# Microsoft Entra ID Je nach Anwendungsfall [Verkada Command](/command/de/erste-schritte/get-started-with-verkada-command.md) kann sich in Microsoft Entra ID sowie in andere Identity Provider \[IdPs] in den folgenden Bereichen integrieren lassen: * Security Assertion Markup Language (SAML) * System for Cross-Domain Identity Management (SCIM) **SAML** übernimmt die Authentifizierungsseite und ermöglicht es, Microsoft Entra ID zur Verwaltung des Zugriffs auf Command zu verwenden, genauso wie es bereits zur Verwaltung des Zugriffs auf andere Software-as-a-Service-(SaaS)-Anwendungen genutzt wird, die bereits in Ihren Microsoft Entra ID-Tenant integriert sind. Das bedeutet, dass Sie Command in Ihr bestehendes Identitätsframework einbinden und Benutzer gemäß Ihren aktuellen Richtlinien autorisieren können. **SCIM** ermöglicht es Ihnen, Ihre vorhandenen Benutzer und Gruppen in Microsoft Entra ID zu nutzen und mit Command zu synchronisieren. Dadurch können Sie den aktuellen zentralen IdP beibehalten und Berechtigungen in Command anhand Ihrer vorhandenen Benutzer und Gruppen konfigurieren. {% hint style="info" %} Verkada empfiehlt OIDC gegenüber SAML für erhöhte Sicherheit und einfachere Konfiguration. OIDC ermöglicht außerdem [Vom Unternehmen gesteuerte Verschlüsselung](/command/de/sicherheit/enterprise-controlled-encryption.md). {% endhint %} *** {% tabs %} {% tab title="OIDC (Empfohlen)" %} #### OIDC-basierte SSO für Microsoft Entra ID Verkada Command unterstützt Single Sign-On (SSO) über OpenID Connect (OIDC) mit Microsoft Entra ID. Diese Integration ermöglicht es unseren Benutzern, sich nahtlos und sicher mit ihren vorhandenen Microsoft Entra ID-Anmeldedaten zu authentifizieren, wodurch der Zugriff auf Command vereinfacht und die Gesamtsicherheit verbessert wird. {% hint style="danger" %} OIDC wird in Desk Station-Apps nicht unterstützt. {% endhint %} {% hint style="info" %} Aktivieren [Vom Unternehmen gesteuerte Verschlüsselung (ECE)](/command/de/sicherheit/enterprise-controlled-encryption.md) für erhöhte Sicherheit. {% endhint %} *** **Microsoft Entra ID-Konfiguration** {% stepper %} {% step %} **Melden Sie sich bei Ihrem** [**Microsoft Entra ID-Portal**](https://portal.azure.com)**.** {% endstep %} {% step %} **Suchen Sie nach App-Registrierungen und wählen Sie diese aus.** {% endstep %} {% step %} **Klicken Sie auf Neue Registrierung.** a. Benennen Sie die Anwendung **Verkada SSO OIDC.**\ b. Unter **Unterstützte Kontotypen** wählen Sie **Konten nur in diesem Organisationsverzeichnis (nur dieses Verzeichnis - Einzeltenant).**\ c. Unter **Umleitungs-URI**wählen Sie **Einzelseitenanwendung** (SPA) als Plattform und fügen Sie die folgenden Callback-URLs hinzu: 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (ersetzen Sie org-short-name in der URI durch den Kurznamen Ihrer Command-Organisation.) {% hint style="warning" %} Stellen Sie sicher, dass die Callback-URI keinen abschließenden Schrägstrich hat. {% endhint %} {% endstep %} {% step %} **Klicken Sie auf Registrieren.** {% endstep %} {% step %} **Kopieren und speichern Sie Ihre Anwendungs-(Client-)ID und Verzeichnis-(Tenant-)ID an einem sicheren Ort. Sie werden benötigt, um die Einrichtung in Verkada Command abzuschließen.** {% endstep %} {% step %} **Klicken Sie links auf Verwalten > API freilegen.** a. Klicken Sie auf **Einen Bereich hinzufügen.**\ b. Klicken Sie auf **Speichern und fortfahren**.\ c. Geben Sie *verkada\_ece* für die folgenden Felder ein: * Bereichsname * Name der Administratoreinwilligung * Beschreibung der Administratoreinwilligung * Name der Benutzereinwilligung * Beschreibung der Benutzereinwilligung d. Legen Sie fest **Wer kann zustimmen?** auf **Administratoren und Benutzer.**\ e. Klicken Sie auf **Bereich hinzufügen.**
{% endstep %} {% endstepper %} *** **Verkada Command-Konfiguration** {% stepper %} {% step %} **Gehen Sie in Verkada Command zu Alle Produkte > Admin.** {% endstep %} {% step %} **Wählen Sie in der linken Navigation Anmelde- & Zugriffseinstellungen aus.** {% endstep %} {% step %} **Wählen Sie Single-Sign-On-Konfiguration aus.** {% endstep %} {% step %} **Klicken Sie unter OIDC-Konfiguration auf Neu hinzufügen.** a. Aktivieren Sie **Aktivieren.**\ b. (Optional) Aktivieren Sie **OIDC-SSO anfordern.**\ c. Unter **Wählen Sie Anbieter aus,** wählen Sie **Microsoft Entra ID.**\ d. Unter **Client und Tenant hinzufügen** klicken Sie auf :plus:. 1. Im **Client-ID** Feld fügen Sie die aus Microsoft Entra ID kopierte Client-ID ein. 2. Im **Tenant-ID** Feld fügen Sie die aus Microsoft Entra ID kopierte Tenant-ID ein. 3. Klicken Sie auf **Fertig**. e. Unter **E-Mail-Domänen** klicken Sie auf :plus:**.** 1. Geben Sie Ihren vorhandenen Domainnamen ein (z. B. @verkada.com). 2. Klicken Sie auf **Fertig**.
{% endstep %} {% step %} **Klicken Sie auf Login-Test ausführen.** {% endstep %} {% step %} **Ein erfolgreicher Login-Test sollte zur OIDC-Konfigurationsseite weiterleiten. Sobald Sie angemeldet sind, fügen Sie die Domäne hinzu, die Sie auf die Whitelist setzen müssen.** {% endstep %} {% step %} **Sobald Ihre Domäne hinzugefügt wurde, führen Sie den Login-Test erneut aus. SSO wird erst aktiviert, wenn dieser zweite Login-Test erfolgreich abgeschlossen wurde.** {% endstep %} {% step %} **Sobald Ihre Domäne verifiziert ist, sollte sie als erfolgreich validiert angezeigt werden.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="SAML" %} ### Microsoft Entra ID SAML-Integration *** #### SAML in Microsoft Entra ID einrichten Verkada Command ist als Galerieanwendung registriert und im Microsoft Entra ID-Marktplatz zu finden; mit anderen Worten, Sie können es mit Microsoft Entra ID Free-, Microsoft Entra ID P1- und Microsoft Entra ID P2-Lizenzen nutzen. {% hint style="danger" %} Um loszulegen, benötigen Sie Ihre `Client-ID`. Erfahren Sie, wie Sie [sie generieren und Ihre E-Mail-Domänen konfigurieren](/command/de/sicherheit/identity-providers.md#generate-client-id); kehren Sie dann zu diesem Artikel zurück, um den Rest dieses Vorgangs abzuschließen. {% endhint %} {% stepper %} {% step %} **Fügen Sie Verkada Command als Unternehmensanwendung in Ihrem Microsoft Entra ID-Verzeichnis hinzu: Gehen Sie zu Ihrer Microsoft Entra ID-Übersichtsseite und wählen Sie Unternehmensanwendungen aus.**
{% endstep %} {% step %} **Wählen Sie oben auf der Seite Neue Anwendung aus und suchen Sie nach Verkada Command.** {% endstep %} {% step %} **Wählen Sie Verkada Command aus und klicken Sie auf Erstellen. *****Bitte haben Sie Geduld, da das Hinzufügen der Anwendung zu Ihrem***** Microsoft Entra ID *****Tenant*****.**
einige Minuten dauern kann. Sobald die Seite aktualisiert wurde, sollten Sie ein ähnliches Menü sehen (siehe unten). {% endstep %} {% step %} **Klicken Sie bei Einmalanmeldung einrichten auf Los geht's.**
{% endstep %} {% step %} **Wählen Sie SAML als Einmalanmeldemethode aus.**
{% endstep %} {% step %} **Klicken Sie bei Bedarf auf Bearbeiten, um Ihre SAML-Verbindung weiter zu konfigurieren.** {% endstep %} {% step %} **Konfigurieren Sie die folgenden Felder. Sie müssen Ihre Client-ID an das Ende jeder URL anhängen, bevor Sie sie zu Microsoft Entra ID hinzufügen. Siehe Beispiel unter dem Hinweis.** a. Für **Bezeichner**:\ Für US-Organisationen: \ Für EU-Organisationen: Für AUS-Organisationen: b. Für **Antwort-URL**:\ Für US-Organisationen: \ Für EU-Organisationen: \ Für AUS-Organisationen: c. Für **Anmelde-URL**:\ Für US-Organisationen: \ Für EU-Organisationen: [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ Für AUS-Organisationen: {% hint style="warning" %} Um zu bestätigen, in welcher Region Sie sich befinden, beachten Sie bitte, wo [Ihre Organisation für Verkada erstellt wurde](/command/de/erste-schritte/get-started-with-verkada-command.md). {% endhint %}
{% endstep %} {% step %} **Klicken Sie auf Speichern.** {% endstep %} {% step %} **Klicken Sie bei Attribute & Claims auf Bearbeiten, um diese Attribute zu übernehmen:**
{% hint style="warning" %} Wenn Sie für E-Mail ein anderes Quellattribut verwenden, konfigurieren Sie die Attribute entsprechend dem Quellattribut, das Sie verwenden möchten. {% endhint %} {% endstep %} {% step %} **Importieren Sie auf SAML-Signaturzertifikat dieses Federation Metadata XML in Command.** {% endstep %} {% step %} **Klicken Sie auf Herunterladen, um es für später zu speichern.**
{% hint style="info" %} Die nächsten angezeigten Dialoge enthalten Tools, die Sie nach Abschluss der Integration verwenden können. {% endhint %} {% endstep %} {% step %} **Fahren Sie mit Verkada Command fort, um** [**die Konfiguration abzuschließen**](/command/de/sicherheit/identity-providers.md#command-sso-configuration)**.** {% endstep %} {% endstepper %} *** #### Testen Sie die SAML-Verbindung in Microsoft Entra ID {% stepper %} {% step %} **Sobald die Datei hochgeladen wurde, klicken Sie in Ihrem Microsoft Entra ID auf Testen, um die Integration zu prüfen. Eine Benachrichtigung wird an alle Benutzer gesendet, die ein Command-Konto haben (Einladung zur Organisation).**
{% endstep %} {% step %} **Melden Sie sich mit Anmelden als aktueller Benutzer an. Wenn alles korrekt eingerichtet ist, sollten Sie zur Command-Plattform weitergeleitet werden.** {% endstep %} {% step %} **Melden Sie sich mit Single Sign-On an, um den Zugriff auf Command zu überprüfen.** {% endstep %} {% endstepper %} {% hint style="warning" %} Microsoft Entra ID unterstützt derzeit keine verschachtelten Gruppen für den App-Zugriff. Alle Benutzer müssen direkte Mitglieder von Gruppen sein, um zugewiesen werden zu können. {% endhint %} *** #### Über die mobile Anwendung anmelden {% hint style="info" %} Die Command-Apps für Android und iOS unterstützen die SAML-basierte Anmeldung. {% endhint %} {% stepper %} {% step %} **Öffnen Sie Ihre Command-App.** {% endstep %} {% step %} **Geben Sie im Feld für die E-Mail-Adresse Ihre E-Mail ein und klicken Sie auf Weiter.** {% endstep %} {% step %} **Sie sollten zu Ihrem IdP (Microsoft Entra ID) weitergeleitet werden, um den Anmeldevorgang abzuschließen.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="Benutzerbereitstellung" %} #### Microsoft Entra ID SCIM-Integration Verkada Command integriert sich über System for Cross-Domain Identity Management (SCIM) mit Microsoft Entra ID für die automatisierte Benutzer- und Gruppenbereitstellung. SCIM synchronisiert Benutzer und Gruppen direkt von Microsoft Entra ID in Command. Dadurch können Sie: * Microsoft Entra ID als zentralen IdP beibehalten. * Benutzer und Gruppen in Command automatisch aktualisieren, wenn Änderungen in Entra ID erfolgen. * Berechtigungen in Command mithilfe Ihrer vorhandenen Identitätsstruktur zuweisen und verwalten. {% hint style="info" %} Wenn Ihre Organisation SCIM verwendet, können Telefonnummern nur über SCIM bereitgestellt werden. Sie können Ihre Telefonnummer in Command nicht direkt bearbeiten. {% endhint %} *** **SCIM in Microsoft Entra ID konfigurieren** Bevor Sie SCIM in Microsoft Entra ID konfigurieren, müssen Sie Ihr Geheimnis-Token in Command generieren. {% stepper %} {% step %} **Gehen Sie in Verkada Command zu Alle Produkte > Admin.** {% endstep %} {% step %} **Wählen Sie unter Orgeinstellungen Anmelde- & Zugriffseinstellungen & Protokolle > SCIM-Benutzerbereitstellung aus.** {% endstep %} {% step %} **Klicken Sie auf Domäne hinzufügen und geben Sie alle relevanten E-Mail-Domänen ein, die Sie mit SCIM verwenden möchten.** Dadurch wird ein SCIM-Token generiert, **der nur einmal sichtbar ist.** a. Klicken Sie auf **Kopieren Sie** und speichern Sie das Token an einem sicheren Ort, um es später in der Konfiguration zu verwenden.\ b. Klicken Sie auf [**Aktualisieren**](/command/de/sicherheit/identity-providers/scim-token-management.md) um ein neues Token zu generieren, wenn Sie Ihr Token nicht kopiert haben oder es nicht sichtbar ist. {% endstep %} {% step %} **Wählen Sie auf der Microsoft Entra ID-Startseite Unternehmensanwendungen > Neue Anwendung > Eigene Anwendung erstellen aus.** {% endstep %} {% step %} **Geben Sie in der Seitenleiste Eigene Anwendung erstellen den Namen der Anwendung ein, wählen Sie die Nicht-Galerie-Anwendung aus und klicken Sie auf Erstellen.**
{% endstep %} {% step %} **Klicken Sie unter Benutzerkonten bereitstellen auf Los geht's.**
{% endstep %} {% step %} **Wählen Sie Verwalten > Bereitstellung aus.** {% endstep %} {% step %} **Auf der Bereitstellungsseite:** a. Setzen Sie den Bereitstellungsmodus auf Automatisch.\ b. Setzen Sie die Tenant-URL auf: * Für US-Organisationen: * Für EU-Organisationen: * Für AUS-Organisationen: {% hint style="warning" %} Um zu bestätigen, in welcher Region Sie sich befinden, [beachten Sie, wo Ihre Organisation für Verkada erstellt wurde](/command/de/erste-schritte/get-started-with-verkada-command.md). {% endhint %} f. Füllen Sie das SCIM *Token* aus, das in Verkada Command generiert wurde (Schritt 2), als Geheimtoken.
{% endstep %} {% step %} **Klicken Sie auf Verbindung testen. Sie sollten eine Bestätigung sehen, dass die SCIM-Verbindung erfolgreich ist.**
{% endstep %} {% step %} **Klicken Sie auf Speichern.** {% endstep %} {% endstepper %} *** **Attribute für Microsoft Entra ID-Gruppen konfigurieren** {% stepper %} {% step %} **Klicken Sie im Entra ID-Portal, um das Dropdown-Menü Zuordnungen zu erweitern, und wählen Sie Microsoft Entra ID-Gruppen bereitstellen aus.**
{% endstep %} {% step %} **Konfigurieren Sie Ihre Zuordnungen so, dass sie mit diesem Screenshot der Datentabelle übereinstimmen:**
{% hint style="warning" %} Das **externalId** Attribut wird standardmäßig hinzugefügt. Entfernen Sie dieses Attribut, um Probleme mit der Konfiguration zu vermeiden. {% endhint %} {% endstep %} {% step %} **(Optional) Wenn Sie eine Zuordnung hinzufügen müssen:** a. Klicken Sie auf **Neue Zuordnung hinzufügen** > wählen Sie das **Quellattribut** so aus, dass es dem oben genannten Microsoft Entra ID-Attribut entspricht.\ b. Legen Sie das **Zielattribut** so fest, dass es dem **customappsso** oben genannten Attribut entspricht.\ c. Klicken Sie auf **OK**. {% endstep %} {% step %} **Klicken Sie auf Speichern und bestätigen Sie gegebenenfalls die Änderungen.** {% endstep %} {% step %} **Wählen Sie oben auf der Seite Bereitstellung aus, um zur Bereitstellungsseite zurückzukehren.** {% endstep %} {% endstepper %} *** **Attribute für Microsoft Entra ID-Benutzer konfigurieren** {% stepper %} {% step %} **Klicken Sie im Entra ID-Portal, um das Dropdown-Menü Zuordnungen zu erweitern, und wählen Sie dann Microsoft Entra ID-Benutzer bereitstellen aus, um die Benutzerzuordnungen zu ändern.** {% endstep %} {% step %} **Aktualisieren Sie Ihre Zuordnungen, damit sie mit der untenstehenden Attributtabelle übereinstimmen.** {% hint style="warning" %} Das **Wechseln Sie** das Attribut unter Microsoft Entra ID-Attribut wird als **Ausdruck** Zuordnungstyp hinzugefügt. {% endhint %} Switch(\[IsSoftDeleted], "False", "True", "True", "False") | customappsso-Attribut | Microsoft Entra ID-Attribut | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | active | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} Source Attribute ist das Microsoft Entra ID-Attribut und Target Attribute ist das customappsso-Attribut. Falls einige der **customappsso** Attribute nicht als Zielattribute verfügbar sind, müssen Sie sie möglicherweise als Optionen zu Ihrer Microsoft Entra ID-Plattform hinzufügen. Aktivieren Sie dazu das Kontrollkästchen **Erweiterte Optionen anzeigen** und klicken Sie auf **Attributliste für customappsso bearbeiten**. {% endhint %} {% hint style="warning" %} Von SCIM verwaltete Benutzer haben nicht mehr die Möglichkeit, ihre Telefonnummer in Command zu bearbeiten; stattdessen können sie nur über SCIM bereitgestellt werden. Auf der IDP-Seite können Sie Ihre Attributzuordnung so einrichten, dass jedes Feld in Ihrer IDP-Instanz dem **Telefonnummer** Feld in Command zugeordnet wird. Sie können sie auch so einrichten, dass das **nein** Feld im IDP dem **Telefonnummer** Feld in Command zugeordnet wird. In diesem Fall bleiben Telefonnummern in Command jedoch weiterhin gesperrt und können nur über SCIM bearbeitet werden. {% endhint %} {% endstep %} {% step %} **Klicken Sie auf Speichern, um die Änderungen zu bestätigen.** {% endstep %} {% step %} **Wählen Sie oben Bereitstellung aus und aktivieren Sie den Bereitstellungsstatus.**
{% endstep %} {% step %} **Passen Sie den Umfang je nach Anforderungen an eine der erforderlichen Optionen an:** * Alle Benutzer und Gruppen synchronisieren. * Nur zugewiesene Benutzer und Gruppen synchronisieren. {% hint style="warning" %} Stellen Sie sicher, dass Benutzer und Gruppen unter Benutzer und Gruppen der Unternehmensanwendung zugewiesen sind. Die zugewiesenen Benutzer und Gruppen werden bereitgestellt und in Command angezeigt. {% endhint %} {% endstep %} {% step %} **Überprüfen Sie, ob Benutzer der Anwendung zugewiesen sind. Sobald der erste Bereitstellungszyklus abgeschlossen ist:** a. Sie sollten die Gesamtzahl der Benutzer und Gruppen sehen, die erfolgreich bereitgestellt wurden unter **Übersicht**.\ b. In Command sollten diese Benutzer und Gruppen mit dem zugehörigen **SCIM verwaltet** Tag angezeigt werden. Diese synchronisierten Benutzer und Gruppen können nun in Command verwendet und mit Berechtigungen versehen werden, um den Zugriff auf die Command-Plattform zu steuern.
{% endstep %} {% endstepper %} **SCIM-verwaltete Benutzer aus Command löschen** Wenn ein von SCIM verwalteter Benutzer in Ihrem Identitätsanbieter deaktiviert wird, können Sie den Benutzer auf zwei Arten aus Command entfernen: * **Benutzer löschen** – Das Konto wird auf die Seite Gelöschte Benutzer verschoben, behält jedoch historische Datensätze, Rollen und Berechtigungen bei. * **Benutzer dauerhaft entfernen** – Alle Rollen, Anmeldedaten, Zugriffsprotokolle und zugehörigen Daten werden gelöscht. Wenn der Benutzer erneut über SCIM bereitgestellt wird, erstellt Command einen neuen Benutzerdatensatz. {% hint style="warning" %} Sie müssen den Benutzer in Ihrem Identitätsanbieter (IdP) deaktivieren, bevor eine der Löschoptionen in Command verfügbar ist. {% endhint %} *** **(Optional) Zugriffsdaten für SCIM-Benutzer hinzufügen** {% stepper %} {% step %} **Melden Sie sich bei Ihrem** [**Azure-Portal**](https://portal.azure.com)**.** {% endstep %} {% step %} **Geben Sie in der Suchleiste Unternehmensanwendungen ein und wählen Sie sie aus.** {% endstep %} {% step %} **Wählen Sie Ihre Verkada SCIM-Anwendung aus.** {% endstep %} {% step %} **Klicken Sie im linken Bereich auf Verwalten > Bereitstellung.** {% endstep %} {% step %} **Erweitern Sie das Untermenü Zuordnungen und wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus.** {% endstep %} {% step %} **Klicken Sie unten auf Erweiterte Optionen anzeigen > Attributliste für customappsso bearbeiten.** a. Fügen Sie die Attribute aus der untenstehenden Tabelle hinzu.\ b. Klicken Sie auf **Speichern**. {% endstep %} {% step %} **Gehen Sie zurück zu Microsoft Entra ID-Benutzer bereitstellen und wählen Sie Neue Zuordnung hinzufügen aus.** a. Verwenden Sie extensionAttributes 1-5 als **Quellattribute** und ordnen Sie sie den neuen Attributen zu, die für **Kartenformat, Kartennummer, Kartennummer Hex, Anmeldestatus,** und **Facility Code** als Zielattribute erstellt wurden. 1. Referenz [Zulässige Kartenformate](/access-control/de/installation/badge-reader-support/supported-card-formats.md) für akzeptierte Kartenformate und die zugehörigen Längen für Facility Code, Kartennummer und/oder Kartennummer Hex. 2. **Anmeldestatus** kann "aktiv", "deaktiviert" oder "gelöscht" sein 3. Klicken Sie auf **Speichern**. b. Um eine Abteilungskennung zu synchronisieren, fügen Sie eine neue Zuordnung mit dem gewünschten Quellattribut hinzu (z. B. department oder ein benutzerdefiniertes Erweiterungsattribut) und setzen Sie das Zielattribut auf costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Dadurch wird ein Abteilungs-ID-Wert an Command synchronisiert. {% endstep %} {% endstepper %} **Attributtabelle** | | | | ------------------------------------------------------------------------------- | ------------ | | **Name** | **Typ** | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat | Zeichenfolge | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber | Zeichenfolge | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex | Zeichenfolge | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus | Zeichenfolge | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode | Zeichenfolge | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | Zeichenfolge | **Die App-Registrierung bearbeiten** Jede auf Entra AD erstellte Enterprise Application mit aktiviertem SCIM benötigt in der Regel eine eigene App-Registrierung. {% stepper %} {% step %} **Geben Sie in der Suchleiste App-Registrierungen ein und wählen Sie sie aus.** {% endstep %} {% step %} **Wechseln Sie zur Registerkarte Alle Anwendungen und suchen Sie nach dem Namen Ihrer Verkada SCIM-Anwendung.** {% endstep %} {% step %} **Notieren Sie sich auf der Übersichtsseite die Anwendungs-(Client-)ID und die Verzeichnis-(Tenant-)ID Ihrer App-Registrierung. Sie benötigen diese später, um Anmeldedaten für Ihre Command-Anwendung aus Ihrer App-Registrierung zu konfigurieren.** {% endstep %} {% step %} **Klicken Sie in der linken Navigation auf Verwalten.** a. Unter **Zertifikate & Geheimnisse:** 1. Klicken Sie auf **Neuer Client-Geheimschlüssel**. 2. Legen Sie die **Beschreibung** auf "*Verkada SCIM-Anmeldedaten"* fest und setzen Sie das gewünschte Ablaufdatum des Zertifikats. 3. Kopieren und speichern Sie den angezeigten Wert aus dem **Wert** des neu erstellten Client-Geheimschlüssels. **Dies wird nur einmal angezeigt.** e. Unter **API-Berechtigungen**: 1. Klicken Sie auf **Berechtigungen hinzufügen > Microsoft Graph.** 2. Wählen Sie **Anwendungsberechtigungen** aus und suchen Sie nach "*User.ReadWrite.All*". 1. Aktivieren Sie das Kontrollkästchen, um die Berechtigungen zuzuweisen. 2. Klicken Sie auf **Berechtigungen hinzufügen**.
3. Um zu vermeiden, dass alle zwischen Microsoft Entra ID und Ihrer Command-Anwendung kommunizierten Stufenänderungen manuell geprüft und genehmigt werden müssen, wählen Sie **Admin-Zustimmung für Standardverzeichnis erteilen**.
{% endstep %} {% endstepper %} {% hint style="warning" %} Beziehen Sie sich auf diese Liste der Anmeldedaten für [zulässige Kartenformate](/access-control/de/installation/badge-reader-support/supported-card-formats.md). {% endhint %} **Greifen Sie auf Ihre Anmeldedaten zu und aktualisieren Sie sie** Um die Erweiterungsattribute und die Anmeldeinformationen für einen bestimmten Benutzer festzulegen, verwenden Sie die Graph-API-Anweisungen unter: . {% hint style="warning" %} Das Festlegen des **credentialStatus** Attributs auf **active** ist beim Einrichten einer Anmeldeinformation für einen Benutzer erforderlich, um Anmeldeinformationen erfolgreich mit Command zu synchronisieren. Dabei ist der Anmeldestatus (credentialStatus) extensionAttribute4. {% endhint %} Beispiel: ``` curl --location --request PATCH 'https://graph.microsoft.com/v1.0/users/' \ --header 'Authorization: Bearer ' \ --header 'Content-Type: application/json' \ --data '{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Standard 26-bit Wiegand", "extensionAttribute2": "7777", "extensionAttribute3": "7", "extensionAttribute4": "active", "extensionAttribute5": "111" } }' ``` *** **External ID mit Verkada synchronisieren** Das Feld externalId ermöglicht es Ihnen, Ihren Benutzern über Microsoft Entra eine dauerhafte, global eindeutige Kennung zuzuweisen, auf die Verkada integrationsübergreifend verweisen kann. Dies ist besonders nützlich in großen Unternehmensumgebungen, in denen Benutzer systemübergreifend eindeutig unterschieden werden müssen oder bei der das Synchronisieren von Anmeldedaten (z. B. Zugangskarten) an einen eindeutigen Identitätsschlüssel gebunden sein muss. Verkada unterstützt das Empfangen und Speichern dieses Werts als Teil seines SCIM-Benutzerschemas. Das Feld ist groß-/kleinschreibungssensitiv und wird typischerweise so konfiguriert, dass es einen Zeichenfolgenwert aus einem bestimmten Attribut in Ihrer Microsoft Entra-Instanz akzeptiert. Diese Funktion unterstützt erweiterte Workflows wie benutzerdefiniertes Anmeldedatenmanagement, Automatisierung des Mitarbeiterlebenszyklus und konsistente Benutzerzuordnung über Organisationen hinweg. **externalId von Azure zu Verkada zuordnen** Um einen benutzerdefinierten externalId-Wert von Microsoft Entra ID (Azure) zu Verkada zu synchronisieren, führen Sie die folgenden Schritte aus: {% stepper %} {% step %} **Melden Sie sich bei Ihrem Azure-Portal an.** {% endstep %} {% step %} **Geben Sie in der Suchleiste Unternehmensanwendungen ein und wählen Sie sie aus.** {% endstep %} {% step %} **Wählen Sie Ihre Verkada SCIM-Anwendung aus.** {% endstep %} {% step %} **Klicken Sie im linken Bereich auf Verwalten > Bereitstellung.** {% endstep %} {% step %} **Erweitern Sie das Untermenü Zuordnungen und wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus.** {% endstep %} {% step %} **Scrollen Sie nach unten und klicken Sie auf Erweiterte Optionen anzeigen > Attributliste für customappsso bearbeiten.** {% endstep %} {% step %} **Fügen Sie das folgende neue Attribut hinzu:** `urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId` * Typ: Zeichenfolge * Groß-/kleinschreibungssensitiv: Ja {% endstep %} {% step %} **Klicken Sie auf Speichern.** {% endstep %} {% step %} **Gehen Sie zurück zu Microsoft Entra ID-Benutzer bereitstellen und klicken Sie auf Neue Zuordnung hinzufügen.** {% endstep %} {% step %} **Wählen Sie für Quellattribut das Feld aus Azure AD aus, in dem Ihre externe ID gespeichert ist (z. B. extensionAttribute1, employeeId usw.).** {% endstep %} {% step %} **Verwenden Sie für Zielattribut: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId** {% endstep %} {% step %} **Klicken Sie auf OK und dann auf Speichern.** {% endstep %} {% endstepper %} Nach der Bereitstellung wird der Wert external\_id im SCIM-Datensatz des Benutzers innerhalb von Verkada gespeichert. Dadurch erhalten Benutzer eine flexible, per API abfragbare ID, die für ihre Organisation eindeutig bleibt und vollständig unter ihrer Kontrolle steht, ohne an interne Kennungen von Verkada gebunden oder in der Benutzeroberfläche angezeigt zu werden. ![](/files/4349d455cc4b534074fa08eb3b9f42b406de187f) {% hint style="info" %} **Möchten Sie es in Aktion sehen?** Sehen Sie sich das [Video-Tutorial](https://www.youtube.com/watch?v=YSMzqFwWlW4). {% endhint %} {% endtab %} {% endtabs %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://help.verkada.com/command/de/sicherheit/identity-providers/microsoft-entra-id.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.