为 Equinix 联合 SSO 配置 Microsoft Entra ID

将服务与身份提供商 (IdP) 集成是提升安全性和简化用户访问管理的成熟最佳实践。Equinix 支持基于Equinix的单点登录 (SSO)，使组织能够在访问Equinix时通过其自身的 IdP 对用户进行身份验证。此外，该身份平台现在还支持基于 SCIM 的用户配置和注销。借助此功能，IdP 不仅用于身份验证，还用于自动创建和删除Equinix用户帐户。

用户管理自动化可带来诸多益处，包括更流畅的用户体验、更低的管理开销、更少的人工错误以及更有效地执行安全策略。使用Microsoft Entra ID（原 Azure Active Directory）和 SCIM 协议，即可在Equinix中实现用户配置自动化，并在身份提供商内集中管理身份。

先决条件

请在 Equinix联合单点登录站点完成 SSO 注册。注册过程会提供一个集成 URL 和令牌，用于后续步骤。

如果使用现有的 Entra ID 企业应用程序通过 SAML 登录Equinix ，则应使用 user.mail 属性作为其唯一用户标识符。

创建企业应用程序

配置程序使用 Entra ID“企业应用程序”进行配置。要配置此应用程序，请打开 Azure 门户并导航至Microsoft Entra ID。展开“所有服务”。选择“添加”，然后从下拉列表中选择“企业应用程序”。

Add enterprise application

该门户网站会显示应用程序库。由于Equinix SCIM 服务目前处于测试阶段，尚未与Equinix Federation App 库应用程序集成，请选择“创建您自己的应用程序”，然后在弹出的对话框中选择“非库应用程序”。

请提供一个能够区分其用途的应用程序名称，例如“Equinix SCIM”或“Equinix Provisioning”。选择创建应用程序的选项。

配置单点登录属性

任何使用 SAML 与Equinix集成的身份提供商都必须将用户的电子邮件地址作为 SAML NameID 值传递。这可以在 Entra ID 中通过导航至“管理”进行配置。 > 选择“单点登录”，然后在“属性和声明”部分选择“编辑”。将“唯一用户标识符（名称 ID）”字段设置为 user.mail，名称标识符格式为电子邮件地址。

SAML nameid mapping

单点登录面板的“属性和声明”部分应与以下示例相符。

SAML attributes

请确保 NameID 以小写字母发送。

为避免配置和身份验证问题，请确保用作 NameID 的 SAML 断言属性采用小写格式。Equinix 在 SAMLEquinix验证和 SCIM 配置中区分用户标识符的大小写。如果发送的标识符大小写不同（例如，User@Example.com 和 user@example.com），则可能导致帐户重复、登录失败或同步错误。为避免这些问题，请确保在发送之前将唯一用户标识符（Name ID）规范化为小写。

在 Entra ID 应用程序中，选择“单点登录”和“属性和声明”。
在“必需声明”下，选择“唯一用户标识符（名称 ID）”。
在“管理索赔”中，在“来源”下选择“转换”，然后将转换值设置为小写，并保存索赔。

Selecting the Unique User Identifier (Name ID) claim in Entra ID

Configuring a lowercase transformation for the Unique User Identifier (Name ID) claim in Entra ID

启用配置

应用程序创建完成后，将显示“概览”页面，导航侧边栏中提供多个选项。展开“管理”下拉菜单，选择“配置”，然后选择“开始使用”。

App overview

当系统提示选择配置模式时，将默认值从“手动”更改为“自动”。

展开“管理员凭据”面板，输入 federation.equinix.com 提供的 URL 和令牌。使用“测试连接”验证 Entra ID 和Equinix之间的连接是否配置正确。您也可以在同一页面上展开“设置”面板，配置配置问题的电子邮件提醒，或启用 Entra ID 的意外删除保护功能。保存设置并返回应用程序的“概览”页面。

Provisioning config

配置属性映射

在侧边栏中，选择“管理”，然后选择“配置”。此时将显示“映射”面板。打开“配置Microsoft Entra ID 组”，关闭“已启用”开关，然后保存设置。打开“配置Microsoft Entra ID 用户”，并按如下所示配置映射：

Custom App Attribute	Microsoft Entra ID Attribute	Matching precedence
userName	mail	1
active	Switch([IsSoftDeleted], , "False", "True", "True", "False")
displayName	displayName
externalId	mailNickname
name.familyName	surname
name.givenName	givenName
phoneNumbers[type eq "work"].value	telephoneNumber (or 'mobile', depending on your environment)
locale	preferredLanguage

应删除额外的默认映射。

Attribute mappings

如果 Entra ID 不应自动对Equinix用户执行所有操作，请取消选中“创建”、“更新”或“删除”选项。例如，仅配置用户而不自动取消配置。保存更改。

连接建立并配置好属性映射后，返回“管理”页面。 > Provisioning 并将 Provisioning Status 设置为 On。

添加用户和组以进行配置

除非所有目录用户都已配置为通过高级应用程序设置进行同步，否则必须先将用户分配给应用程序，然后才能在Equinix中配置他们。请在“管理”中进行此分配。 > 用户和组。用户可以单独分配，也可以按组分配（取决于 Azure 订阅层级）。

User assignment

验证配置成功

此时，Entra ID 已完成在Equinix中配置和取消配置用户所需的设置。返回“概览”页面。一段时间后，Entra ID 将尝试配置已分配的用户。在初始配置周期内，请查看日志以确认该过程已按预期完成。

User provisioned Entra ID does not synchronize users immediately but runs as a periodic job (every 20-40 minutes, depending on the number of users and groups in the application, according to Microsoft). This interval is not configurable by Equinix.

要在计划时间间隔之外执行配置操作或立即应用更改，请使用 Entra ID 应用程序“概览”页面中的“On Demand（按需交叉连接）配置”功能。 “On Demand（按需交叉连接）配置”功能可对选定用户执行配置或取消配置操作，并提供有关已执行操作及其结果的详细信息。

Provision on demand

先决条件​

创建企业应用程序​

配置单点登录属性​

请确保 NameID 以小写字母发送。​

启用配置​

配置属性映射​

添加用户和组以进行配置​

验证配置成功​