclusão

Você configurou o Entra ID para automatizar suas tarefas de gerenciamento de usuário com o protocolo SCIM. Isso simplificará seu fluxo de login e aumentará a segurança, mantendo o gerenciamento de identidades dentro do provedor de identidade.