身份和访问管理
Equinix 使用基于角色的访问控制 (RBAC) 来管理其服务。管理员可以定义资源层次结构并分配适用于子资源的权限。借助 RBAC,用户可以基于角色获得访问权限,并使用一组凭证登录。
特点
-
身份管理 – 管理您的访问权限和安全设置。关联您的帐户,无需重新登录即可在它们之间切换。
-
客户资源层级 – 查看和管理组织、项目和资源的结构。
-
基于角色的访问控制 – 添加用户并授予用户对特定资源的访问权限。创建适合您内部组织架构的自定义角色。
身份管理
已迁移到Identity and Access Management的用户可以使用Identity and Access Management。
入职培训分阶段进行。在将您的组织迁移到Identity and Access Management)之前,我们会通过电子邮件通知您。
要访问Identity and Access Management门户:
-
导航至身份和访问管理门户。
-
输入你的用户名和密码。
注意资源层次结构迁移到Identity and Access Management后,您现有的Equinix用户名和密码将继续有效。
-
点击登录。
Equinix 身份验证
Equinix已实施基于电子邮件的平台访问身份验证。新客户将自动启用此身份验证功能,而现有客户可以通过自助服务流程进行迁移。该系统允许用户使用电子邮件地址登录Equinix门户。
多因素身份验证 (MFA) 和单点登录 (SSO) 访问选项
Equinix支持两种安全访问Customer Portal的方式: Equinix管理的多因素身份验证 (MFA) 登录和联合单点登录 (SSO)。两者都能增强账户安全性,但在设置难度、用户体验以及对大型分布式组织的扩展性方面有所不同。
| SSO (Federated login) | MFA (Equinix‑managed login) | |
|---|---|---|
| Security | Relies on the customer’s identity provider (IdP) to authenticate users; Equinix trusts the IdP assertion at login. | Adds a second authentication factor (SMS or authenticator app) to Equinix email/password login, significantly reducing unauthorized access risk. |
| User experience | Users sign in using existing corporate credentials via “Sign in with SSO,” with no separate Equinix MFA enrollment required. | Users must enroll and maintain an Equinix‑specific second factor; access can be impacted if users cannot complete MFA challenges. |
| Setup effort | One‑time, organization‑level setup; an administrator registers the company’s identity provider (IdP) with Equinix by submitting SAML metadata and a certificate through the Customer Portal. See Register for Federated SSO. | Quick to enable at the organization level (see MFA); individual users are then prompted to configure their authentication factors. |
| Ongoing management | Access is centrally managed through the customer’s IdP, aligning with existing onboarding and offboarding processes. | Ongoing support is user‑driven (device changes, MFA issues, re‑enrollment). |
| Best fit | Works best for large enterprises with established identity platforms and distributed workforces. | Works best for smaller user populations or customers without an enterprise IdP. |
推荐
对于大型企业, Equinix建议使用联合单点登录 (SSO) 来访问Customer Portal。虽然多因素身份验证 (MFA) 有效且易于启用,但它要求每个用户成功设置并维护Equinix特有的第二因素,这在大规模部署时可能会带来访问方面的挑战。
单点登录 (SSO) 需要管理员进行更多初始配置,但一旦配置完成,它就能提供一致的登录体验,将访问控制集中在客户的身份平台内,并减少用户和支持人员的后续操作。拥有成熟身份平台的企业通常发现,SSO 在安全性、易用性和管理控制方面实现了最佳平衡,尤其适用于访问Customer Portal。
可选地,SSO 可以与 SCIM 扩展,以自动执行用户配置、取消配置和组角色/权限分配,从而最大限度地减少手动帐户管理并降低过时访问权限的风险。
关于共享账户的说明
Equinix不允许共享Customer Portal凭据。虽然没有任何系统能够完全阻止他人尝试共享凭据,但联合单点登录 (SSO) 的设计理念是确保用户身份的唯一性。它允许客户强制执行“一人一账户”的访问权限,符合企业安全最佳实践,从而降低与凭据共享相关的风险。
什么是客户资源层次结构?
客户资源层级结构是一种反映客户需求和资源配置的层级结构。 您的组织架构。它由以下构建模块组成: 不同类型的组织 项目,以及产品资产,例如 Fabric 连接或网络边缘虚拟设备。创建组织和 项目,并管理计费帐户分配以建立资源 与贵组织的架构和运营相匹配的结构。
基于角色的访问控制
基于角色的访问控制允许您:
- 添加用户并将其分配到组织和项目。
- 分配角色来控制对您的Equinix资产和资源的权限和访问。
- 创建适合您内部组织结构的自定义角色。
角色(Roles)提供了一种便捷的方式来控制用户对组织内项目和资产的访问权限。角色是一组权限,用于控制谁可以访问组织内的不同资源。您可以为不同级别的用户分配角色,以允许他们访问项目、 组织机构以及特定领域的产品相关内容。
权限通过基于行业标准的 IAM 权限结构赋予角色相应的功能。每个权限采用以下形式:Service.Resource.Verb,其中 Service 表示被调用的 IAM 服务,Resource 表示被操作的系统资源,Verb 表示该权限允许执行的操作。
最佳实践
遵循这些使用Identity and Access Management的建议来确保您的Equinix资源的安全。
授予最小权限 - 最小权限原则 (PoLP) 是一种信息安全概念,指用户拥有履行其工作职责所需的最低访问权限(或许可)。PoLP 的扩展范围超越了用户访问权限,因为它在系统层次结构中创建了自动资源控制。您的主管理员或 IAM 管理员必须确定用户需要执行的操作,并仅向他们分配适当的角色。
允许角色管理权限 - 无需创建自定义权限,而是允许内置角色和权限管理对项目和资产的访问权限。这种方法开销较少,让您可以专注于管理整体层级结构、组织和项目。
自定义角色 允许您为自己设计的角色选择所需的权限。