Configurando o Okta para Equinix Federated SSO
A integração de serviços com provedores de identidade (IdPs) tornou-se uma prática recomendada do setor para empresas que buscam otimizar sua postura de segurança e simplificar o gerenciamento de acesso de usuário . O suporte da Equinix para SSO baseado em SAML (usando seu próprio IdP para fazer login na Equinix) já está disponível para todos e, para complementar, temos o prazer de anunciar o lançamento da versão beta do recurso mais recente de nossa plataforma de identidade: suporte para provisionamento e desprovisionamento de usuário baseado em SCIM. Isso significa que seu IdP não será apenas parte do fluxo de login, mas será diretamente responsável pela criação e remoção de contas de usuário da Equinix .
Automatizar o gerenciamento de usuário traz diversos benefícios para a sua empresa, incluindo uma experiência otimizada, redução da carga de TI, menor taxa de erros e maior capacidade de garantir a conformidade com as políticas de segurança. Este guia orientará você na automatização do provisionamento de usuário no Equinix com o Okta usando o protocolo SCIM.
Pré-requisitos
Este guia pressupõe que você já tenha concluído o processo de integração do SSO no site do Equinix Federated SSO (https://federation.equinix.com). O processo de integração do SSO fornecerá um URL de integração e um token, que serão referenciados neste guia.
Criando o aplicativo
O provisionador será configurado usando um aplicativo Okta. Para configurar isso, abra o console de administração do Okta e selecione Aplicativos na barra lateral. Clique em Navegar pelo Catálogo de Aplicativos. Embora em fase beta, o serviço SCIM da Equinix não está integrado ao aplicativo de catálogo do Portal do Cliente Equinix (ECP), então busca por "Governança com SCIM" e selecione (Token Portador OAuth) Governança com SCIM 2.0 e Adicionar Integração.
O aplicativo pode receber qualquer nome que o identifique razoavelmente, como "Equinix" ou "Equinix Provisioning". Em Opções de Login, os campos SAML para este aplicativo SCIM podem ser preenchidos se este aplicativo também for usado para o fluxo de login, mas o formato de nome de usuário do aplicativo em Detalhes das Credenciais deve ser definido como "E-mail" (e se um aplicativo Okta diferente do Equinix for usado para SSO SAML, este também deverá ser "E-mail"). Clique em Concluído para criar o aplicativo.
Certifique-se de que o NameID seja enviado em letras minúsculas.
Para evitar problemas de provisionamento e autenticação, certifique-se de que o atributo de declaração SAML usado como NameID esteja em letras minúsculas. O Equinix Metal trata os identificadores de usuário como sensíveis a maiúsculas e minúsculas na autenticação SAML e no provisionamento SCIM. Se o mesmo identificador for enviado com maiúsculas e minúsculas diferentes (por exemplo, User@Example.com e user@example.com), isso pode resultar em contas duplicadas, falhas de login ou erros de sincronização. Para evitar esses problemas, certifique-se de que o Identificador Único do Usuário (NameID) seja normalizado para letras minúsculas antes de ser enviado.
- No Console de Administração do Okta, acesse Aplicações.
- Na seção Configurações SAML, clique em Editar para configurar o SAML.
- Defina Nome de usuário do aplicativo como Personalizado e insira uma expressão em letras minúsculas.
Configurando o provisionamento
Após a criação do aplicativo, o Okta o levará ao painel de gerenciamento do aplicativo. Abra a seção Provisionamento na barra de guias e clique em Configurar Integração de API . Insira a URL e o token você por federation.equinix.com e teste as credenciais. Salve as alterações.
Observação: O serviço SCIM da Equinix não oferece suporte à funcionalidade de grupos no momento, mas planeja fazê-lo no futuro. Se você deseja que os grupos da Equinix sejam refletidos no Okta, pode ativar a função [Importar Grupos.
Habilitando o provisionamento
Com as credenciais definidas, volte para a aba Provisionamento e selecione Para Aplicativo. Clique em Editar para tornar as caixas de seleção editáveis e ative Criar Usuários, Atualizar Atributos de Usuário e Desativar Usuários. Certifique-se de que o nome de usuário padrão seja E-mail.
Configurando mapeamentos de atributos
Continuando na seção "Para o aplicativo", configure os mapeamentos dos atributos do Okta para os atributos do usuário do Equinix . Configure os mapeamentos conforme mostrado:
| Attribute | Attribute Type | Value | Apply on |
|---|---|---|---|
| userName | Personal | Configured in Sign On settings | |
| givenName | Personal | user.firstName | Create and Update |
| familyName | Personal | user.lastName | Create and Update |
| displayName | Personal | user.displayName | Create and Update |
| primaryPhone | Personal | user.primaryPhone | Create and Update |
| primaryPhoneType | Personal | "work" | Create and Update |
| locale | Group | user.locale | Create and Update |
Observe que primaryPhoneType está definido como work ao selecionar "Mesmo valor para todos os usuários".
Mapeamentos padrão adicionais devem ser excluídos ou não mapeados.
Adicionando usuários e grupos para provisionamento
Usuários podem ser atribuídos à aplicação para provisionamento individualmente ou em grupo. Abra a aba "Atribuições" e clique no botão "Atribuir" para adicionar usuários à aplicação. O Okta deve começar a provisionamento os usuários no Equinix imediatamente.
Verificando o provisionamento bem-sucedido
Neste ponto, o Okta deve ter toda a configuração necessária para provisionar e desprovisionar usuários no Equinix. Clique em "Exibir Logs" ao lado do nome do aplicativo no cabeçalho ou navegue até "Relatórios" e "Log do Sistema" para ver os eventos de provisionamento . É uma boa ideia monitorar o primeiro provisionamento após a configuração para garantir que a conexão esteja funcionando sem problemas.
Conclusão
Você configurou o Okta para automatizar suas tarefas de gerenciamento de usuário com o protocolo SCIM. Isso simplificará seu fluxo de login e aumentará a segurança, mantendo o gerenciamento de identidades dentro do provedor de identidade.