概述
OIDC 提供商功能目前处于有限可用性 (LA) 状态。访问权限仅限于特定客户和用例。功能可能不完整、可能会更改,并且可能存在缺陷。运行安全措施和容量限制适用。使用此 API 即表示您确认:
- 它仅用于早期体验和反馈目的。
- 供应情况可能受地区、市场或容量限制。
- 现阶段无法保证功能、性能和稳定性。
- 文档和支持资源可能会不断更新。
- 在此阶段收集的反馈意见将有助于在正式发布 (GA) 之前进行改进。
在未了解这些限制的情况下,请勿在生产环境中部署这些服务。正式发布后,我们将提供完整的商业支持和服务级别协议 (SLA)。
Equinix 安全令牌服务 (STS) 提供了一种安全的身份联合机制,可实现 Equinix 平台和服务之间的无缝身份验证和授权。
这样,您可以将来自受信任身份提供商的 OpenID Connect (OIDC) ID 令牌交换为 Equinix 访问令牌,用于访问 Equinix API 和服务。如果您已有身份提供商,则无需再为 Equinix 服务管理单独的凭据。
Equinix 对 OIDC 令牌实施严格的验证,使用提供商的 JWKS 来验证颁发者、受众声明和签名。访问令牌会根据身份提供商的信任配置和主体的组成员身份,以适当的范围颁发。
主要特点:
- 身份提供商和信任关系管理:创建、更新、暂停、恢复和删除受信任的 OIDC 提供商,以控制哪些身份提供商和客户端 ID 受信任用于身份验证。
- 基于组的授权:将身份提供商组声明映射到 Equinix 授权策略。
- 访问控制:支持基于角色的访问控制和基于属性的访问控制,以管理对 Equinix 服务的权限和访问。
- 令牌交换:实现 OAuth 2.0 令牌交换(RFC 8693),将 OIDC ID 令牌转换为 Equinix 访问令牌。
工作负载身份联盟
在 Equinix 上使用 OIDC 提供程序,可以支持来自 GitHub Actions 或 Terraform Cloud 等平台的基于身份的身份验证,从而实现 CI/CD 自动化。
要使用您自己的身份提供商,请执行以下操作:
- 从您使用的根项目中注册 OIDC 提供程序。此操作会在根项目和 OIDC 提供程序之间建立信任关系,以便可以访问 OIDC 提供程序中的身份令牌进行令牌交换。
- 使用 角色 或 访问策略(或两者都使用)从您的 OIDC 提供商授予主体访问权限。
- 从您的 OIDC 提供商处获取身份令牌。
- 执行令牌交换以获取 Equinix API 持有者令牌。
访问控制范围
执行令牌交换时,访问令牌会根据指定范围授予权限,该范围是以下各项的某种组合:
-
角色和角色分配 - 授予负责人组织内所有已分配角色的权限。
-
单个命名访问策略 - 授予该特定访问策略的权限。
-
授予项目负责人所有访问策略 - 授予特定项目中负责人所有访问策略的权限,无论是直接授予负责人本身,还是通过联合负责人的组成员身份间接授予。
-
授予组织中主体的所有访问策略 - 授予主体在给定组织的组织树中的所有项目(包括该组织的管理项目)中所有访问策略的权限。
令牌授予的有效权限是所有作用域权限的并集;只要其中任何一个作用域允许,该操作就被允许。
作用域已进行有效性检查。以下组合是有效的作用域:
scope value | Resulting scope type(s) |
|---|---|
roleassignments:<org-id> | Assigned roles in the organization |
ern:<access-policy-ern> | Single access policy |
projectpolicies:<project-id> | One or more access policies in a project |
orgpolicies:<org-id> | One or more access policies in an organization |
orgpolicies:<org-id> roleassignments:<org-id> | One or more access policies in an organization + Assigned roles in the organization |
代币兑换
要将 OIDC 提供程序令牌交换为 Equinix API 持有者令牌,请使用 /v1/token 端点。有关更多信息,请参阅 OIDC API 身份验证。