跳至内容

为 Equinix 联合 SSO 配置 Okta

对于希望优化安全态势并简化用户访问管理的企业而言,将服务与身份提供商 (IdP) 集成已成为行业最佳实践。Equinix 对基于 SAML 的单点登录 (SSO) 的支持(即使用您自己的 IdP 登录 Equinix)已正式发布。与此同时,我们很高兴地宣布推出身份平台最新功能——基于 SCIM 的用户配置和注销支持的测试版。这意味着您的 IdP 不仅会参与登录流程,还将直接负责创建和删除 Equinix 用户帐户。

自动化用户管理能为您的企业带来诸多益处,包括简化体验、减轻 IT 负担、降低错误率以及增强安全策略合规性。本指南将指导您使用 SCIM 协议,在Equinix中使用 Okta 实现用户配置自动化。

先决条件

本指南假设您已在 Equinix Federated SSO 网站 完成 SSO 注册。SSO 注册流程将为您提供集成 URL 和令牌,本指南中将引用这些信息。

创建应用程序

预配器将使用 Okta 应用程序进行配置。要配置此功能,请打开 Okta 管理控制台,并在侧边栏中选择“应用程序”。点击“浏览应用程序目录”。Equinix 的 SCIM 服务处于测试阶段,尚未与Equinix Customer Portal目录应用程序集成,因此请搜索“使用 SCIM 进行治理”,并选择“(OAuth Bearer Token) 使用 SCIM 2.0 进行治理”并添加集成。

该应用可以命名为任何能够合理标识其名称的名称,例如“Equinix”或“Equinix Provisioning”。在“登录选项”下,如果此 SCIM 应用也将用于登录流程,则可以填写其 SAML 字段,但“凭证详细信息”下的应用用户名格式必须设置为“电子邮件”(如果使用其他 Okta 应用进行 SAML SSO 到Equinix,则该应用也必须设置为“电子邮件”)。点击“完成”以创建应用。

Credentials details

请确保 NameID 以小写字母发送。

为避免配置和身份验证问题,请确保用作 NameID 的 SAML 断言属性采用小写格式。Equinix Metal 在 SAML 身份验证和 SCIM 配置中区分用户标识符的大小写。如果发送的标识符大小写不同(例如,User@Example.comuser@example.com),则可能导致帐户重复、登录失败或同步错误。为避免这些问题,请确保在发送之前将唯一用户标识符(Name ID)规范化为小写。

  1. 在 Okta 管理控制台中,转到 Applications
  2. 在“SAML 设置”部分,单击“编辑”以配置 SAML。
  3. Application username 设置为 Custom,并输入小写表达式。

Configuring Application username to Custom in Okta SAML Settings

Entering a lowercase expression for the Application username in Okta SAML Settings

配置配置

应用程序创建完成后,Okta 将带您进入应用程序的管理面板。打开标签栏中的“Provisioning”部分,然后单击“Configure API Integration”。输入 federation.equinix.com 提供给您的 URL 和令牌,并测试凭据。保存更改。

注意:Equinix 的 SCIM 服务目前不支持群组功能,但未来计划支持。如果您希望 Equinix 群组反映在 Okta 中,您可以启用导入群组功能

Credentials verified

启用配置

凭证到位后,返回“Provisioning”选项卡,选择“To App”。点击“Edit”使复选框可编辑,然后勾选“Create Users”、“Update User Attributes”和“Deactivate Users”。确保默认用户名为“Email”。

Enable provisioning

配置属性映射

继续在“至应用程序”部分下,配置 Okta 属性到Equinix用户属性的映射。按如下所示配置映射:

AttributeAttribute TypeValueApply on
userNamePersonalConfigured in Sign On settings
givenNamePersonaluser.firstNameCreate and Update
familyNamePersonaluser.lastNameCreate and Update
displayNamePersonaluser.displayNameCreate and Update
primaryPhonePersonaluser.primaryPhoneCreate and Update
primaryPhoneTypePersonal"work"Create and Update
localeGroupuser.localeCreate and Update

请注意,通过选择“所有用户使用相同值”,primaryPhoneType 设置为 work

应删除或取消映射其他默认映射。

Attribute mappings

添加用户和组以进行配置

您可以将用户单独或按组分配到应用程序进行配置。打开“分配”选项卡,然后点击“分配”按钮,将用户添加到应用程序。Okta 应该会立即在Equinix中开始配置用户。

User assignment

验证配置成功

此时,Okta 应该已具备在Equinix中配置和取消配置用户所需的所有配置。点击标题栏中应用程序名称旁边的“查看日志”,或导航至“报告”>“系统日志”以查看配置事件。设置后,最好监控首次配置,以确保连接顺畅运行。

Provisioned

总结

您已配置 Okta 使用 SCIM 协议自动执行用户管理任务。这将简化您的登录流程,并通过将身份管理保留在身份提供商内部来增强安全性。

此页面有帮助吗?