# Microsoft Entra ID Je nach Anwendungsfall, [Verkada Command](https://help.verkada.com/command/de/erste-schritte/get-started-with-verkada-command) kann sich in den folgenden Bereichen mit Microsoft Entra ID und anderen Identitätsanbietern \[IdPs] integrieren: * Security Assertion Markup Language (SAML) * System for Cross-Domain Identity Management (SCIM) **SAML** übernimmt die Authentifizierungsseite und ermöglicht es Microsoft Entra ID, für die Verwaltung des Zugriffs auf Command verwendet zu werden – genauso wie es bereits zur Verwaltung des Zugriffs auf andere Software-as-a-Service-(SaaS-)Anwendungen genutzt wird, die in Ihren Microsoft Entra ID-Tenant integriert sind. Das bedeutet, dass Sie Command in Ihr bestehendes Identitätsframework einbinden und Benutzer gemäß Ihren aktuellen Richtlinien autorisieren können. **SCIM** ermöglicht es Ihnen, Ihre vorhandenen Benutzer und Gruppen in Microsoft Entra ID zu nutzen und mit Command zu synchronisieren. So können Sie den bestehenden zentralen IdP beibehalten und Berechtigungen in Command mithilfe Ihrer vorhandenen Benutzer und Gruppen konfigurieren. {% hint style="info" %} Verkada empfiehlt OIDC gegenüber SAML für erhöhte Sicherheit und einfachere Konfiguration. OIDC ermöglicht außerdem [Unternehmensgesteuerte Verschlüsselung](https://help.verkada.com/command/de/sicherheit/enterprise-controlled-encryption). {% endhint %} *** {% tabs %} {% tab title="OIDC (Empfohlen)" %} #### OIDC-basierte SSO für Microsoft Entra ID Verkada Command unterstützt Single Sign-On (SSO) über OpenID Connect (OIDC) mit Microsoft Entra ID. Diese Integration ermöglicht es unseren Benutzern, sich nahtlos und sicher mit ihren vorhandenen Microsoft Entra ID-Anmeldedaten zu authentifizieren, vereinfacht den Zugriff auf Command und erhöht die Gesamtsicherheit. {% hint style="danger" %} OIDC wird in Desk-Station-Apps nicht unterstützt. {% endhint %} {% hint style="info" %} Aktivieren [Unternehmensgesteuerte Verschlüsselung (ECE)](https://help.verkada.com/command/de/sicherheit/enterprise-controlled-encryption) für erhöhte Sicherheit. {% endhint %} *** **Konfiguration von Microsoft Entra ID** {% stepper %} {% step %} **Melden Sie sich bei Ihrem** [**Microsoft Entra ID-Portal**](https://portal.azure.com)**.** {% endstep %} {% step %} **Suchen Sie nach App-Registrierungen und wählen Sie diese aus.** {% endstep %} {% step %} **Klicken Sie auf Neue Registrierung.** a. Benennen Sie die Anwendung **Verkada SSO OIDC.**\ b. Unter **Unterstützte Kontotypen,** wählen Sie **Konten nur in diesem Organisationsverzeichnis (nur - Einzelmandant).**\ c. Unter **Weiterleitungs-URI**, wählen Sie **Einzelseitenanwendung** (SPA) als Plattform und fügen Sie die folgenden Callback-URLs hinzu: 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (ersetzen Sie org-short-name in der URI durch den Kurznamen Ihrer Command-Organisation.) {% hint style="warning" %} Vergewissern Sie sich, dass der Callback-URI kein abschließendes Schrägstrichzeichen enthält. {% endhint %} {% endstep %} {% step %} **Klicken Sie auf Registrieren.** {% endstep %} {% step %} **Kopieren Sie Ihre Anwendungs-(Client-)ID und Verzeichnis-(Tenant-)ID und speichern Sie sie an einem sicheren Ort. Sie benötigen sie, um die Einrichtung in Verkada Command abzuschließen.** {% endstep %} {% step %} **Klicken Sie links auf Verwalten > Eine API bereitstellen.** a. Klicken Sie auf **Bereich hinzufügen.**\ b. Klicken Sie auf **Speichern und fortfahren**.\ c. Geben Sie *verkada\_ece* für die folgenden Felder ein: * Bereichsname * Anzeige-Name der Admin-Zustimmung * Beschreibung der Admin-Zustimmung * Anzeige-Name der Benutzerzustimmung * Beschreibung der Benutzerzustimmung d. Legen Sie **Wer kann zustimmen?** fest auf **Admins und Benutzer.**\ e. Klicken Sie auf **Bereich hinzufügen.**

{% endstep %} {% endstepper %} *** **Konfiguration von Verkada Command** {% stepper %} {% step %} **Gehen Sie in Verkada Command zu Alle Produkte > Admin.** {% endstep %} {% step %} **Wählen Sie in der linken Navigation Anmeldung & Zugriff aus.** {% endstep %} {% step %} **Wählen Sie Single Sign-On-Konfiguration aus.** {% endstep %} {% step %} **Klicken Sie unter OIDC-Konfiguration auf Neu hinzufügen.** a. Aktivieren Sie **Aktivieren.**\ b. (Optional) Aktivieren Sie **OIDC-SSO erforderlich.**\ c. Unter **Wählen Sie Anbieter aus,** wählen Sie **Microsoft Entra ID.**\ d. Unter **Client und Tenant hinzufügen,** klicken Sie auf :plus:. 1. Im **Client-ID** Feld fügen Sie die Client-ID ein, die Sie aus Microsoft Entra ID kopiert haben. 2. Im **Tenant-ID** Feld fügen Sie die Tenant-ID ein, die Sie aus Microsoft Entra ID kopiert haben. 3. Klicken Sie auf **Fertig**. e. Unter **E-Mail-Domänen** klicken Sie auf :plus:**.** 1. Geben Sie Ihren vorhandenen Domänennamen ein (z. B. @verkada.com). 2. Klicken Sie auf **Fertig**.

{% endstep %} {% step %} **Wählen Sie oben auf der Seite Neue Anwendung und suchen Sie nach Verkada Command.** {% endstep %} {% step %} **Wählen Sie Verkada Command aus und klicken Sie auf Erstellen. *****Bitte haben Sie etwas Geduld, da es einige Minuten dauern kann, bis die Anwendung zu Ihrem***** Microsoft Entra ID *****Tenant*****.**

hinzugefügt ist. Sobald die Seite aktualisiert wird, sollten Sie ein ähnliches Menü sehen (siehe unten). {% endstep %} {% step %} **Klicken Sie bei Single Sign-On einrichten auf Los geht's.**

{% endstep %} {% step %} **Wählen Sie SAML als Single-Sign-On-Methode.**

{% endstep %} {% step %} **Klicken Sie bei Bedarf auf Bearbeiten, um Ihre SAML-Verbindung weiter zu konfigurieren.** {% endstep %} {% step %} **Konfigurieren Sie die folgenden Felder. Sie müssen Ihre Client-ID an das Ende jeder URL anhängen, bevor Sie sie zu Microsoft Entra ID hinzufügen. Siehe Beispiel unter dem Hinweis.** a. Für **Bezeichner**:\ Für US-Organisationen: \ Für EU-Organisationen: Für AUS-Organisationen: b. Für **Antwort-URL**:\ Für US-Organisationen: \ Für EU-Organisationen: \ Für AUS-Organisationen: c. Für **Anmelde-URL**:\ Für US-Organisationen: \ Für EU-Organisationen: [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ Für AUS-Organisationen: {% hint style="warning" %} Um zu bestätigen, in welcher Region Sie sich befinden, beziehen Sie sich bitte darauf, wo [Ihre Organisation für Verkada erstellt wurde](https://help.verkada.com/command/de/erste-schritte/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **Klicken Sie auf Speichern.** {% endstep %} {% step %} **Klicken Sie unter Attribute & Claims auf Bearbeiten, um diese Attribute zu übernehmen:**

{% hint style="warning" %} Wenn Sie für E-Mail ein anderes Quellattribut verwenden, konfigurieren Sie die Attribute entsprechend dem Quellattribut, das Sie verwenden möchten. {% endhint %} {% endstep %} {% step %} **Importieren Sie auf SAML-Signaturzertifikat dieses Federation Metadata XML in Command.** {% endstep %} {% step %} **Klicken Sie auf Herunterladen, um es für später zu speichern.**

{% hint style="info" %} Die nächsten angezeigten Dialoge enthalten Tools, die Sie nach Abschluss der Integration verwenden können. {% endhint %} {% endstep %} {% step %} **Fahren Sie mit Verkada Command fort, um** [**die Konfiguration abzuschließen**](https://help.verkada.com/command/de/sicherheit/identity-providers/..#command-sso-configuration)**.** {% endstep %} {% endstepper %} *** #### Testen der SAML-Verbindung in Microsoft Entra ID {% stepper %} {% step %} **Sobald die Datei hochgeladen wurde, klicken Sie in Ihrem Microsoft Entra ID auf Testen, um die Integration zu prüfen. Eine Benachrichtigung wird an alle Benutzer gesendet, die über ein Command-Konto verfügen (Einladung zur Organisation).**

{% endstep %} {% step %} **Melden Sie sich mit Als aktueller Benutzer anmelden an. Wenn alles korrekt eingerichtet ist, sollten Sie zur Command-Plattform weitergeleitet werden.** {% endstep %} {% step %} **Melden Sie sich mit Single Sign-On an, um den Zugriff auf Command zu überprüfen.** {% endstep %} {% endstepper %} {% hint style="warning" %} Microsoft Entra ID unterstützt derzeit keine verschachtelten Gruppen für den App-Zugriff. Alle Benutzer müssen direkte Mitglieder von Gruppen sein, um zugewiesen werden zu können. {% endhint %} *** #### Anmeldung über die mobile Anwendung {% hint style="info" %} Die Android- und iOS-Apps von Command unterstützen die SAML-basierte Anmeldung. {% endhint %} {% stepper %} {% step %} **Öffnen Sie Ihre Command-App.** {% endstep %} {% step %} **Geben Sie im Feld E-Mail-Adresse Ihre E-Mail ein und klicken Sie auf Weiter.** {% endstep %} {% step %} **Sie sollten zu Ihrem IdP (Microsoft Entra ID) weitergeleitet werden, um den Anmeldevorgang abzuschließen.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="Benutzerbereitstellung" %} #### Microsoft Entra ID SCIM-Integration Verkada Command integriert sich mit Microsoft Entra ID über System for Cross-Domain Identity Management (SCIM) für die automatisierte Bereitstellung von Benutzern und Gruppen. SCIM synchronisiert Benutzer und Gruppen direkt von Microsoft Entra ID in Command. Dadurch können Sie: * Microsoft Entra ID als zentralen IdP beibehalten. * Benutzer und Gruppen in Command automatisch aktualisieren, sobald Änderungen in Entra ID auftreten. * Berechtigungen in Command mithilfe Ihrer vorhandenen Identitätsstruktur zuweisen und verwalten. {% hint style="info" %} Wenn Ihre Organisation SCIM verwendet, können Telefonnummern nur über SCIM bereitgestellt werden. Sie können Ihre Telefonnummer nicht direkt in Command bearbeiten. {% endhint %} *** **SCIM in Microsoft Entra ID konfigurieren** Bevor Sie SCIM in Microsoft Entra ID konfigurieren, müssen Sie Ihr geheimes Token in Command generieren. {% stepper %} {% step %} **Gehen Sie in Verkada Command zu Alle Produkte > Admin.** {% endstep %} {% step %} **Wählen Sie unter Organisationseinstellungen Login & Zugriff & Protokolle > SCIM-Benutzerbereitstellung aus.** {% endstep %} {% step %} **Klicken Sie auf Domäne hinzufügen und geben Sie alle relevanten E-Mail-Domänen ein, die Sie mit SCIM verwenden möchten.** Dadurch wird ein SCIM-Token generiert, **das nur einmal sichtbar ist.** a. Klicken Sie auf **Kopieren Sie** und speichern Sie das Token an einem sicheren Ort, um es später bei der Konfiguration zu verwenden.\ b. Klicken Sie auf [**Aktualisieren**](https://help.verkada.com/command/de/sicherheit/identity-providers/scim-token-management) um ein neues Token zu generieren, wenn Sie Ihr Token nicht kopiert haben oder es nicht sichtbar ist. {% endstep %} {% step %} **Wählen Sie auf der Microsoft Entra ID-Startseite Unternehmensanwendungen > Neue Anwendung > Erstellen Sie Ihre eigene Anwendung aus.** {% endstep %} {% step %} **Geben Sie im Seitenbereich Eigene Anwendung erstellen den Namen der Anwendung ein, wählen Sie die Nicht-Gallery-Anwendung aus und klicken Sie auf Erstellen.**

{% endstep %} {% step %} **Klicken Sie unter Benutzerkonten bereitstellen auf Los geht's.**

{% endstep %} {% step %} **Wählen Sie Verwalten > Bereitstellung aus.** {% endstep %} {% step %} **Auf der Bereitstellungsseite:** a. Setzen Sie den Bereitstellungsmodus auf Automatisch.\ b. Setzen Sie die Tenant-URL auf: * Für US-Organisationen: * Für EU-Organisationen: * Für AUS-Organisationen: {% hint style="warning" %} Um zu bestätigen, in welcher Region Sie sich befinden, [beziehen Sie sich darauf, wo Ihre Organisation für Verkada erstellt wurde](https://help.verkada.com/command/de/erste-schritte/get-started-with-verkada-command). {% endhint %} f. Füllen Sie das SCIM *Token* aus, das in Verkada Command generiert wurde (Schritt 2), als geheimes Token.

{% endstep %} {% step %} **Klicken Sie auf Verbindung testen. Sie sollten eine Bestätigung sehen, dass die SCIM-Verbindung erfolgreich ist.**

{% endstep %} {% step %} **Klicken Sie auf Speichern.** {% endstep %} {% endstepper %} *** **Attribute für Microsoft Entra ID-Gruppen konfigurieren** {% stepper %} {% step %} **Klicken Sie im Entra ID-Portal, um das Dropdown-Menü Zuordnungen zu erweitern, und wählen Sie Microsoft Entra ID-Gruppen bereitstellen aus.**

{% endstep %} {% step %} **Konfigurieren Sie Ihre Zuordnungen so, dass sie mit diesem Screenshot der Datentabelle übereinstimmen:**

{% hint style="warning" %} Das **externalId** Attribut wird standardmäßig hinzugefügt. Entfernen Sie dieses Attribut, um Probleme mit der Konfiguration zu vermeiden. {% endhint %} {% endstep %} {% step %} **(Optional) Wenn Sie eine Zuordnung hinzufügen müssen:** a. Klicken Sie auf **Neue Zuordnung hinzufügen** > wählen Sie das **Quellattribut** aus, um es an das Microsoft Entra ID-Attribut oben anzupassen.\ b. Setzen Sie das **Zielattribut** so, dass es mit dem **customappsso** Attribut oben übereinstimmt.\ c. Klicken Sie auf **OK**. {% endstep %} {% step %} **Klicken Sie auf Speichern und bestätigen Sie die Änderungen bei Bedarf.** {% endstep %} {% step %} **Wählen Sie oben auf der Seite Bereitstellung aus, um zur Seite Bereitstellung zurückzukehren.** {% endstep %} {% endstepper %} *** **Attribute für Microsoft Entra ID-Benutzer konfigurieren** {% stepper %} {% step %} **Klicken Sie im Entra ID-Portal, um das Dropdown-Menü Zuordnungen zu erweitern, und wählen Sie dann Microsoft Entra ID-Benutzer bereitstellen aus, um die Benutzerzuordnungen zu ändern.** {% endstep %} {% step %} **Aktualisieren Sie Ihre Zuordnungen so, dass sie mit der Attributtabelle unten übereinstimmen.** {% hint style="warning" %} Das **Wechseln Sie** Attribut unter Microsoft Entra ID-Attribut wird als **Ausdruck** Zuordnungstyp hinzugefügt. {% endhint %} Switch(\[IsSoftDeleted], "False", "True", "True", "False") | customappsso-Attribut | Microsoft Entra ID-Attribut | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | active | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} Quellattribut ist das Microsoft Entra ID-Attribut und Zielattribut ist das customappsso-Attribut. Falls einige der **customappsso** Attribute nicht als Zielattribute verfügbar sind, müssen Sie sie möglicherweise als Optionen zu Ihrer Microsoft Entra ID-Plattform hinzufügen. Aktivieren Sie dazu das Kontrollkästchen **Erweiterte Optionen anzeigen** und klicken Sie auf **Attributliste für customappsso bearbeiten**. {% endhint %} {% hint style="warning" %} SCIM-verwaltete Benutzer haben nicht mehr die Möglichkeit, ihre Telefonnummer in Command zu bearbeiten; stattdessen können sie nur über SCIM bereitgestellt werden. Auf der IdP-Seite können Sie Ihre Attributzuordnung so einrichten, dass jedes Feld in Ihrer IdP-Instanz dem **Telefonnummer** Feld in Command zugeordnet wird. Sie können es auch so einrichten, dass das **no** Feld im IdP dem **Telefonnummer** Feld in Command zugeordnet wird. In diesem Fall bleiben Telefonnummern in Command jedoch gesperrt und können nur über SCIM bearbeitet werden. {% endhint %} {% endstep %} {% step %} **Klicken Sie auf Speichern, um die Änderungen zu bestätigen.** {% endstep %} {% step %} **Wählen Sie oben Bereitstellung aus und aktivieren Sie den Bereitstellungsstatus.**

{% endstep %} {% step %} **Passen Sie den Umfang je nach Anforderung an eine der erforderlichen Optionen an:** * Alle Benutzer und Gruppen synchronisieren. * Nur zugewiesene Benutzer und Gruppen synchronisieren. {% hint style="warning" %} Stellen Sie sicher, dass Benutzer und Gruppen der Unternehmensanwendung unter Benutzer und Gruppen zugewiesen sind. Die zugewiesenen werden bereitgestellt und sind in Command vorhanden. {% endhint %} {% endstep %} {% step %} **Überprüfen Sie, ob Benutzer der Anwendung zugewiesen sind. Sobald der erste Bereitstellungszyklus abgeschlossen ist:** a. Sie sollten die Gesamtzahl der Benutzer und Gruppen sehen, die erfolgreich bereitgestellt wurden unter **Übersicht**.\ b. In Command sollten Sie sehen, dass diese Benutzer und Gruppen mit dem zugehörigen **SCIM-verwaltet** Tag aufgefüllt sind. Diese synchronisierten Benutzer und Gruppen können jetzt in Command verwendet und Berechtigungen zugewiesen werden, um den Zugriff auf die Command-Plattform zu steuern.

{% endstep %} {% endstepper %} **SCIM-verwaltete Benutzer aus Command löschen** Wenn ein SCIM-verwalteter Benutzer in Ihrem Identitätsanbieter deaktiviert wird, können Sie den Benutzer auf zwei Arten aus Command entfernen: * **Benutzer löschen** – Das Konto wird auf die Seite Gelöschte Benutzer verschoben, behält jedoch historische Datensätze, Rollen und Berechtigungen bei. * **Benutzer dauerhaft entfernen** – Alle Rollen, Anmeldedaten, Zugriffsprotokolle und zugehörigen Daten werden gelöscht. Wenn der Benutzer erneut über SCIM bereitgestellt wird, erstellt Command einen neuen Benutzerdatensatz. {% hint style="warning" %} Sie müssen den Benutzer in Ihrem Identitätsanbieter (IdP) deaktivieren, bevor eine der Löschoptionen in Command verfügbar ist. {% endhint %} *** **(Optional) Zugriffsdaten zu SCIM-Benutzern hinzufügen** {% stepper %} {% step %} **Melden Sie sich bei Ihrem** [**Azure-Portal**](https://portal.azure.com)**.** {% endstep %} {% step %} **Geben Sie in die Suchleiste Unternehmensanwendungen ein und wählen Sie diese aus.** {% endstep %} {% step %} **Wählen Sie Ihre Verkada SCIM-Anwendung aus.** {% endstep %} {% step %} **Klicken Sie im linken Bereich auf Verwalten > Bereitstellung.** {% endstep %} {% step %} **Erweitern Sie das Untermenü Zuordnungen und wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus.** {% endstep %} {% step %} **Klicken Sie unten auf Erweiterte Optionen anzeigen > Attributliste für customappsso bearbeiten.** a. Fügen Sie die Attribute aus der folgenden Tabelle hinzu.\ b. Klicken Sie auf **Speichern**. {% endstep %} {% step %} **Gehen Sie zurück zu Microsoft Entra ID-Benutzer bereitstellen und wählen Sie Neue Zuordnung hinzufügen aus.** a. Verwenden Sie extensionAttributes 1-5 als **Quellattribute** und ordnen Sie sie den neuen Attributen zu, die für **Kartenformat, Kartennummer, Kartennummer Hex, Anmeldedatenstatus,** und **Gebäudecode** als Zielattribute erstellt wurden. 1. Referenz [Akzeptable Kartenformate](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats) für akzeptierte Kartenformate und die dazugehörige Gebäudecode-, Kartennummer- und/oder Kartennummer-Hex-Längen. 2. **Anmeldedatenstatus** kann "active", "deactivated" oder "deleted" sein 3. Klicken Sie auf **Speichern**. b. Um eine Abteilungskennung zu synchronisieren, fügen Sie eine neue Zuordnung mit Ihrem gewünschten Quellattribut hinzu (z. B. department oder ein benutzerdefiniertes Erweiterungsattribut) und setzen Sie das Zielattribut auf costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Dadurch wird ein Abteilungs-ID-Wert mit Command synchronisiert. {% endstep %} {% endstepper %} **Attributtabelle** | | | | ------------------------------------------------------------------------------- | ------- | | **Name** | **Typ** | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat | String | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber | String | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex | String | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus | String | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode | String | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | String | **Die App-Registrierung bearbeiten** Jede SCIM-fähige Unternehmensanwendung, die in Entra AD erstellt wurde, erfordert in der Regel eine eigene App-Registrierung. {% stepper %} {% step %} **Geben Sie in die Suchleiste App-Registrierungen ein und wählen Sie diese aus.** {% endstep %} {% step %} **Wechseln Sie zur Registerkarte Alle Anwendungen und suchen Sie nach dem Namen Ihrer Verkada SCIM-Anwendung.** {% endstep %} {% step %} **Notieren Sie sich auf Übersicht die Anwendungs-(Client-)ID und Verzeichnis-(Tenant-)ID Ihrer App-Registrierung. Sie benötigen diese später, um Anmeldedaten für Ihre Command-Anwendung aus Ihrer App-Registrierung zu konfigurieren.** {% endstep %} {% step %} **Klicken Sie in der linken Navigation auf Verwalten.** a. Unter **Zertifikate & Geheimnisse:** 1. Klicken Sie auf **Neues Client-Geheimnis**. 2. Legen Sie die **Beschreibung** auf "*Verkada SCIM-Anmeldedaten"* fest und legen Sie das von Ihnen bevorzugte Ablaufdatum des Zertifikats fest. 3. Kopieren und speichern Sie den im **Wert** des neu erstellten Client-Geheimnisses angezeigten Wert. **Dieser wird nur einmal angezeigt.** e. Unter **API-Berechtigungen**: 1. Klicken Sie auf **Berechtigungen hinzufügen > Microsoft Graph.** 2. Wählen Sie **Anwendungsberechtigungen** und suchen Sie nach "*User.ReadWrite.All*". 1. Aktivieren Sie das Kontrollkästchen, um die Berechtigungen zuzuweisen. 2. Klicken Sie auf **Berechtigungen hinzufügen**.

3. Um zu vermeiden, dass alle zwischen Microsoft Entra ID und Ihrer Command-Anwendung kommunizierten Phasenänderungen manuell überprüft und genehmigt werden müssen, wählen Sie **Admin-Zustimmung für Standardverzeichnis erteilen**.

{% endstep %} {% endstepper %} {% hint style="warning" %} Beziehen Sie sich auf diese Liste von Anmeldedaten für [akzeptable Kartenformate](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats). {% endhint %} **Zugriff auf Ihre Anmeldedaten und deren Aktualisierung** Um die Erweiterungsattribute und die Anmeldeinformationen für einen bestimmten Benutzer festzulegen, verwenden Sie die Graph-API-Anweisungen unter: . {% hint style="warning" %} Das Festlegen des **credentialStatus** Attributs auf **active** ist beim Einrichten einer Anmeldeinformation für einen Benutzer erforderlich, um Anmeldeinformationen erfolgreich mit Command zu synchronisieren. Dabei ist der Anmeldedatenstatus (credentialStatus) extensionAttribute4. {% endhint %} Beispiel: ``` curl --location --request PATCH 'https://graph.microsoft.com/v1.0/users/' \ --header 'Authorization: Bearer ' \ --header 'Content-Type: application/json' \ --data '{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Standard 26-bit Wiegand", "extensionAttribute2": "7777", "extensionAttribute3": "7", "extensionAttribute4": "active", "extensionAttribute5": "111" } }' ``` *** **Externen ID mit Verkada synchronisieren** Das Feld externalId ermöglicht es Ihnen, Ihren Benutzern über Microsoft Entra eine dauerhafte, global eindeutige Kennung zuzuweisen, auf die Verkada über Integrationen hinweg verweisen kann. Dies ist besonders nützlich für große Unternehmensumgebungen, in denen Benutzer systemübergreifend unterschieden werden müssen oder in denen synchronisierte Anmeldedaten (z. B. Zugangskarten) an einen eindeutigen Identitätsschlüssel gebunden sein müssen. Verkada unterstützt das Empfangen und Speichern dieses Werts als Teil seines SCIM-Benutzerschemas. Das Feld ist groß-/kleinschreibungsempfindlich und wird normalerweise so konfiguriert, dass es einen Zeichenfolgenwert aus einem festgelegten Attribut in Ihrer Microsoft Entra-Instanz akzeptiert. Diese Funktion unterstützt erweiterte Workflows wie benutzerdefiniertes Anmeldedatenmanagement, Automatisierung des Mitarbeiterlebenszyklus und konsistente Benutzerzuordnung über Organisationen hinweg. **externalId von Azure zu Verkada zuordnen** Um einen benutzerdefinierten externalId-Wert von Microsoft Entra ID (Azure) zu Verkada zu synchronisieren, folgen Sie diesen Schritten: {% stepper %} {% step %} **Melden Sie sich bei Ihrem Azure-Portal an.** {% endstep %} {% step %} **Geben Sie in die Suchleiste Unternehmensanwendungen ein und wählen Sie diese aus.** {% endstep %} {% step %} **Wählen Sie Ihre Verkada SCIM-Anwendung aus.** {% endstep %} {% step %} **Klicken Sie im linken Bereich auf Verwalten > Bereitstellung.** {% endstep %} {% step %} **Erweitern Sie das Untermenü Zuordnungen und wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus.** {% endstep %} {% step %} **Scrollen Sie nach unten und klicken Sie auf Erweiterte Optionen anzeigen > Attributliste für customappsso bearbeiten.** {% endstep %} {% step %} **Fügen Sie das folgende neue Attribut hinzu:** `urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId` * Typ: String * Groß-/Kleinschreibungsempfindlich: Ja {% endstep %} {% step %} **Klicken Sie auf Speichern.** {% endstep %} {% step %} **Gehen Sie zurück zu Microsoft Entra ID-Benutzer bereitstellen und klicken Sie auf Neue Zuordnung hinzufügen.** {% endstep %} {% step %} **Wählen Sie für Quellattribut das Feld aus Azure AD aus, in dem Ihre externe ID gespeichert ist (z. B. extensionAttribute1, employeeId usw.).** {% endstep %} {% step %} **Verwenden Sie für Zielattribut: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId** {% endstep %} {% step %} **Klicken Sie auf OK und dann auf Speichern.** {% endstep %} {% endstepper %} Nach der Bereitstellung wird der Wert external\_id im SCIM-Datensatz des Benutzers innerhalb von Verkada gespeichert. Dies bietet Benutzern eine flexible, per API abfragbare ID, die für ihre Organisation eindeutig bleibt und vollständig unter ihrer Kontrolle steht, ohne an interne Kennungen von Verkada gebunden zu sein oder in der Benutzeroberfläche angezeigt zu werden. ![](https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-ad87e0166a1792938d4c35d10f1172332fbfa36e%2Fa1cab99d0a59e02d8322c174969b568cb1519438.png?alt=media) {% hint style="info" %} **Möchten Sie es lieber in Aktion sehen?** Sehen Sie sich das [Video-Tutorial](https://www.youtube.com/watch?v=YSMzqFwWlW4). {% endhint %} {% endtab %} {% endtabs %} {% tabs %} {% tab title="OIDC (Empfohlen)" %} #### OIDC-basierte SSO für Azure Entra Verkada Command unterstützt Single Sign-On (SSO) über OpenID Connect (OIDC) mit Azure Entra. Diese Integration ermöglicht es unseren Benutzern, sich nahtlos und sicher mit ihren vorhandenen Azure-Entra-Anmeldedaten zu authentifizieren, vereinfacht den Zugriff auf Command und erhöht die Gesamtsicherheit. {% hint style="danger" %} OIDC wird in Desk-Station-Apps nicht unterstützt. {% endhint %} {% hint style="info" %} Aktivieren [Unternehmensgesteuerte Verschlüsselung (ECE)](https://help.verkada.com/command/de/sicherheit/enterprise-controlled-encryption) für erhöhte Sicherheit. {% endhint %} *** **Konfiguration von Azure Entra** {% stepper %} {% step %} **Melden Sie sich bei Ihrem** [**Azure-Entra-Portal**](https://portal.azure.com)**.** {% endstep %} {% step %} **Suchen Sie nach App-Registrierungen und wählen Sie diese aus.** {% endstep %} {% step %} **Klicken Sie auf Neue Registrierung.** a. Benennen Sie die Anwendung **Verkada SSO OIDC.**\ b. Unter **Unterstützte Kontotypen,** wählen Sie **Konten nur in diesem Organisationsverzeichnis (nur - Einzelmandant).**\ c. Unter **Weiterleitungs-URI**, wählen Sie **Einzelseitenanwendung** (SPA) als Plattform und fügen Sie die folgenden Callback-URLs hinzu: 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (ersetzen Sie org-short-name in der URI durch den Kurznamen Ihrer Command-Organisation.) {% hint style="warning" %} Vergewissern Sie sich, dass der Callback-URI kein abschließendes Schrägstrichzeichen enthält. {% endhint %} {% endstep %} {% step %} **Klicken Sie auf Registrieren.** {% endstep %} {% step %} **Kopieren Sie Ihre Anwendungs-(Client-)ID und Verzeichnis-(Tenant-)ID und speichern Sie sie an einem sicheren Ort. Sie benötigen sie, um die Einrichtung in Verkada Command abzuschließen.** {% endstep %} {% step %} **Klicken Sie links auf Verwalten > Eine API bereitstellen.** a. Klicken Sie auf **Bereich hinzufügen.**\ b. Klicken Sie auf **Speichern und fortfahren**.\ c. Geben Sie *verkada\_ece* für die folgenden Felder ein: * Bereichsname * Anzeige-Name der Admin-Zustimmung * Beschreibung der Admin-Zustimmung * Anzeige-Name der Benutzerzustimmung * Beschreibung der Benutzerzustimmung d. Legen Sie **Wer kann zustimmen?** fest auf **Admins und Benutzer.**\ e. Klicken Sie auf **Bereich hinzufügen.**

{% endstep %} {% endstepper %} *** **Konfiguration von Verkada Command** {% stepper %} {% step %} **Gehen Sie in Verkada Command zu Alle Produkte > Admin.** {% endstep %} {% step %} **Wählen Sie in der linken Navigation Anmeldung & Zugriff aus.** {% endstep %} {% step %} **Wählen Sie Single Sign-On-Konfiguration aus.** {% endstep %} {% step %} **Klicken Sie unter OIDC-Konfiguration auf Neu hinzufügen.** a. Aktivieren Sie **Aktivieren.**\ b. (Optional) Aktivieren Sie **OIDC-SSO erforderlich.**\ c. Unter **Wählen Sie Anbieter aus,** wählen Sie **Azure Entra.**\ d. Unter **Client und Tenant hinzufügen,** klicken Sie auf :plus:. 1. Im **Client-ID** Feld fügen Sie die Client-ID ein, die Sie aus Azure Entra kopiert haben. 2. Im **Tenant-ID** Feld fügen Sie die Tenant-ID ein, die Sie aus Azure Entra kopiert haben. 3. Klicken Sie auf **Fertig**. e. Unter **E-Mail-Domänen** klicken Sie auf :plus:**.** 1. Geben Sie Ihren vorhandenen Domänennamen ein (z. B. @verkada.com). 2. Klicken Sie auf **Fertig**.

{% endstep %} {% step %} **Klicken Sie auf Login-Test ausführen.** {% endstep %} {% step %} **Ein erfolgreicher Login-Test sollte zur OIDC-Konfigurationsseite weiterleiten. Sobald Sie angemeldet sind, fügen Sie die Domäne hinzu, die auf die Whitelist gesetzt werden muss.** {% endstep %} {% step %} **Sobald Ihre Domäne hinzugefügt wurde, führen Sie den Login-Test erneut aus. SSO wird erst aktiviert, wenn dieser zweite Login-Test erfolgreich abgeschlossen wurde.** {% endstep %} {% step %} **Sobald Ihre Domäne verifiziert wurde, sollten Sie sehen, dass sie erfolgreich validiert wurde.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="SAML" %} ### Microsoft Entra ID SAML-Integration Je nach Anwendungsfall, [Verkada Command](https://help.verkada.com/command/de/erste-schritte/get-started-with-verkada-command) kann sich in den folgenden Bereichen mit Microsoft Entra ID und anderen Identitätsanbietern \[IdPs] integrieren: * Security Assertion Markup Language (SAML) * System for Cross-Domain Identity Management (SCIM) **SAML** übernimmt die Authentifizierungsseite und ermöglicht es Microsoft Entra ID, für die Verwaltung des Zugriffs auf Command verwendet zu werden – genauso wie jede andere Software-as-a-Service-(SaaS-)Anwendung bereits in Ihren Microsoft Entra ID-Tenant integriert ist. Das bedeutet, dass Sie Command in Ihr bestehendes Identitätsframework einbinden und Benutzer auf Grundlage Ihrer aktuellen Richtlinien autorisieren können. **SCIM** ermöglicht es Ihnen, Ihre bereits in Microsoft Entra ID vorhandenen Benutzer und Gruppen zu nutzen und diese mit Command zu synchronisieren. So können Sie den aktuellen zentralen IdP beibehalten und Berechtigungen in Command mithilfe Ihrer vorhandenen Benutzer und Gruppen konfigurieren. *** #### SAML in Microsoft Entra ID einrichten Verkada Command ist als Gallery-Anwendung registriert und im Microsoft Entra ID-Marktplatz zu finden; mit anderen Worten, Sie können es mit Microsoft Entra ID Free-, Microsoft Entra ID P1- und Microsoft Entra ID P2-Lizenzen verwenden. {% hint style="danger" %} Um zu beginnen, benötigen Sie Ihre `Client-ID`. Erfahren Sie, wie Sie [sie generieren und Ihre E-Mail-Domänen konfigurieren](https://help.verkada.com/command/de/sicherheit/identity-providers/..#generate-client-id), und kehren Sie dann zu diesem Artikel zurück, um den Rest dieses Prozesses abzuschließen. {% endhint %} {% stepper %} {% step %} **Fügen Sie Verkada Command als Unternehmensanwendung in Ihrem Microsoft Entra ID-Verzeichnis hinzu: Gehen Sie zu Ihrer Microsoft Entra ID-Übersichtsseite und wählen Sie Unternehmensanwendungen aus.**

hinzugefügt ist. Sobald die Seite aktualisiert wird, sollten Sie ein ähnliches Menü sehen (siehe unten). {% endstep %} {% step %} **Klicken Sie bei Single Sign-On einrichten auf Los geht's.**

{% endstep %} {% step %} **Wählen Sie SAML als Single-Sign-On-Methode.**

{% endstep %} {% step %} **Klicken Sie bei Bedarf auf Bearbeiten, um Ihre SAML-Verbindung weiter zu konfigurieren.** {% endstep %} {% step %} **Konfigurieren Sie die folgenden Felder. Sie müssen Ihre Client-ID an das Ende jeder URL anhängen, bevor Sie sie zu Microsoft Entra ID hinzufügen. Siehe Beispiel unter dem Hinweis.** a. Für **Bezeichner**:\ Für US-Organisationen: \ Für EU-Organisationen: \ Für AUS-Organisationen: b. Für **Antwort-URL**:\ Für US-Organisationen: \ Für EU-Organisationen: \ Für AUS-Organisationen: c. Für **Anmelde-URL**:\ Für US-Organisationen: \ Für EU-Organisationen: [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ Für AUS-Organisationen: {% hint style="warning" %} Um zu bestätigen, in welcher Region Sie sich befinden, beziehen Sie sich bitte darauf, wo [Ihre Organisation für Verkada erstellt wurde](https://help.verkada.com/command/de/erste-schritte/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **Klicken Sie auf Speichern.** {% endstep %} {% step %} **Klicken Sie unter Attribute & Claims auf Bearbeiten, um diese Attribute zu übernehmen:**

{% endstep %} {% step %} **Klicken Sie unter Benutzerkonten bereitstellen auf Los geht's.**

{% endstep %} {% step %} **Klicken Sie auf Verbindung testen. Sie sollten eine Bestätigung sehen, dass die SCIM-Verbindung erfolgreich ist.**

{% endstep %} {% step %} **Konfigurieren Sie Ihre Zuordnungen so, dass sie mit diesem Screenshot der Datentabelle übereinstimmen:**

{% hint style="warning" %} Das **externalId** Attribut wird standardmäßig hinzugefügt. Entfernen Sie dieses Attribut, um Probleme mit der Konfiguration zu vermeiden. {% endhint %} {% endstep %} {% step %} **(Optional) Wenn Sie eine Zuordnung hinzufügen müssen:** a. Klicken Sie auf **Neue Zuordnung hinzufügen** > wählen Sie das **Quellattribut** um dem obigen Microsoft Entra ID-Attribut zu entsprechen.\ b. Setzen Sie das **Zielattribut** so, dass es mit dem **customappsso** Attribut oben übereinstimmt.\ c. Klicken Sie auf **OK**. {% endstep %} {% step %} **Klicken Sie auf Speichern und bestätigen Sie die Änderungen bei Bedarf.** {% endstep %} {% step %} **Wählen Sie oben auf der Seite Bereitstellung aus, um zur Seite Bereitstellung zurückzukehren.** {% endstep %} {% endstepper %} *** **Attribute für Microsoft Entra ID-Benutzer konfigurieren** {% stepper %} {% step %} **Klicken Sie im Entra ID-Portal, um das Dropdown-Menü Zuordnungen zu erweitern, und wählen Sie dann Microsoft Entra ID-Benutzer bereitstellen aus, um die Benutzerzuordnungen zu ändern.** {% endstep %} {% step %} **Aktualisieren Sie Ihre Zuordnungen so, dass sie mit der Attributtabelle unten übereinstimmen.** {% hint style="warning" %} Das **Wechseln Sie** Attribut unter Microsoft Entra ID-Attribut wird als **Ausdruck** Zuordnungstyp hinzugefügt. {% endhint %} Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | customappsso-Attribut | Microsoft Entra ID-Attribut | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | active | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} Quellattribut ist das Microsoft Entra ID-Attribut und Zielattribut ist das customerappsso-Attribut. Falls einige der **customappsso** Attribute nicht als **Zielattribut**verfügbar sind, müssen Sie sie möglicherweise als Option zu Ihrer Microsoft Entra ID-Plattform hinzufügen. Aktivieren Sie dazu das Kontrollkästchen **Erweiterte Optionen anzeigen** und klicken Sie auf **Attributliste für customappsso bearbeiten**. {% endhint %} {% hint style="warning" %} SCIM-verwaltete Benutzer haben nicht mehr die Möglichkeit, ihre Telefonnummer in Command zu bearbeiten; stattdessen können sie nur über SCIM bereitgestellt werden. Auf der IdP-Seite können Sie Ihre Attributzuordnung so einrichten, dass jedes Feld in Ihrer IdP-Instanz dem **Telefonnummer** Feld in Command zugeordnet wird. Sie können es auch so einrichten, dass das **no** Feld im IdP dem **Telefonnummer** Feld in Command. In diesem Fall bleiben Telefonnummern jedoch ein **gesperrtes** Feld in Command und können nur über SCIM bearbeitet werden. {% endhint %} {% endstep %} {% step %} **Klicken Sie auf Speichern, um die Änderungen zu bestätigen.** {% endstep %} {% step %} **Wählen Sie oben Bereitstellung aus und aktivieren Sie den Bereitstellungsstatus.**

3. Um zu vermeiden, dass alle zwischen Azure Entra und Ihrer Command-Anwendung kommunizierten Statusänderungen manuell überprüft und genehmigt werden müssen, wählen Sie **Admin-Zustimmung für Standardverzeichnis erteilen**.