使用 SCIM 进行配置

跨域身份管理系统 (SCIM) 可实现自动化、安全且可扩展的用户生命周期管理。通过利用标准化的 SCIM API，身份提供商 (IdP) 可以创建、更新和删除Equinix用户帐户，从而无需手动配置，并确保跨系统访问的一致性和最新性。

启用后，基于 SCIM 的配置将取代通过联合单点登录 (SSO) 进行的手动用户配置文件管理，转而采用标准化的 API 自动化。身份提供商 (IdP) 使用 SCIM API 自动创建、更新和删除 Equinix 用户帐户。身份验证仍然由 IdP 通过 SAML 或 OIDC 处理。

SCIM 配置流程

要通过 SCIM API 调用启用用户配置：

1. 在客户门户中，转到_管理_菜单，然后选择帐户和安全管理。

   注意

   只有管​​理员才能看到管理菜单。

2. 点击“联合单点登录”查看联合详细信息屏幕。或者，您可以前往https://federation.equinix.com/。

3. 选择“配置”选项卡。如果您已成功设置联合连接并使用联合身份验证登录，则此选项可用。

   

4. 点击切换按钮，启用 SCIM API 来配置用户配置文件。启用 SCIM API 调用将禁用用户的联合单点登录访问权限。在此过程中，自助服务联合 (SSF) 门户中无法执行任何其他操作。

   

5. 处理时间最多可能需要 5 分钟，具体取决于您组织中的用户数量。成功启用自动配置后，您可以继续设置 SCIM API。

6. 要生成用于 SCIM API 访问的令牌，请点击“生成新令牌”。您最多可以同时拥有两个令牌。如果需要新令牌，请先删除现有令牌。将生成的令牌以及端点 URL 提交给您的身份提供商 (IdP) 以建立连接。

   

7. 将显示令牌详细信息。复制令牌并将其保存在安全位置。您需要该令牌才能访问 API 端点。

   

   注意

   这是唯一一次显示令牌详情。如果您丢失了令牌，则需要删除现有令牌并重新生成新令牌。

8. 要开始配置设置，请将鼠标悬停在“配置设置”上以选择您的配置类型。

9. 选择“无限制”可配置所有用户，或选择“按组成员身份限制”可将配置限制在特定的身份提供商 (IdP) 组。这样就完成了环境中的自动化用户管理。

10. 将鼠标悬停在某个部分上即可编辑或删除它，或者点击“暂停”按钮停止同步。您可以随时点击“启用”按钮恢复同步。

配置基于组的配置

Equinix 支持使用 SCIM 进行受限配置，允许组织将用户配置限制在特定的身份提供商 (IdP) 组内。这种设置非常适合希望更精细地控制哪些用户配置到 Equinix 系统中的客户。

启用 SCIM 配置时，您可以选择以下选项：

• 不受限制 – 来自身份提供商 (IdP) 的所有用户均可获得配置。
• 受组成员身份限制 – 只有属于指定组的用户才能获得权限。

要进行此配置，请按照以下步骤操作：

1. 在“配置同步”部分，选择合适的配置设置。
2. 完成配置设置。

SCIM 配置可以随时启用或禁用。禁用 SCIM 配置会完全重置配置。仅当您打算完全重置或停止基于 SCIM 的配置时才使用此选项。

面向联合客户的 SCIM 群组管理

Equinix 支持基于 SCIM 的联合身份提供商 (IdP) 群组配置，允许客户使用其现有的群组结构来管理访问权限。这使得角色分配、访问范围控制和审计日志记录能够与组织层级结构保持一致。

对于在单一联合连接下拥有多个组织的客户，SCIM 组管理功能可实现以下几点：

• 基于组的角色分配：将角色分配给身份提供程序组（IdP 组），以便所有组成员自动继承权限。
• 嵌套组支持：Equinix 可解析嵌套成员关系，允许子组成员继承父组权限。
• 组织级访问权限继承：分配给父组织级别组的角色可以自动应用于子组织及其相关资源。
• 范围访问：可以将组分配的范围限定于特定组织或项目，以确保访问边界与您的内部结构一致，并防止跨组织访问。
• 保留个人角色：从群组中移除的用户将保留其单独分配的任何角色。
• 审计日志记录：所有群组生命周期事件和成员变更都会被记录，以符合合规性要求。
• 多组织端点支持：单个 SCIM 端点可以使用元数据管理多个组织。

编辑组和角色

1. 前往客户门户，然后从左侧菜单中选择身份和访问管理。

   

2. 在“身份和访问管理”页面中，从顶部导航栏中选择“组”。

3. 找到要管理的群组。在群组行的右侧，单击操作菜单以查看或编辑群组详细信息。

   

4. 点击“查看群组详情”打开“群组详情”页面。

   

5. 在群组行的右侧，点击查看角色详情以查看角色信息。点击编辑群组以查看和编辑可用角色列表。

   

   

6. 点击“编辑群组”打开“编辑群组”页面，查看可用角色。使用搜索框或按角色类别筛选，缩小列表范围。

   

7. 勾选复选框，选择要添加到群组的角色。点击下一步。

   

8. 请检查并确认您的选择。角色更改会影响组内所有用户的权限。点击“应用更改”。

   

配置 EntraID 和 Okta

要了解如何配置 EntraID 和 Okta，请参阅：

• Configuring Microsoft Entra ID for Equinix Federated SSO

• Configuring Okta for Equinix Federated SSO