Google Workspace
Konfigurieren Sie SSO und Benutzerbereitstellung mit Google Workspace
Verkada Command bietet die Möglichkeit, sich in Google Workspace (neben anderen Identity Providern [IdPs]) für Single-Sign-On-(SSO-)Szenarien zu integrieren. Die Security Assertion Markup Language (SAML) übernimmt dabei die Authentifizierungsseite, sodass Google Workspace zur Verwaltung des Zugriffs auf Command verwendet werden kann.
Verkada empfiehlt OIDC gegenüber SAML für erhöhte Sicherheit und einfachere Konfiguration.
OIDC-basiertes SSO für Google Workspace
Verkada Command unterstützt Single Sign-On (SSO) über OpenID Connect (OIDC) mit Google Workspace. Diese Integration ermöglicht es unseren Benutzern, sich nahtlos und sicher mit ihren vorhandenen Google-Anmeldedaten zu authentifizieren, wodurch der Zugriff auf Command vereinfacht und die Gesamtsicherheit erhöht wird.
OIDC wird von den Pass- oder Desk Station-Apps nicht unterstützt.
Aktivieren Unternehmensgesteuerte Verschlüsselung (ECE) für mehr Sicherheit.
OIDC-Konfiguration
Melden Sie sich bei Ihrem Google Cloud Console.
Klicken Sie auf Neues Projekt, um ein neues Projekt unter Ihrer Google-Workspace-Organisation zu erstellen.
Navigieren Sie in Ihrem neuen Projekt zu APIs & Services > Library.
a. Aktivieren Sie die folgenden APIs:
Identity and Access Management (IAM) API
Admin SDK API
Navigieren Sie zu APIs & Services > OAuth-Zustimmungsbildschirm. Wählen Sie bei Benutzer-Typ Internal und klicken Sie auf Erstellen.
Klicken Sie auf App bearbeiten.
Konfigurieren Sie Ihren OAuth-Zustimmungsbildschirm. Geben Sie Ihrer App einen eindeutigen Namen (z. B. Verkada SSO OIDC) und tragen Sie die E-Mail-Adresse der Stelle, die das Google Workspace Ihrer Organisation verwaltet (z. B. IT), als Support-E-Mail-Adresse Ihrer App ein. Klicken Sie auf Speichern und fortfahren.
Konfigurieren Sie Ihre OAuth-Bereiche.
Wählen Sie die folgenden Bereiche aus:
userinfo.email
userinfo.profile
openid
Klicken Sie auf Aktualisieren.
Wenn Sie die letzte Option nicht sehen, müssen Sie möglicherweise Zur Tabelle hinzufügen unter Bereiche manuell hinzufügen.
Klicken Sie auf Speichern und fortfahren und kehren Sie zum Dashboard Ihrer Anwendung zurück.
Navigieren Sie zu Anmeldedaten. Klicken Sie auf Anmeldedaten erstellen und erstellen Sie eine OAuth-Client-ID.
Wählen Sie Webanwendung als Anwendungstyp. Geben Sie Ihrem Client einen eindeutigen Namen und fügen Sie der Liste der autorisierten Redirect-URIs Folgendes hinzu:
https://org-short-name.command.verkada.com/oidc/google/callback (wobei org-short-name der Kurzname für Ihre Command-Organisation ist)
Klicken Sie auf Erstellen.
Kopieren Sie Ihre Client-ID. Beachten Sie, dass wir das Client-Geheimnis nicht verwenden werden.
Verkada Command-Konfiguration
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Anmeldung & Zugriff aus.
Wählen Sie Single-Sign-On-Konfiguration aus.
Klicken Sie unter OIDC-Konfiguration auf Neu hinzufügen.
a. Aktivieren Sie Aktivieren. b. (Optional) Aktivieren Sie OIDC SSO erforderlich. c. Unter Anbieter auswählenwählen Sie Google. d. Unter Client und Mandant hinzufügen, klicken Sie auf :plus:.
Fügen Sie im Client-ID Feld fügen Sie die Client-ID ein, die Sie aus der Google Cloud Console kopiert haben.
Fügen Sie im Feld Mandanten-ID Feld geben Sie die von der Google Workspace Ihrer Organisation verwendete Domain ein (wenn Ihre Google-E-Mail [email protected]lautet, geben Sie your-domain.com ein).
Klicken Sie auf Fertig um die Konfiguration abzuschließen.
h. E-Mail-Domänen, klicken Sie auf :plus:.
Geben Sie Ihren vorhandenen Domainnamen ein (z. B. @verkada.com).
Klicken Sie auf Fertig.
Klicken Sie unter Anmeldeprüfung auf Anmeldeprüfung ausführen.
Ein erfolgreicher Anmeldetest sollte zur OIDC-Konfigurationsseite weiterleiten. Sobald Sie angemeldet sind, fügen Sie die Domain, die Sie unter Zugeordnete Domains auf die Whitelist setzen müssen, hinzu.
Sobald Ihre Domäne hinzugefügt wurde, führen Sie den Login-Test erneut aus. SSO wird erst aktiviert, wenn dieser zweite Login-Test erfolgreich abgeschlossen ist.
Sobald Ihre Domäne verifiziert ist, sollten Sie sehen, dass sie erfolgreich validiert wurde.
Google-Workspace-SAML-Integration
Verkada Command bietet die Möglichkeit, sich in Google Workspace (neben anderen Identity Providern [IdPs]) für Single-Sign-On-(SSO-)Szenarien zu integrieren. Die Security Assertion Markup Language (SAML) übernimmt dabei die Authentifizierungsseite, sodass Google Workspace zur Verwaltung des Zugriffs auf Command verwendet werden kann.
Bevor Sie beginnen
Stellen Sie sicher, dass Sie sich bereits bei Verkada Command registriert haben und für den Benutzer ein Konto in derselben benutzerdefinierten Domain vorhanden ist. Sie können Command als benutzerdefinierte Anwendung hinzufügen.
Machen Sie sich mit diesen Begriffen vertraut, um Ihre Integration optimal zu nutzen:
Client-ID—Client-ID. Um sie zu finden, gehen Sie zu Admin > Datenschutz & Sicherheit > Single Sign-On-Konfiguration > Neu hinzufügen.
Federation Data XML—Die eindeutigen Informationen aus Ihrer Google-Workspace-Instanz, die es Verkada ermöglichen, die Föderation zwischen Google Workspace und Ihrer Command-Instanz einzurichten (die Schritte zum Herunterladen werden später bereitgestellt).
Google Workspace-Konfiguration
Gehen Sie zu Google Workspace > Google Admin-Dashboard und wählen Sie Web- und Mobil-Apps.
Wählen Sie im Dropdown Add app und dann Add custom SAML app aus.
Füllen Sie die Anwendungsinformationen aus; Sie können einen beliebigen Namen und eine beliebige Beschreibung verwenden.
Holen Sie sich das Verkada Command-Logo um es zu Ihrer Google-Workspace-Anwendung hinzuzufügen.
Klicken Sie auf Fortfahren.
Verwenden Sie Option 1, um die IdP-Metadaten herunterzuladen, die dem Federation Metadata Extensible Markup Language (XML) entsprechen, und klicken Sie auf Fortfahren.
Diese Datei ermöglicht es Verkada, SSO in Command zu konfigurieren. Speichern Sie sie an einem leicht zugänglichen Ort für die spätere Verwendung.
Geben Sie die Details des Service Providers (wie angezeigt) ein, um SSO zu konfigurieren, oder Sie können die Details von der Seite Neue SSO-Konfiguration (in Verkada Command) kopieren, und klicken Sie auf Fortfahren.
a. Für ACS-URL: Für US-Organisationen: https://vauth.command.verkada.com/saml/sso/ Für EU-Organisationen: https://saml.prod2.verkada.com/saml/sso/Für AUS-Organisationen: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Für Entity-ID: Für US-Organisationen: https://vauth.command.verkada.com/saml/sso/ Für EU-Organisationen: https://saml.prod2.verkada.com/saml/sso/Für AUS-Organisationen: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Für Start-URL: Für US-Organisationen: https://vauth.command.verkada.com/saml/login/ Für EU-Organisationen: https://saml.prod2.verkada.com/saml/login/Für AUS-Organisationen: https://saml.prod-ap-syd.verkada.com/saml/login/
Beziehen Sie sich darauf, wo Ihre Organisation erstellt wurde um zu bestätigen, in welcher Region sich Ihre Organisation befindet.
Füllen Sie die Attributzuordnungen (wie unten gezeigt) aus und klicken Sie auf Fertigstellen. Dadurch wird sichergestellt, dass Command die richtigen Informationen über den Benutzer erhält. Sie sollten zur Seite der App-Konfiguration weitergeleitet werden.
Command-Konfiguration
Gehen Sie in Verkada Command zu Alle Produkte > Admin .
Wählen Sie Anmelden & Zugriff > Single Sign-On (SSO).
Klicken Sie auf Hinzufügen, um eine neue Konfiguration zu starten oder eine bestehende Konfiguration zu bearbeiten.
Laden Sie unter Identity Provider XML Metadata Ihre Metadatendatei hoch.
Fügen Sie unter E-Mail-Domains die E-Mail-Domains hinzu, die für die Anmeldung bei Ihrer Organisation verwendet werden.
Überprüfen Sie, ob Sie Command unter einer dieser URLs aufrufen können (ersetzen Sie die client-id durch die bei der Einrichtung verwendete).
Für US-Organisationen: https://vauth.command.verkada.com/saml/login/
Für EU-Organisationen: https://saml.prod2.verkada.com/saml/login/
Für AUS-Organisationen: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Siehe Admin > Datenschutz der Daten > Datenresidenz > Datenverarbeitungsstandort um zu bestätigen, wo sich Ihre Region befindet.
Sie werden zur App-Konfigurationsseite von Google Workspace weitergeleitet, um die Anmeldung abzuschließen.
Über die mobile Anwendung anmelden
Command auf Android und iOS unterstützt die Anmeldung über SAML.
Geben Sie im Feld für die E-Mail-Adresse die E-Mail-Adresse des Benutzers ein und klicken Sie auf Weiter.
Sie sollten zu Ihrem IdP (Google Workspace) weitergeleitet werden, um den Anmeldevorgang abzuschließen.
Google Workspace-Benutzerbereitstellung
Die native Google-Workspace-Integration ermöglicht es Organisationen, Benutzer und Gruppen automatisch von Google Workspace in Verkada Command zu synchronisieren. Dies vereinfacht das Identitätsmanagement und das allgemeine Onboarding von Benutzern.
Im Gegensatz zu Verkadas SCIM-Integrationen mit Okta oder Azure verwendet diese Integration das Google Workspace Admin SDK und die Reports API, authentifiziert über ein Google-Dienstkonto mit domainweiter Delegierung.
Wenn die Integration aktiviert ist, kann Command:
Benutzer und Gruppen aus ausgewählten Google Workspace-Gruppen oder Organisationseinheiten (OUs) importieren
sie als verwaltete Benutzer und Gruppen in Command synchronisieren
die Verzeichnisgenauigkeit mit geplanten Hintergrundsynchronisierungen und bedarfsgesteuerten Synchronisierungen aus der Admin-Benutzeroberfläche aufrechterhalten
Ein Google-Dienstkonto erstellen
Damit Command Benutzer- und Gruppendaten aus Ihrer Google-Workspace-Domain lesen kann, muss es sich über ein Dienstkonto bei den Google-APIs authentifizieren. Diese Art von Konto ist für den programmgesteuerten Zugriff vorgesehen und muss mit den richtigen API-Bereichen und domainweiter Delegierung konfiguriert werden. Diese Einstellungen werden in Ihrem Google Cloud Console Konto konfiguriert.
Richtlinien und Rollen überprüfen
Sie müssen zuerst überprüfen, ob Ihr Benutzer die Berechtigung hat, ein Dienstkonto zu erstellen und den JSON-Schlüssel des Dienstkontos zu generieren. Um sicherzustellen, dass Sie durch Sicherheitsrichtlinien in Ihrem Mandanten nicht blockiert werden:
Gehen Sie zu Google Cloud Console und melden Sie sich mit Ihren Super-Admin-Anmeldedaten an.
Öffnen Sie oben links das Dropdown-Menü des Projektselektors und wählen Sie Ihre Ressource auf oberster Ebene (Typ: Organization).
Navigieren Sie im linken Bereich zu IAM & Admin → IAM.
Klicken Sie unter Nach Prinzipalen anzeigen auf Zugriff gewähren.
a. Unter Prinzipale hinzufügenund geben Sie die E-Mail-Adresse des Benutzers ein. b. Unter Rollen zuweisensuchen und wählen Sie Organisation Policy Administratorwählen. c. Klicken Sie auf Speichern.
Wählen Sie im linken Bereich Organisationsrichtlinien aus.
Suchen Sie in der Liste der Richtlinien nach den folgenden und deaktivieren Sie sie:
Ein Dienstkonto erstellen
Fügen Sie im Google Cloud Console, öffnen Sie oben links das Dropdown-Menü des Projektselektors.
Klicken Sie auf Neues Projekt.
Geben Sie einen Projektnamen ein (z. B. Verkada User Sync) und erstellen Sie das Projekt.
Nachdem das Projekt erstellt wurde, bestätigen Sie, dass es in der Navigationsleiste oben links ausgewählt ist.
Gehen Sie in der linken Seitenleiste zu IAM & Admin → Service Accounts.
Klicken Sie auf + Dienstkonto erstellen.
Füllen Sie die folgenden Felder aus:
Name: Geben Sie einen beschreibenden Namen ein (z. B. Verkada User Provisioning)
ID: Unverändert lassen oder anpassen (optional)
Beschreibung: Fügen Sie eine Notiz hinzu, z. B. Wird von Verkada verwendet, um Workspace-Verzeichnisdaten zu lesen (optional)
Klicken Sie auf Erstellen und fortfahren.
Überspringen Sie den Schritt Projektzugriff gewähren — hier sind keine Rollen erforderlich.
Klicken Sie auf Fortfahren → Fertig.
Kopieren Sie aus der Liste der Dienstkonten die OAuth-2-Client-ID für das neu erstellte Konto. Sie benötigen diese ID später, um die Einrichtung abzuschließen.
Einen JSON-Schlüssel generieren
Klicken Sie in der Liste der Dienstkonten auf den Kontonamen oder wählen Sie die drei Punkte neben Ihrem neuen Dienstkonto aus und wählen Sie Schlüssel verwalten.
Klicken Sie auf der Registerkarte Schlüssel auf Schlüssel hinzufügen → Neuen Schlüssel erstellen.
Wählen Sie JSON und klicken Sie auf Erstellen.
Eine .json Datei wird auf Ihren Computer heruntergeladen. Speichern Sie sie an einem sicheren Ort für die spätere Verwendung bei der Einrichtung der Integration in Verkada Command.
Diese JSON-Datei enthält die Anmeldedaten, die die Google-Workspace-Integration in Command verwendet, um sich über OAuth 2.0 bei den Google-APIs zu authentifizieren. Bewahren Sie diese Datei sicher auf, da sie Zugriff auf Ihre Workspace-Daten gewährt und niemals geteilt oder öffentlich gemacht werden sollte.
Erforderliche Google-APIs aktivieren
Verkada Command benötigt Zugriff auf bestimmte Google-Workspace-APIs, um Benutzer, Gruppen, Domains und Prüfprotokolle zu lesen. Diese APIs müssen in Ihrem Google-Cloud-Projekt aktiviert sein, bevor die Integration funktionieren kann.
Gehen Sie zu Google Cloud Console, und melden Sie sich mit Ihren Super-Admin-Anmeldedaten an.
Gehen Sie in der linken Seitenleiste zu APIs & Services → API Library.
Suchen und wählen Sie in der Suchleiste Admin SDK API und klicken Sie dann auf Aktivieren.
Diese API ist erforderlich, um Benutzer, Gruppen und Domänenmetadaten zu lesen.
(Optional) Suchen und aktivieren Sie die Reports API, um die Überwachung von Prüfprotokollen und die Erkennung von Verzeichnisänderungen zu ermöglichen.
Domainweite Delegierung aktivieren
Damit das Dienstkonto einen Administrator imitieren und auf Benutzer- und Gruppendaten in Ihrer gesamten Domain zugreifen kann, müssen Sie ihm eine domainweite Delegierung gewähren. Dadurch kann das Dienstkonto Leseoperationen im Namen eines Administrators durchführen, ohne dass eine manuelle erneute Authentifizierung erforderlich ist.
Navigieren Sie zu Google Admin Console und melden Sie sich mit Ihren Super-Administrator-Anmeldedaten für Ihren Google-Workspace-Mandanten an.
Gehen Sie auf der Startseite der Admin Console zu Sicherheit → Zugriff & Datenkontrolle → API-Steuerung.
Scrollen Sie auf der Seite API-Steuerung zum Abschnitt Domainweite Delegierung und klicken Sie auf Domainweite Delegierung verwalten.
Klicken Sie auf Neu hinzufügen und geben Sie die folgenden Details ein:
Client-ID: Fügen Sie die OAuth-2-Client-ID für Ihre Dienstkonto-Schlüsseldatei ein (das
client_idFeld in der JSON).OAuth-Bereiche (durch Kommas getrennt):
Klicken Sie auf Autorisieren.
Der neue Delegierungseintrag wird auf der Seite angezeigt und bestätigt, dass das Dienstkonto nun von Verkada Command verwendet werden kann, um Benutzer-, Gruppen- und Prüfdaten abzufragen.
Benutzerattributwerte festlegen
Bevor Sie Benutzer mit Verkada Command synchronisieren, stellen Sie sicher, dass wichtige Attribute (wie Vorname, Nachname, E-Mail und Mitarbeiter-ID) in Google Workspace korrekt ausgefüllt sind.
Melden Sie sich bei der Google Admin Console mit Ihrem Super-Admin-Konto an.
Gehen Sie zu Verzeichnis → Benutzer.
Wählen Sie das Benutzerprofil aus, das Sie aktualisieren möchten.
Klicken Sie auf Benutzerinformationen und erweitern Sie dann die relevanten Abschnitte (z. B. Grundlegende Informationen oder Mitarbeiterinformationen).
Aktualisieren Sie bei Bedarf die folgenden Felder:
Primäre E-Mail-Adresse
Vorname und Nachname
Mitarbeiter-ID (unter Mitarbeiterinformationen)
Telefonnummer (unter Kontaktinformationen)
Klicken Sie auf Speichern, um Ihre Änderungen anzuwenden.
Die folgenden Attribute können von Google Workspace zu Verkada Command synchronisiert werden:
Attributname in Google Workspace
Command-Feld
Vorname
Vorname
Nachname
Nachname
Abteilung
Abteilung
Kostenstelle
Abteilungs-ID
Mitarbeiter-ID
Mitarbeiter-ID
Berufsbezeichnung
Mitarbeiter-Titel
Telefonnummer (Privat/Dienst/Mobil)
Telefonnummer
Benutzer und Gruppen, die aus Google Workspace synchronisiert werden, werden ausschließlich in Workspace verwaltet und können in Verkada Command nicht bearbeitet werden. Benutzer benötigen einen Vornamen, Nachnamen und eine E-Mail-Adresse, damit die Synchronisierung mit Command erfolgreich ist.
Um sicherzustellen, dass die Telefonnummern der Benutzer korrekt mit Verkada Command synchronisiert werden, geben Sie sie im internationalen Format ein, einschließlich der Landesvorwahl und ohne Leerzeichen oder Bindestriche.
Beispiel: +14155552671
Die Integration in Command aktivieren
Sie benötigen Org-Administrator Berechtigungen, um diese Integration zu konfigurieren.
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie unter Orga-Einstellungen Login & Access → User Provisioning → Google Workspace aus.
a. Geben Sie die E-Mail-Adresse Ihres Google-Workspace-Super-Admins ein. Aus Sicherheits- und Kontinuitätsgründen empfiehlt Verkada die Verwendung eines dedizierten Dienstkontos mit entsprechenden Admin-Berechtigungen anstelle eines persönlichen Benutzerkontos. a. Laden Sie den JSON-Schlüssel hoch, den Sie in Ihrem Google-Cloud-Console-Projekt erstellt haben. b. Sobald die Authentifizierung erfolgreich ist, klicken Sie auf Hinzufügen um die Gruppen und/oder Organisationseinheiten auszuwählen, die Sie mit Command synchronisieren möchten. c. Klicken Sie auf Aktivieren.
Nach erfolgreichem Abschluss der ersten Synchronisierung steht jederzeit eine Schaltfläche Sync Now für bedarfsgesteuerte Aktualisierungen zur Verfügung.
FAQ
Zuletzt aktualisiert
War das hilfreich?