AD FS
Integrieren Sie SAML mit Active Directory Federation Services
Verkada Command kann in Active Directory Federation Services (AD FS) integriert werden, damit sich Ihre Benutzer mit ihren vorhandenen AD-Anmeldeinformationen anmelden können.
Security Assertion Markup Language (SAML) ist die Sprache, mit der AD FS mit Command kommunizieren kann, um Ihren Benutzern sicher Zugriff auf Ihre Organisation zu gewähren.
OIDC SSO
—
SAML SSO
Ja
SCIM-Bereitstellung
—
ECE-Unterstützung
—
SAML fügt Ihrer Organisation keine Benutzer hinzu und lädt auch keine Benutzer ein. Es ermöglicht lediglich zuvor bereitgestellten Benutzern, sich mit ihren AD-Anmeldeinformationen anzumelden, statt mit einem von Verkada verwalteten Benutzernamen und Passwort.
Wenn Sie daran interessiert sind, Domänenbenutzer und -gruppen mit Command zu synchronisieren, erfahren Sie mehr über SCIM.
Bevor Sie beginnen
Um die SAML-Integration zu beginnen, müssen Sie die Client-ID Ihrer Organisation generieren (wobei die Client-ID groß-/kleinschreibungssensitiv ist).
Konfiguration
Vertrauende Partei hinzufügen
Öffnen Sie die AD FS-Verwaltung.
Wählen Sie Aktion > Vertrauensstellung für vertrauende Partei hinzufügen.
Aktivieren Sie Claims aware und klicken Sie auf Start.
Wählen Sie Daten über die vertrauende Partei manuell eingeben und klicken Sie auf Weiter.
Geben Sie einen Anzeigenamen ein (kann beliebig sein) und klicken Sie auf Weiter.
Geben Sie optional ein Tokenverschlüsselungszertifikat an (klicken Sie zum Angeben auf Durchsuchen) und klicken Sie dann auf Weiter.
Aktivieren Sie die Unterstützung für das SAML-2.0-WebSSO-Protokoll, und geben Sie im Feld SAML-2.0-SSO-Dienst-URL der vertrauenden Partei (ersetzen Sie client-ID durch die zuvor generierte Client-ID):
Für US-Organisationen: https://vauth.command.verkada.com/saml/sso/%3Cclient-ID%3E
Für EU-Organisationen: https://saml.prod2.verkada.com/saml/sso/
Um zu bestätigen, in welcher Region Sie sich befinden, sehen Sie bitte nach, wo Ihre Organisation für Verkada erstellt wurde.
Klicken Sie auf Weiter.
Geben Sie im Feld Bezeichner der Vertrauensstellung für die vertrauende Partei dieselbe URL aus Schritt 7 ein, und klicken Sie auf Hinzufügen > Weiter.
Konfigurieren Sie eine geeignete Zugriffssteuerungsrichtlinie für diese Anwendung und klicken Sie auf Weiter.
Überprüfen Sie die Einstellungen der vertrauenden Partei und klicken Sie auf Weiter > Schließen.
Anspruchsausstellungsrichtlinie bearbeiten
Klicken Sie mit der rechten Maustaste auf die neu erstellte Vertrauensstellung für die vertrauende Partei und wählen Sie Anspruchsausstellungsrichtlinie bearbeiten aus.
Klicken Sie auf Regel hinzufügen > OK.
Transformationsregel für Ansprüche hinzufügen
Stellen Sie sicher, dass LDAP-Attribute als Ansprüche senden ausgewählt ist, und klicken Sie auf Weiter.
Konfigurieren Sie diese Regелеinstellungen und klicken Sie (wenn Sie fertig sind) auf Fertig stellen:
a. Geben Sie einen Anspruchsregelnamen ein (kann beliebig sein). b. Unter Attributspeicherstellen Sie sicher, dass Active Directory ausgewählt ist. c. Konfigurieren Sie diese LDAP-Attribute so, dass sie dem richtigen Ausgehenden Anspruchstyp:
E-Mail-Addresses > E-Mail Address
Given-Name > Given Name
Surname > Surname
Wählen Sie unter Anspruchsregelvorlage Transform einen eingehenden Anspruch, um eine weitere Regel hinzuzufügen, und klicken Sie auf Weiter.
Konfigurieren Sie die Anspruchsregel:
a. Geben Sie einen Anspruchsregelnamen ein (kann beliebig sein). b. Neben Eingehender Anspruchstypwählen Sie E-Mail Address. c. Neben Ausgehender Anspruchstypwählen Sie Name ID. d. Neben Format der ausgehenden Name IDwählen Sie Transiente Kennung. e. Stellen Sie sicher, dass Alle Anspruchswerte durchleiten ausgewählt ist. f. Klicken Sie auf Fertig stellen.
Rufen Sie https:///FederationMetadata/2007-06/FederationMetadata.xml auf, um Ihre XML-Metadatendatei herunterzuladen.
Verwenden Sie dabei nicht Internet Explorer, um diesen Schritt abzuschließen; die Verwendung von Internet Explorer kann Probleme mit der XML-Datei verursachen.
SAML-Einrichtung in Command abschließen
Befolgen Sie die Schritte in SAML für Ihr Command-Konto aktivieren um die SAML-Einrichtung in Command abzuschließen.
Integration testen
Sobald die Integration abgeschlossen ist, testen Sie sie.
Öffnen Sie ein Inkognito-/privates Browserfenster und rufen Sie auf (wobei Sie clientID durch die oben generierte Client-ID ersetzen):
Um zu bestätigen, in welcher Region Sie sich befinden, sehen Sie bitte nach, wo Ihre Organisation für Verkada erstellt wurde.
Sie sollten zu Ihrer AD-FS-Anmeldeseite weitergeleitet werden. Versuchen Sie, sich mit Ihren Anmeldeinformationen anzumelden.
Wenn Sie zu Ihrer Command-Organisation weitergeleitet werden – herzlichen Glückwunsch – war die SAML-Integration erfolgreich!
Zuletzt aktualisiert
War das hilfreich?