为 Equinix 联合 SSO 配置 Microsoft Entra ID
对于希望优化安全态势并简化用户访问管理的企业而言,将服务与身份提供商 (IdP) 集成已成为行业最佳实践。Equinix 对基于 SAML 的单点登录 (SSO) 的支持(即使用您自己的 IdP 登录 Equinix)已正式发布。与此同时,我们很高兴地宣布推出身份平台最新功能——基于 SCIM 的用户配置和注销支持的测试版。这意味着您的 IdP 不仅会参与登录流程,还将直接负责创建和删除 Equinix 用户帐户。
自动化用户管理能为您的企业带来诸多益处,包括简化体验、减轻 IT 负担、降低错误率以及增强安全策略合规性。本指南将指导您使用 SCIM 协议,在Equinix中使用Microsoft Entra ID(以前称为 Azure Active Directory)自动完成用户配置。
先决条件
本指南假设您已在 Equinix Federated SSO 网站 完成 SSO 注册。SSO 注册流程将为您提供集成 URL 和令牌,本指南中将引用这些信息。
如果您已有用于通过 SAML 登录 Equinix 的 Entra ID 企业应用程序,我们假设它使用 user.mail 属性作为其唯一用户标识符。
创建企业应用程序
配置程序将使用 Entra ID“企业应用程序”。要配置此应用程序,请打开 Azure 门户并导航至 Microsoft Entra ID(您可能需要展开“所有服务”)。门户顶部有一个“添加”按钮,点击后会打开一个下拉列表,您可以从中选择“企业应用程序”。
Azure 会提示您选择要集成的应用程序,并向您展示一个图库。Equinix 的 SCIM 服务在测试阶段尚未与Equinix Federation App 图库应用程序集成,因此您需要点击页面顶部的“创建您自己的应用程序”,然后在模态对话框中选择“非图库”。应用程序名称可以是任何能够有效区分应用程序用途的名称,例如“Equinix SCIM”或“Equinix Provisioning”。点击按钮即可创建应用程序。
配置单点登录属性
任何使用 SAML 与 Equinix 集成的身份提供商都必须将用户的电子邮件地址作为其 SAML NameID 值传递。这可以在 Entra ID 中进行配置,方法是导航至“管理”>“单点登录”,然后在“属性和声明”框中单击“编辑”。“唯一用户标识符(名称 ID)”字段必须设置为 user.mail,名称标识符格式为电子邮件地址。
您的单点登录面板的属性和声明部分应与以下示例相符。
请确保 NameID 以小写字母发送。
为避免配置和身份验证问题,请确保用作 NameID 的 SAML 断言属性采用小写格式。Equinix Metal 在 SAML 身份验证和 SCIM 配置中区分用户标识符的大小写。如果发送的标识符大小写不同(例如,User@Example.com 和 user@example.com),则可能导致帐户重复、登录失败或同步错误。为避免这些问题,请确保在发送之前将唯一用户标识符(Name ID)规范化为小写。
- 在 Entra ID 应用程序中,选择“单点登录”和“属性和声明”。
- 在“必需声明”下,选择“唯一用户标识符(名称 ID)”。
- 在“管理索赔”中,在“来源”下选择“转换”,然后将转换值设置为小写,并保存索赔。
启用配置
创建应用程序后,您应该位于应用程序的“概述”页面,导航侧栏中提供了几个选项。展开“管理”下拉菜单,打开“配置”,然后选择“开始使用”。
Entra ID 将提示您选择配置模式,默认为“手动”。请将其更改为“自动”。
展开“管理员凭据”面板,输入 federation.equinix.com 提供给您的 URL 和令牌。使用“测试连接”功能验证 Entra ID 和 Equinix 之间的连接信息是否配置正确。如果您希望配置任何配置问题的电子邮件警报或启用Entra ID 的意外删除预防功能,也可以展开同一页面上的“设置”面板。保存设置并返回应用程序的“概述”页面。
配置属性映射
在侧边栏中,点击“管理”,然后再次点击“配置”。将会弹出一个名为“映射”的新面板。打开“配置Microsoft Entra ID 组”,关闭“已启用”开关,然后保存设置(Equinix组功能将在未来的 SCIM 更新中推出)。打开“配置Microsoft Entra ID 用户”,并按如下所示配置映射:
| Custom App Attribute | Microsoft Entra ID Attribute | Matching precedence |
|---|---|---|
| userName | 1 | |
| active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | |
| displayName | displayName | |
| externalId | mailNickname | |
| name.familyName | surname | |
| name.givenName | givenName | |
| phoneNumbers[type eq "work"].value | telephoneNumber (or 'mobile', depending on your environment) | |
| locale | preferredLanguage |
应删除额外的默认映射。
如果您不希望 Entra ID 自动对Equinix用户执行所有这些操作(例如,如果您只希望配置用户但不自动取消配置),则可以取消选择“创建”、“更新”或“删除”。保存更改。
最后,建立连接并设置属性映射后,您可以返回到管理、配置并将配置状态切换为开启。
添加用户和组以进行配置
除非您选择在应用程序的高级设置中同步所有目录用户,否则用户需要先分配到应用程序才能在Equinix中进行配置。此分配在“管理”、“用户和组”中进行。用户可以单独分配,也可以按组分配(取决于您的 Azure 订阅层级)。
验证配置成功
此时,Entra ID 应该已具备在Equinix中配置和取消配置用户所需的所有配置。您可以返回概览页面。一段时间后,Entra ID 将尝试配置已分配的用户。首次配置时,您可能希望检查日志以确保此过程按预期执行。
Entra ID 不会立即同步用户——它以周期性作业的方式运行(据Microsoft称,“每 20-40 分钟一次,具体取决于应用程序中的用户和组数量”)。Equinix 无法对此进行配置。如果您希望比Equinix间隔更早地运行配置测试,或者需要立即进行更改,您可以使用应用程序“概览”页面中 Entra ID 的按需配置功能。按需配置会立即运行针对给定用户的任何操作(配置或取消配置),并提供有关其执行的操作及其成功情况的更多详细信息。
总结
您已配置 Entra ID,以使用 SCIM 协议自动执行用户管理任务。这将简化您的登录流程,并通过将身份管理保留在身份提供商内部来增强安全性。