OIDC 提供商

创建 OIDC 提供商时，您需要指定 Equinix 用于与您的提供商建立信任关系的资源。

OIDC 提供商包括：

• 名称 - 为提供者拟定的易于理解的名称。

• 发行方位置 - OIDC 发行方位置 URL。此 URL 用于获取 OpenID 提供商配置，其中包括 JWKS 的 URL，可通过该 URL 获取其公钥。

• IDP 前缀 - 用于为 OIDC 提供商创建唯一的 IDP ID。IDP 前缀不能与此项目中任何现有的、已暂停或未暂停的 OIDC 提供商记录相同。

• 受信任客户端 ID - 指定能够将身份令牌交换为 Equinix API 访问令牌的 OAuth 2.0 客户端。在 令牌交换 期间，将检查 OIDC ID 令牌中的 audience (aud) 声明的值是否与受信任客户端 ID 列表相符。

• 组成员声明 - （可选）此 OIDC 发行者提供的 ID 令牌中包含主体组成员身份的声明名称，用于授权目的。ID 令牌中的组成员声明值必须是一个字符串数组，其中每个字符串都是一个唯一的、不可重新分配的组标识符。如果未设置此属性，则此提供程序提供的任何声明都不会被视为组成员声明。

创建 OIDC 提供程序

您可以使用客户门户或 Equinix API 在 Equinix 中创建 OIDC 提供商。您必须是公司管理员。

Portal

1. 登录到客户门户 --> 身份和访问管理。

2. 打开“OIDC 提供程序”选项卡。

3. 点击创建 OIDC 提供程序。

   

4. 在“创建 OIDC 提供程序”页面上，提供：

   • 提供者的名称
   • 您的 OIDC 发行方位置 URL
   • IDP 前缀，用于为身份提供商创建唯一标识符。
   • 允许交换身份令牌的受信任客户端 ID。在字段中输入 ID，然后单击 +。
   • 团体成员资格申请（可选）。

   

5. 点击创建 OIDC 提供程序。

API

要注册 OIDC 提供程序，请向 /v1/projects/{projectId}/oidcProviders 发送 POST 请求。 端点。在请求路径中指定项目。

在请求正文中，为 issuerLocation、idpPrefix、trustedClientIds 和可选的 groupMembershipClaim 指定一个友好、易于理解的名称以及您的 OIDC 颁发者和身份验证详细信息。

示例 cURL 请求：

curl -X POST 'https://sts.eqix.equinix.com/v1/projects/{projectId}/oidcProviders' \
-H 'content-type: application/json' \
-H 'authorization: Bearer <token>' \
-d '{
    "name": "<string>",
    "trustedClientIds": [
        "<string>"
    ],
    "groupMembershipClaim": "<string>",
    "issuerLocation": "<oidc_url>",
    "idpPrefix": "<string>"
}'

使用您的 OIDC 提供商

注册 OIDC 提供商后，可以使用 访问策略 或 角色 授予和管理对 Equinix 基础架构的访问权限。

然后，使用 /v1/token 端点请求在调用 Equinix API 时使用的持有者令牌。有关更多信息，请参阅 OIDC API 身份验证。