# Okta

Verkada Command kann in zwei Kapazitäten mit Okta (unter anderem mit anderen Identity Providern \[IdPs]) integriert werden, abhängig vom Anwendungsfall:

* Security Assertion Markup Language (SAML)
* System for Cross-Domain Identity Management (SCIM)

**SAML** übernimmt den Authentifizierungsprozess und ermöglicht es, Okta zur Verwaltung des Zugriffs auf Command zu verwenden, genau wie bei jeder anderen Software-as-a-Service-(SaaS)-Anwendung, die bereits in Ihrem Okta-Tenant integriert ist. Das bedeutet, dass Command in Ihr bestehendes Identitätsframework eingebunden werden kann und der Zugriff auf Grundlage Ihrer derzeitigen Richtlinien gesteuert werden kann.

**SCIM** ermöglicht es Ihnen, Ihre bereits in Okta vorhandenen Benutzer und Gruppen zu nutzen und mit Command zu synchronisieren. Dadurch behalten Sie den aktuellen zentralen Identity Provider bei und können den Zugriff über Ihre bestehenden Benutzer und Gruppen mithilfe von Command konfigurieren, um den Zugriff auf die Plattform zu steuern.

{% hint style="info" %}
Verkada empfiehlt OIDC gegenüber SAML für mehr Sicherheit und eine einfachere Konfiguration. OIDC ermöglicht außerdem [Enterprise Controlled Encryption](/command/de/sicherheit/enterprise-controlled-encryption.md).
{% endhint %}

***

{% tabs %}
{% tab title="OIDC (Empfohlen)" %}

#### OIDC-basierte SSO für Okta

Verkada Command unterstützt Single Sign-On (SSO) über OpenID Connect (OIDC) mit Okta. Diese Integration ermöglicht es unseren Benutzern, sich nahtlos und sicher mit ihren vorhandenen Okta-Anmeldedaten zu authentifizieren, was den Zugriff auf Command vereinfacht und die allgemeine Sicherheit erhöht.

{% hint style="danger" %}
OIDC wird in Desk Station-Apps nicht unterstützt.
{% endhint %}

{% hint style="info" %}
Aktivieren [Enterprise Controlled Encryption (ECE)](/command/de/sicherheit/enterprise-controlled-encryption.md) für mehr Sicherheit.
{% endhint %}

***

**OIDC-Konfiguration**

{% stepper %}
{% step %}
**Navigieren Sie zu Ihrer Okta-Instanz, um eine neue Anwendung zur Verwaltung Ihrer OIDC-Konfiguration zu erstellen. Klicken Sie in der Seitenleiste „Applications“ auf „Applications“ und dann auf „Create App Integration“.**

<div align="left" data-with-frame="true"><img src="/files/620fd48ff58a662afc4c1841c76a31fadc4f6398" alt="" width="563"></div>
{% endstep %}

{% step %}
**Wählen Sie unter „Create a new app integration“ als Anmeldemethode „OIDC - OpenID Connect“ und als Anwendungstyp „Single-Page Application“.**

<div align="left" data-with-frame="true"><img src="/files/2ee3af1d5060f73e1b09bcb506f659b9af0a814c" alt="" width="563"></div>
{% endstep %}

{% step %}
**Geben Sie unter „Sign-in redirect URIs“ Ihrer Anwendung einen eindeutigen Namen und fügen Sie die folgenden Links zur Liste der Sign-in redirect URIs hinzu:**

a. <https://command.verkada.com/oidc/okta/callback>\
b. [http://\<org-short-name>.command.verkada.com/oidc/okta/callback](http://org-short-name.command.verkada.com/oidc/okta/callback) wobei im URL der Kurzname Ihrer Command-Organisation steht.

<div align="left" data-with-frame="true"><img src="/files/6aa3b56c36d26df54628ba832746024f734acfa4" alt="" width="800"></div>
{% endstep %}

{% step %}
**(Optional) Fügen Sie unter „Sign-out redirect URIs“** [**https://command.verkada.com/**](https://command.verkada.com/)**.**

<div align="left" data-with-frame="true"><img src="/files/d95f020a2914f3b64beecf7b17034f06d438605b" alt="" width="800"></div>
{% endstep %}

{% step %}
**Wählen Sie unter „Assignments“ vorerst „Skip Group Assignment“ und klicken Sie auf „Save“.**

<div align="left" data-with-frame="true"><img src="/files/01ac3d67ce1f94528cb71d43db78736f2042493e" alt="" width="800"></div>
{% endstep %}

{% step %}
**Klicken Sie unter „Assignments“ auf das Dropdown-Menü „Assign“, um diese Anwendung Ihren (und anderen relevanten) Benutzerprofilen zuzuweisen.**

<div align="left" data-with-frame="true"><img src="/files/78cea2fd3e8669fd9aca83d9fba0adca4225cfc8" alt="" width="800"></div>
{% endstep %}

{% step %}
**Kopieren Sie unter „General“ die unter „Client Credentials“ angezeigte Client-ID.**

<div align="left" data-with-frame="true"><img src="/files/e4782ce42c61dd217d583d9fb6163abc6f509210" alt="" width="800"></div>
{% endstep %}
{% endstepper %}

***

**Command-Konfiguration**

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Wählen Sie in der linken Navigation „Login & Access“ aus.**
{% endstep %}

{% step %}
**Wählen Sie „Single Sign-On Configuration“ aus.**
{% endstep %}

{% step %}
**Klicken Sie unter „OIDC Configuration“ auf „Add New“.**

a. Aktivieren Sie **Aktivieren.**\
b. (Optional) Aktivieren Sie **OIDC SSO erforderlich.**\
c. Unter **Select Provider,** wählen Sie **Okta.**\
d. Unter **Add Client and Tenant,** klicken Sie auf :plus:.

1. Fügen Sie im **Client-ID** Feld die aus Okta kopierte Client-ID ein.
2. Fügen Sie im **Tenant-ID** Feld geben Sie den ersten Teil der URL Ihrer Okta-Instanz ein. Sie sollte so aussehen: [https://yourinstancename.okta.com](https://yourinstancename.okta.com/).
3. Klicken Sie auf **Fertig**.

   <div align="left" data-with-frame="true"><img src="/files/4ad256bf6c4d28689f1719d23ea395c7bca1c799" alt="" width="800"></div>

h. **E-Mail-Domänen,** klicken Sie auf :plus:**.**

1. Geben Sie Ihre vorhandene Domain ein (z. B. @verkada.com).
2. Klicken Sie auf **Fertig**.

   <div align="left" data-with-frame="true"><img src="/files/d360216ed339c50033fdde85ef5b156a22d15d9a" alt="" width="800"></div>

{% endstep %}

{% step %}
**Klicken Sie unter „Login Test“ auf „Run Login Test“.**
{% endstep %}

{% step %}
**Ein erfolgreicher Login-Test sollte zur OIDC-Konfigurationsseite weiterleiten. Sobald Sie angemeldet sind, fügen Sie die Domain hinzu, die auf die Whitelist gesetzt werden soll.**
{% endstep %}

{% step %}
**Sobald Ihre Domain hinzugefügt wurde, führen Sie den Login-Test erneut aus. SSO wird erst aktiviert, nachdem dieser zweite Login-Test erfolgreich abgeschlossen wurde.**
{% endstep %}

{% step %}
**Sobald Ihre Domain verifiziert ist, sollte sie erfolgreich validiert angezeigt werden.**
{% endstep %}
{% endstepper %}
{% endtab %}

{% tab title="SAML" %}
**Okta SAML-Integration**

***

**Bevor Sie beginnen**

Für eine erfolgreiche Integration wählen Sie den besten Pfad für Ihre Region:

* [SAML für Ihr Command-Konto aktivieren](/command/de/sicherheit/identity-providers.md#upload-saml-xml-metadata)
* **Für US-Organisationen**, verwenden Sie eine vorhandene Verkada-Anwendung gemäß den direkt unten stehenden Schritten.
* **Für EU- und AUS-Organisationen**, folgen Sie den Schritten im nächsten Abschnitt, um eine neue App-Integration in Okta zu konfigurieren.

<details>

<summary>Eine Verkada-Okta-App erstellen (US-Regionen)</summary>

1. **Melden Sie sich bei Okta an.**
2. **Gehen Sie zur Seite „Applications“ und klicken Sie auf „Browse App Catalog“.**

   <div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/449896715/390b39e32ff7892e3a4c7123/Screen+Shot+2022-01-17+at+3.17.12+PM.png?expires=1766003400\&#x26;signature=22f123d38bacf85fa5a9f30c9dc7a5242cd3ed61d9a71b44aa24cf937709bb14\&#x26;req=cCQuHsB4moBaFb4f3HP0gK8CSkgsYzn3qhkkLT8eMaCLqqJiY68f8kCdYBCM%0AqY4%3D%0A" alt="" width="800"></div>
3. **Geben Sie in die Suchleiste Verkada ein.**
4. **Klicken Sie auf „Add Integration“.**

   <div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/449897287/e17bbcb0aac5233606a71783/Screen+Shot+2022-01-17+at+3.18.45+PM.png?expires=1766003400\&#x26;signature=e671263a738671cf7f24df811082e25d8d9fa670f5c9024e9085b5f6e1883fe3\&#x26;req=cCQuHsB5n4lYFb4f3HP0gK4OGuNco5idOO0lt8OafCOqMnOFTJEqxdcz3ZfH%0AOH8%3D%0A" alt="" width="800"></div>
5. **Klicken Sie auf „Done“.**

   <div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/449897651/d563f47daacb254236cf0454/Screen+Shot+2022-01-17+at+3.21.27+PM.png?expires=1766003400\&#x26;signature=6871448aecf02075e8f29cf2fd6c1f908b7793f1d57c547e7cf0f4efbd479ea3\&#x26;req=cCQuHsB5m4ReFb4f3HP0gGt1PTq1x%2B0JH9fUDuo6%2F3taZSMJf6DmU%2FgeF4xI%0AEkA%3D%0A" alt="" width="800"></div>
6. **Wählen Sie in Okta den Tab „Sign On“ für die Verkada-App aus und klicken Sie auf „Edit“.**

   <div align="left" data-with-frame="true"><img src="/files/db489ded320e9f8370f3be3187339bedc705044d" alt="" width="800"></div>
7. **Scrollen Sie nach unten zu „Advanced Sign-On Settings“ und geben Sie die Client-ID Ihres Command-Kontos ein.**

   <div align="left" data-with-frame="true"><img src="/files/ce97e8a28847d501d76c7f56d0a3db967fdddec9" alt="" width="800"></div>
8. **Wählen Sie „Save“.**

   <div align="left" data-with-frame="true"><img src="/files/dc8d2f388df9fed4cfabac8c12d15729f0b8d686" alt="" width="800"></div>

</details>

<details>

<summary>Eine neue App-Integration in Okta konfigurieren (EU- &#x26; AUS-Regionen)</summary>

1. **Gehen Sie zu „Applications“ und wählen Sie „Create App Integration“.**
2. **Erstellen Sie eine neue App-Integration, wählen Sie „SAML 2.0“ und klicken Sie auf „Next“.**

   <div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/1102852007/dd17f8b70d0287d06a11ba40/image.png?expires=1766003400\&#x26;signature=f6e24360efec33ff0e3afa6f07c4c112175037ddb034853b56107bf332cba625\&#x26;req=dSEnFMF7n4FfXvMW1HO4zXPltyd%2B2lhHD1n4y9sXweynIKPYzWTArMzGiQk2%0AxFxH%0A" alt="" width="800"></div>
3. **Geben Sie auf der Seite „Create a SAML integration“ unter „General Settings“ einen Anwendungsnamen ein, fügen Sie optional ein Anwendungslogo hinzu und klicken Sie dann auf „Next“.**
4. **Füllen Sie auf der Seite zur SAML-Konfiguration die „Single Sign-On URL“ und die „Audience URI (SP Entity ID)“ mit diesen Links aus:**

   * Für EU-Organisationen: [https://saml.prod2.verkada.com/saml/sso/\<client-ID>](https://saml.prod2.verkada.com/saml/sso/%3Cclient-ID%3E)
   * Für AUS-Organisationen: [https://saml.prod-ap-syd.verkada.com/saml/sso/\<client-ID>](https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E)

   Aktivieren Sie das **Use this for Recipient URL and Destination URL** Kontrollkästchen.

   <div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p><strong>Client-ID</strong> soll aus der Command-Konfiguration übernommen und in den in der Okta-Anwendung eingefügten Links ersetzt werden.</p></div>

   <div align="left" data-with-frame="true"><figure><img src="/files/31e69c4b45a5d3fc3f956cb4f99796f4853d0f2a" alt="" width="800"><figcaption></figcaption></figure></div>
5. **Der Anwendungsbenutzername ist der Okta-Benutzername.**
6. **Klicken Sie auf „Next“. Aktivieren Sie auf der Feedback-Seite das Kontrollkästchen „This is an internal app that we have created“. Klicken Sie auf „Finish“.**

   <div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/1102855332/9fae260feef25cb11bd7cd27/image.png?expires=1766003400\&#x26;signature=50ce8e5764340d45248e6c299c221ff32cda6ea62da6428016d113d088f43943\&#x26;req=dSEnFMF7mIJcW%2FMW1HO4zWsfcy8mxJmpu5er%2BtIFWBX5DFNhGgak3xp5mWgs%0A0Rgx%0A" alt="" width="800"></div>
7. **Richten Sie im Abschnitt „Attributes Statements“ die Attributzuordnung wie folgt ein:**

   * `email` > `user.email`
   * `firstName` > `user.firstName`
   * `lastName` > `user.lastName`

   <div align="left" data-with-frame="true"><figure><img src="/files/b77cbb87e9426b8d6983c7e6185fd2f37afaeb12" alt="" width="800"><figcaption></figcaption></figure></div>

</details>

***

**Konfiguration**

{% stepper %}
{% step %}
**Wählen Sie in Okta für die App den Tab „Assignments“ aus. Klicken Sie auf „Assign“ und wählen Sie „People“ oder „Groups“, um SSO für diese Benutzer zu aktivieren.**
{% endstep %}

{% step %}
**Wählen Sie für die App den Tab „Sign On“ aus.**
{% endstep %}

{% step %}
**Scrollen Sie nach unten zu „SAML Signing Certificates“ und klicken Sie auf „Generate new certificate“, wenn noch kein neues Zertifikat vorhanden ist.**
{% endstep %}

{% step %}
**Wählen Sie rechts neben dem Zertifikat im Dropdown-Menü „Actions“ die Option „View IdP metadata“ aus.**

<div align="left" data-with-frame="true"><img src="/files/531b7349815f96037450ed273c038a276a6b0a76" alt="" width="800"></div>
{% endstep %}

{% step %}
**Klicken Sie mit der rechten Maustaste auf die Metadaten, wählen Sie „Save As“ und laden Sie sie als XML-Datei herunter.**
{% endstep %}

{% step %}
**Nach dem Herunterladen der XML-Datei** [**laden Sie sie in Command hoch**](/command/de/sicherheit/identity-providers.md#upload-saml-xml-metadata)**.**
{% endstep %}

{% step %}
**Klicken Sie im Abschnitt „Verify Metadata“ auf „Run Login Test“.**
{% endstep %}
{% endstepper %}

***

**Fehlerbehebung**

* **Das Aktualisieren von Benutzernamen (E-Mail-Adressen) wird in Command nicht automatisch übernommen**. Wenn Sie einen Benutzernamen ändern müssen, entfernen Sie die Zuweisung des Benutzers aus der SAML-App und fügen Sie den Benutzer dann erneut zur App hinzu, damit die Änderung wirksam wird.
* **Wenn sich ein neuer Benutzer nicht über SSO anmelden kann**, kann es daran liegen, dass die E-Mail-Domäne nicht zur SSO-Konfiguration im Verkada-Backend hinzugefügt wird. Wenn sich die E-Mail des Benutzers außerhalb der E-Mail-Domänen befindet, die bei der Einrichtung von SSO konfiguriert wurden, kann der Benutzer SSO nicht verwenden. Wenn dies die Ursache des Problems ist, müssen Sie die SSO-Konfiguration bearbeiten und diese Domäne hinzufügen, um das Problem zu beheben.
* **Wenn Sie andere Probleme bei der Einrichtung von SSO haben**, wenden Sie sich an [Verkada Support](/command/de/brauchen-sie-hilfe/contact-verkada-support.md).
  {% endtab %}

{% tab title="Benutzerbereitstellung" %}

#### Okta SCIM-Integration

***

**Bevor Sie beginnen**

{% stepper %}
{% step %}
**Sie benötigen einen API-Token, um eine Verbindung zum Verkada-SCIM-Endpunkt herzustellen. Dieser Token ist pro Verkada-Organisation eindeutig. Erfahren Sie, wie Sie** [**einen SCIM-API-Token erhalten**](/command/de/sicherheit/identity-providers/scim-token-management.md)**.**
{% endstep %}

{% step %}
**Für eine erfolgreiche Integration wählen Sie den besten Pfad für Ihre Region:**

* **Für US-Organisationen**, befolgen Sie die Schritte unter „Create a Verkada Okta app“.
* **Für EU- und AUS-Organisationen**, befolgen Sie die Schritte unter „Enable SCIM provisioning in Okta app“.
  {% endstep %}
  {% endstepper %}

{% hint style="warning" %}
Um zu bestätigen, in welcher Region Sie sich befinden, [sehen Sie nach, wo Ihre Organisation für Verkada erstellt wurde](/command/de/erste-schritte/get-started-with-verkada-command.md).
{% endhint %}

***

**Eine Verkada-Okta-App erstellen**

<details>

<summary>US-Region</summary>

1. Melden Sie sich bei Okta an.
2. Klicken Sie im linken Navigationsbereich auf „Applications“.
3. Klicken Sie oben auf „Browse App Catalog“.

<div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/449896715/390b39e32ff7892e3a4c7123/Screen+Shot+2022-01-17+at+3.17.12+PM.png?expires=1766003400&#x26;signature=22f123d38bacf85fa5a9f30c9dc7a5242cd3ed61d9a71b44aa24cf937709bb14&#x26;req=cCQuHsB4moBaFb4f3HP0gK8CSkgsYzn3qhkkLT8eMaCLqqJiY68f8kCdYBCM%0AqY4%3D%0A" alt="" width="800"></div>

4\. Geben Sie in die Suchleiste Verkada ein, klicken Sie auf die App und dann auf „Add Integration“.

<div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/862216187/b148b14a43ce418501b12069/8375910_OktaSCIMintegration.png?expires=1766003400&#x26;signature=2ed4243f90ccb2112842367c8966cd540765dba751717a8f5963079ce366b0fc&#x26;req=fCYlFMh4nIlYFb4f3HP0gBUSQgAMwz4tz0EiSwyS8tw2UQZtrTgdZJv0gOHs%0AYM4%3D%0A" alt="" width="800"></div>

5\. Geben Sie für „Application label“ Verkada (oder einen anderen eindeutigen Namen Ihrer Wahl) ein und klicken Sie auf „Done“.

<div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/449897651/d563f47daacb254236cf0454/Screen+Shot+2022-01-17+at+3.21.27+PM.png?expires=1766003400\&#x26;signature=6871448aecf02075e8f29cf2fd6c1f908b7793f1d57c547e7cf0f4efbd479ea3\&#x26;req=cCQuHsB5m4ReFb4f3HP0gGt1PTq1x%2B0JH9fUDuo6%2F3taZSMJf6DmU%2FgeF4xI%0AEkA%3D%0A" alt="" width="800"></div>

</details>

<details>

<summary>EU- &#x26; AUS-Region</summary>

1. Melden Sie sich bei Okta an.
2. Gehen Sie zur Seite „Applications“ und klicken Sie auf „Create App Integration“.

   <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851144/63f1c84c55eb91cd2c8eaa9a/WsSZmmICcArfKIUzbJYN4_T5Sra5e6IO34jeIdFraM2YPNuIIjjJ8Rh1vnOMjVmDq_dGKbLpqX4o_QT0NP6DyPgJhyjHAy2BUydB7V23rMr5xFPmT4icGAsCgohn0m5wTxje0zah2xX4sQ1xtlm25wo?expires=1766003400\&#x26;signature=19aae02631c4e9ad01969e320ce1ad7c0984fcae271d336cd2f177974e686414\&#x26;req=fCghHsx%2FnIVbFb4f3HP0gFX9cCgDlGGbgLvgCfpHtN1iQ4hvq%2F9YOxRafCNG%0ARbA%3D%0A" alt="" width="800"></div>
3. Wählen Sie unter „Create a new app integration“ „SAML 2.0“ aus und klicken Sie auf „Next“.
4. Geben Sie im Feld „App name“ einen Namen ein und klicken Sie auf „Next“.
5. Auf „Create SAML Integration“:
   1. Für die Single-Sign-On-URL:

      Für EU-Organisationen: [https://saml.prod2.verkada.com/saml/login/\<org short name>](https://saml.prod2.verkada.com/saml/login/) wobei *\<org short name>* der Kurzname Ihrer Organisation ist.

      Für AUS-Organisationen: [https://saml.ap-syd.verkada.com/saml/login/\<org short name> ](https://saml.prod3.verkada.com/saml/login/)wobei *\<org short name>* der Kurzname Ihrer Organisation ist.
   2. Für Audience URI (SP Entity ID):

      Für EU-Organisationen:[ https://saml.prod2.verkada.com/saml/sso/\<org short name> ](https://saml.prod2.verkada.com/saml/sso/)wobei *\<org short name>* der Kurzname Ihrer Organisation ist.

      Für AUS-Organisationen: [https://saml.](https://saml.prod3.verkada.com/saml/sso/)[ap-syd](https://saml.prod3.verkada.com/saml/login/)[.verkada.com/saml/sso/\<org short name> ](https://saml.prod3.verkada.com/saml/sso/)wobei *\<org short name>* der Kurzname Ihrer Organisation ist.
   3. Scrollen Sie nach unten und klicken Sie auf „Next“.

      <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851148/6fd39889aad356e828a9f1e2/c95BQJPAkrZwgMRjzr1FQ1hIT28LoFNI5VMyRfx65HTud87oLHkEbrzq8LPe01MHtA6tKF-sRYv8p0cKUCQkVUThaoJnWGxBHj-Him2q5DmIdm-bQy0dzvQpk0cRvWwRvGf1PTZzGTn79b1zfz_gA98?expires=1766003400\&#x26;signature=5fd20b86013bc0f4ba28cbdd3d233f71a2a6961cec82c73c0b477748fb44a9ef\&#x26;req=fCghHsx%2FnIVXFb4f3HP0gIsENFokZPlQ6p7gfi0ihxbn4uDdLx%2FWBqOO7c3X%0APHg%3D%0A" alt="" width="800"></div>
6. Wählen Sie die Optionsschaltfläche „I’m an Okta customer adding an internal app“ und klicken Sie auf „Finish“ (optional können Sie die zusätzlichen Fragen von Okta überspringen).
7. Klicken Sie in der linken Navigation auf „Applications“ und klicken Sie auf Ihre neu erstellte App (falls Sie nicht automatisch zu Ihrer App weitergeleitet werden).
8. Wählen Sie oben den Tab „General“ aus:
   1. Klicken Sie oben rechts für die „App Settings“ Ihrer App auf „Edit“.
   2. Aktivieren Sie das Kontrollkästchen „Enable SCIM provisioning“.
   3. Klicken Sie auf „Save“.

      <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851153/bfa634bbbaae62cca595a09f/vwlKHLqNXGQkFOWEkVbAKXZhzP-aSETLv4m9IQ3O2gzBpP9Np7ocOAkzAktGxC8wM53R8WR3etrx2fs3zsjCXL20YbqEy7DwD8i48-hxcB3FXdllet8sYm3zUtzgB55G0EUGEW1ji0uXjMIYZyzepjA?expires=1766003400\&#x26;signature=55027176fa5d6a8129c53a97c6743086c488a3e43abc188cf83104121a54e73f\&#x26;req=fCghHsx%2FnIRcFb4f3HP0gFJXoIOCtJbQzP0a%2FnhB2y7JCSg5lWFQzV%2F2FDTF%0Ai%2BI%3D%0A" alt="" width="800"></div>
9. Bei der SCIM-Verbindung:
   1. Wählen Sie oben in Ihrer neu erstellten App den Tab „Provisioning“ aus.
   2. Klicken Sie für die SCIM-Connection-Einstellungen auf „Edit“.
   3. Für die SCIM-Connector-Basis-URL

      Für EU-Organisationen, <https://scim.prod2.verkada.com/scim>

      Für AUS-Organisationen, [https://scim.ap-syd.verkada.com/scim](https://scim.prod2.verkada.com/scim)
   4. Geben Sie für das Feld „Unique identifier field for users“ userName ein.
   5. Aktivieren Sie die Kontrollkästchen „Push New Users“, „Push Profile Updates“ und „Push Groups“.
   6. Klicken Sie auf das Dropdown-Menü „Authentication Mode“ und wählen Sie „HTTP Header“.
10. Kopieren Sie den SCIM-Token aus Command und fügen Sie ihn in das Feld „Authorization“ ein.

    <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851157/96d872e82636280e8810b5cd/2psAWP661MUUm0bwdb-15pWDM2yInrCLzJ52ju9UQ141G1OuZWQvUCD-MJE3HWMumJyPIyqIxUXUfmJG7JtQ4DaTJ6OkaaThBRqXBDWznAvJ8F-6vRExzhUfbTQVHJ9ySeGsrujuOhPE9kEmMykpFpo?expires=1766003400\&#x26;signature=1a3a6dac2cf88e1fc3668dca25798e5742035c80f146cd21a11274e619978943\&#x26;req=fCghHsx%2FnIRYFb4f3HP0gIT5S38DtHQhhUWTe3Q20l5GdXTLrtOI2YLqFnK0%0ARYY%3D%0A" alt="" width="800"></div>
11. Klicken Sie auf „Save“.

</details>

***

**Die Verkada-Okta-App konfigurieren**

<details>

<summary>US-Region</summary>

1. Melden Sie sich bei Okta an.
2. Klicken Sie links auf „Applications“ und dann auf die Verkada-App.
3. Wählen Sie links den Tab „Provisioning“ aus.
4. Unter dem Tab „Provisioning“ > „Integration“:
   1. Klicken Sie auf „Configure API Integration“.
   2. Aktivieren Sie das Kontrollkästchen „Enable API integration“.
   3. Kopieren Sie im Feld „API Token“ Ihren von Command generierten API-Token und fügen Sie ihn ein.
   4. Klicken Sie auf „Save“.

      <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851164/bfaea19da7bc2d70c8718f59/1Uqq8IPPIlQxHHrtgwQX2uoof53IwL43EqOj6sgOKGkL21FpMDgPKvZU4O3UR8axr9tSc0o-EfGs239SNAEqxzIKwfe8j1N5UXZPHSHo4-fH0O9vh470EhNgw2TU77d72HjC0YEJEFEkQ9gjuJM3JxM?expires=1766003400\&#x26;signature=fec9e530aff69237affe8757ddf306027fbc84c81bc5a234c9c4846d0077cf97\&#x26;req=fCghHsx%2FnIdbFb4f3HP0gOEEIFpHRoy4XZ%2Bzea%2BP76fZ9tG4Lw5cmlHZAO6w%0ASvA%3D%0A" alt="" width="800"></div>
5. Unter dem Tab „Provisioning“ > „Settings“:
   1. Wählen Sie „To App“ aus und klicken Sie auf „Edit“.
   2. Aktivieren Sie die Optionen „Create Users“, „Update User Attributes“ und „Deactivate Users“.
   3. Klicken Sie auf „Save“.

      <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851172/d574d2353093abe51f46555f/oEFsUMqaaEmJgSbRL43Q-r3TBLlIl1p0E0z_zu8-iNUsfnUUOM4BY2SodL6eCh99zJ6GERBJX7MCbSGsyBHMgvKnmAEaLE_R8KDIj6x1P6eTXrGJPYyALWqsNQ7q5--t4wu6RsmCY6wPsW8mQAV6ees?expires=1766003400\&#x26;signature=fc77bae6b81720fccb8f86f3570051605226a436ed4b940553c8b4046495089f\&#x26;req=fCghHsx%2FnIZdFb4f3HP0gCKBhfXRZqkUtOVsefJPDM96y22ejfZXznC1xdmM%0AdIc%3D%0A" alt="" width="800"></div>
6. Unter dem Tab „Provisioning“ > Bereich „To App“ > „Verkada Attribute Mappings“ klicken Sie auf „Go to Profile Editor“.
7. Stellen Sie sicher, dass die Attribute übereinstimmen, wie im folgenden Beispiel gezeigt. Sie können mehr Attribute hinzufügen als angezeigt. Siehe [Attribute zu SCIM-verwalteten Benutzern hinzufügen](#add-attributes-to-scim-managed-users).

   <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851176/a0db505658eaae5d0d626de0/PIBYFY8jXzcT7lnRd57pjtfZum9oDzyH5Rx9BiiAKmE6sJflxxQCBQL2HacJRGzZdSH_bIICRVTIt7_BrXbmiJLwyTLxPFAVEtmsQiwPb9qzNrimmTL15XZzwoU2sZivYIIFHNtrvVJDd15Zuff0Oc4?expires=1766003400\&#x26;signature=8b1b23a5e437f5e559e1ae4ed7f555efd35d8fcb36bd832b8a5fcf5c251ed4de\&#x26;req=fCghHsx%2FnIZZFb4f3HP0gGCncM16IH%2BM1u2IZJmbblnERJH2LTdehgXA1xRb%0AF%2Bk%3D%0A" alt="" width="800"></div>

</details>

<details>

<summary>EU- und AUS-Region</summary>

1. Melden Sie sich bei Okta an.
2. Klicken Sie links auf „Applications“ und dann auf die Verkada-App.
3. Unter dem Tab „Provisioning“ > „Settings“:
   1. Wählen Sie „To App“ aus und klicken Sie auf „Edit“.
   2. Aktivieren Sie die Optionen „Create Users“, „Update User Attributes“ und „Deactivate Users“.
   3. Klicken Sie auf „Save“. Sie können mehr Attribute hinzufügen als angezeigt. Siehe [Attribute zu SCIM-verwalteten Benutzern hinzufügen](#add-attributes-to-scim-managed-users).

      <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851180/11af938596e16a8fd1103eb4/oEFsUMqaaEmJgSbRL43Q-r3TBLlIl1p0E0z_zu8-iNUsfnUUOM4BY2SodL6eCh99zJ6GERBJX7MCbSGsyBHMgvKnmAEaLE_R8KDIj6x1P6eTXrGJPYyALWqsNQ7q5--t4wu6RsmCY6wPsW8mQAV6ees?expires=1766003400\&#x26;signature=874ef3a07ff6a32c3366e9c70f41153d76368b171a44aadf9e006292ab41ab34\&#x26;req=fCghHsx%2FnIlfFb4f3HP0gL%2BQvgs5Jd2oAQ0QnMC3vH91dWpOTKMXuDGqcrvr%0AuSs%3D%0A" alt="" width="800"></div>

</details>

***

**Zusätzliche Attribute zu SCIM-verwalteten Benutzern hinzufügen**

<details>

<summary>Attribute zu SCIM-verwalteten Benutzern hinzufügen (optional)</summary>

Verkada und Okta unterstützen diese Attribute: `userName` (Standard), `givenName` (Standard), `familyName` (Standard), `title`, `employeeNumber`, `primaryPhone`, `department`, `organization`.

Sie können auch eine eindeutige Kennung mit Command synchronisieren, indem Sie sie dem Feld **externalId** zuordnen. Dies ermöglicht erweiterte Anwendungsfälle, z. B. die Unterscheidung von Benutzern über verschiedene Systeme hinweg oder die Synchronisierung von Zugriffsanmeldedaten mit einem eindeutigen Benutzerbezug. Dieser Wert wird in der Datenbank gespeichert und kann über die API abgefragt werden, erscheint jedoch nicht in der Command-Benutzeroberfläche.

{% hint style="info" %}
Um Telefonnummern außerhalb der USA in Command bereitzustellen, fügen Sie die Landesvorwahl in der Telefonnummer des Benutzers im Okta-Profil hinzu.

Zum Beispiel:

* **USA:** 123-456-7890 → **+1 123-456-7890**
* **UK:** 07123 456789 → **+44 7123 456789**

Die Verwendung des internationalen Formats stellt sicher, dass die Nummer korrekt in Command importiert wird.
{% endhint %}

1. **Melden Sie sich bei Okta an.**
2. **Erstellen Sie das Attribut im SCIM-App-Profil.**

   1. Gehen Sie in Okta zu **Verzeichnis > Profil-Editor.**
   2. Wählen Sie Ihren **Verkada SCIM-verwaltete Anwendung Benutzer.**
   3. Klicken Sie auf **Attribut hinzufügen** und fügen Sie die Attributdetails wie in der [Tabelle](#attribute-table) unten aufgeführt hinzu.
   4. Klicken Sie auf **Speichern.**

   <div align="left" data-with-frame="true"><img src="/files/cb5e97f1bcc514dc23b4f20708e0d7a3ca14dbd5" alt="" width="800"></div>
3. **Das Attribut zuordnen**

   1. Bleiben Sie im Profile Editor und klicken Sie auf **Zuordnungen.**
   2. Wählen Sie **Okta-Benutzer zu \[Ihrer SCIM-App].**
   3. Klicken Sie auf das Dropdown-Menü und suchen Sie das Quellfeld, das Sie zuordnen möchten (z. B. user.nickName, employeeNumber oder ein anderes benutzerdefiniertes Feld), und ordnen Sie es dem `appuser` Attribut zu.
   4. Klicken Sie auf den Pfeil zwischen den Feldern und wählen Sie **Zuordnung bei Benutzererstellung und -aktualisierung anwenden.**
   5. Klicken Sie auf **Zuordnungen speichern.**

   <div align="left" data-with-frame="true"><img src="/files/5f30303b2320cbc700838614a963b7ba806a6831" alt="" width="800"></div>
4. **Bestätigen, dass das Attribut ausgefüllt ist**

   1. Navigieren Sie zu **Verzeichnis > Personen.**
   2. Öffnen Sie ein Benutzerprofil und stellen Sie sicher, dass das Quellfeld, aus dem Sie zuordnen (z. B. Spitzname), einen Wert hat.
   3. Von **SCIM-App > Tab „Provisioning“**, verwenden Sie **Force Sync** um Updates bei Bedarf zu übertragen.

   <div align="left" data-with-frame="true"><img src="/files/2417727df25d21df9fadd5bfeceb0aecc50c713f" alt="" width="800"></div>

{% hint style="warning" %}
Beziehen Sie sich auf diese Liste von Anmeldedaten für die Liste der [zulässigen Kartenformate](/access-control/de/installation/badge-reader-support/supported-card-formats.md).
{% endhint %}

</details>

<details>

<summary>Zugriffsanmeldedaten zu SCIM-verwalteten Benutzern hinzufügen (optional)</summary>

1. **Melden Sie sich bei Okta an.**
2. **Wählen Sie in der linken Navigation Verzeichnis > Profil-Editor aus.**
   1. Wählen Sie **Benutzer (Standard)** als Benutzertyp aus.
   2. Klicken Sie auf **Attribut hinzufügen** und fügen Sie die benutzerdefinierten Attribute aus der [Tabelle](#attribute-table) unten aufgeführt hinzu.
3. **Wählen Sie in der linken Navigation „Applications“ und öffnen Sie Ihre Verkada SCIM-verwaltete Anwendung.**
4. **Wählen Sie auf dem Tab „Provisioning“ „To App > Go to Profile Editor“.**
5. **Klicken Sie auf „Add Attribute“, um die oben aufgeführten Attribute mit exakt demselben Datentyp, Anzeigenamen, Variablennamen, Beschreibung und ENUM-Werten zu erstellen.**

   1. Setzen Sie den **External namespace** Wert für alle Attribute auf:

   ```
   urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
   ```

   2. Setzen Sie **Attributtyp** auf **Persönlich**.
   3. Klicken Sie auf **Speichern** um das Attribut hinzuzufügen.
6. **Klicken Sie auf „Mappings“, um die Attribute von der Okta-Benutzeranwendung Ihrer SCIM-Anwendung zuzuordnen.**

   1. Wählen Sie **Okta-Benutzer zu YourSCIMApp** oben und ordnen Sie die benutzerdefinierten Attribute, die für den Okta-Standardbenutzer erstellt wurden, denjenigen zu, die in Ihrer SCIM-Anwendung erstellt wurden.
   2. Klicken Sie auf **Zuordnungen speichern** und **Updates jetzt anwenden** um die Änderungen anzuwenden.

   <div align="left" data-with-frame="true"><img src="/files/740b57f28d69b860ee83b989a6465ff71e563259" alt="" width="800"></div>
7. **Die Attribute sollten nun in allen Benutzerprofilen Ihrer Okta-Anwendung zur Verfügung stehen.** Nach der Synchronisierung können Sie die Anmeldedaten in Command unter Zugriff > Zugriffsbenutzer > Benutzerprofil > Anmeldedaten anzeigen.

   <div align="left" data-with-frame="true"><img src="/files/805c34077252326c82956a15bbd78a51dbe8a6a5" alt="" width="800"></div>

</details>

<details>

<summary>Attributtabelle</summary>

Beziehen Sie sich auf diese Liste von Anmeldedaten für die Liste der [zulässigen Kartenformate](/access-control/de/installation/badge-reader-support/supported-card-formats.md). Der Datentyp für alle Attribute ist String.

|                   |                                                                                              |                                                                |                                                                                     |                                                                                 |
| ----------------- | -------------------------------------------------------------------------------------------- | -------------------------------------------------------------- | ----------------------------------------------------------------------------------- | ------------------------------------------------------------------------------- |
| **Anzeigename**   | **Variablenname / Externer Name**                                                            | **Externer Namensraum**                                        | **Beschreibung**                                                                    | **ENUM**                                                                        |
| Kartenformat      | cardFormat                                                                                   | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User | Kartenformat für Zugriffsanmeldeinformationen                                       | Nicht aktiviert lassen                                                          |
| Kartennummer      | cardNumber                                                                                   | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User | Kartennummer für Zugriffsanmeldeinformationen                                       | Nicht aktiviert lassen                                                          |
| Kartennummer Hex  | cardNumberHex                                                                                | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User | Hexadezimale Darstellung der Kartennummer                                           | Nicht aktiviert lassen                                                          |
| Anmeldestatus     | credentialStatus                                                                             | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User | Status der Kartenanmeldung                                                          | Kontrollkästchen: aktiv → aktiv, deaktiviert → deaktiviert, gelöscht → gelöscht |
| Einrichtungscode  | facilityCode                                                                                 | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User | Mit der Karte verknüpfter Einrichtungscode                                          | Nicht aktiviert lassen                                                          |
| Externe ID        | externalId                                                                                   | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User   | Vom Kunden definierte eindeutige ID, wird in der Benutzeroberfläche nicht angezeigt | Nicht aktiviert lassen                                                          |
| Abteilungs-ID     | costCenter                                                                                   | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User   | Kennung zur Zuordnung der Abteilung des Benutzers in Command                        | Nicht aktiviert lassen                                                          |
| Titel             | title                                                                                        | urn:ietf:params:scim:schemas:core:2.0:User                     | Titel oder Rolle des Benutzers                                                      | Nicht aktiviert lassen                                                          |
| Mitarbeiternummer | employeeNumber                                                                               | urn:ietf:params:scim:schemas:core:2.0:User                     | Mitarbeiter-ID                                                                      | Nicht aktiviert lassen                                                          |
| Telefonnummer     | <p>Variablenname: phoneNumber<br></p><p>Externer Name: phoneNumbers.^\[type==work].value</p> | urn:ietf:params:scim:schemas:core:2.0:User                     | Geschäftstelefonnummer                                                              | Nicht aktiviert lassen                                                          |
| Abteilung         | department                                                                                   | urn:ietf:params:scim:schemas:core:2.0:User                     | Abteilung des Benutzers                                                             | Nicht aktiviert lassen                                                          |
| Organisation      | organization                                                                                 | urn:ietf:params:scim:schemas:core:2.0:User                     | Unternehmen oder Organisation                                                       | Nicht aktiviert lassen                                                          |

</details>

***

**Benutzer und Gruppen bereitstellen**

{% hint style="warning" %}
Zur App hinzugefügte Benutzer werden automatisch übertragen; Gruppen müssen manuell übertragen werden.
{% endhint %}

<details>

<summary>Benutzer innerhalb von Okta</summary>

1. Melden Sie sich bei Okta an.
2. Klicken Sie links auf „Applications“ und dann auf die Verkada-App.
3. Klicken Sie auf den Tab „Assignments“.
4. Klicken Sie auf das Dropdown-Menü „Assign“ und wählen Sie „Assign to People“.
5. Klicken Sie bei den Personen, die Sie der App bereitstellen möchten, auf „Assign“.
6. Sie sehen die Informationen für diesen Benutzer. Klicken Sie unten auf „Save and Go Back“.
7. Wenn Sie zur Seite „Assign“ weitergeleitet werden, klicken Sie auf „Done“.

</details>

<details>

<summary>Gruppen innerhalb von Okta</summary>

1. Melden Sie sich bei Okta an.
2. Klicken Sie links auf „Applications“ und dann auf die Verkada-App.
3. Klicken Sie auf das Dropdown-Menü „Assign“ und wählen Sie „Assign to Groups“.
4. Klicken Sie bei den Gruppen, die Sie der App bereitstellen möchten, auf „Assign“.
5. Sie sehen die Informationen für diese Gruppe. Klicken Sie unten auf „Save and Go Back“.
6. Wenn Sie zur Seite „Assign“ weitergeleitet werden, klicken Sie auf „Done“.
7. Wählen Sie oben den Tab „Push Groups“ aus.
8. Klicken Sie auf das Dropdown-Menü „Push Groups“, um Gruppen zu finden (nach Name oder Regel).

   <div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/908982850/0e072e940214abd86eccae78/8375910_PushGroups2.png?expires=1766003400\&#x26;signature=c683ba9a537f5f61a445595354759205f7d05d3a013958409fa33d10e53b025e\&#x26;req=fSAvH8F8lYRfFb4f3HP0gBjiUrIpNNuxqoUP%2FsMKcUgdsP%2FBiZqRIbif1UoG%0Aack%3D%0A" alt="" width="800"></div>
9. Suchen Sie die Gruppe, die Sie übertragen möchten, und klicken Sie auf „Save“. Wenn erfolgreich, wird im Feld „Push Status“ „Active“ angezeigt.

   <div align="left" data-with-frame="true"><img src="https://verkada.intercom-attachments-7.com/i/o/886851187/ff3bcb4859a185c725971d13/XG0rEyG-XDWORuFFC5OnBuAAl8tUCxUnC-Kld0NoCJokuF5TFUGcUzWV_mvhwu8oB1rlI1RCg_RdNfl8d3vp41h2lbLGUnYWZJYhDPsNIx43BK16y4xlZlyyH-CQzJLAIvzS0nQqIeEWrnpXHLYUkO8?expires=1766003400\&#x26;signature=0246e57d8680e08596d6512b14df2c89c13364b4677a8339da387976b1684953\&#x26;req=fCghHsx%2FnIlYFb4f3HP0gFDQ0cgPnnmdT8g7G1F1L2o4ttgtkFgRDHzNIki%2B%0ABaM%3D%0A" alt="" width="800"></div>
10. Command kennzeichnet Benutzer und Gruppen dann als SCIM-verwaltet, wenn sie über SCIM importiert werden.

<div align="left" data-with-frame="true"><img src="https://downloads.intercomcdn.com/i/o/908983529/77b17d99bdb427518624c0dd/8375910_PushGroups.png?expires=1766003400\&#x26;signature=03b70057ea0ac3881d86f24a8181488733242f8779814dd825870515992d05a8\&#x26;req=fSAvH8F9mINWFb4f3HP0gPMJ%2F1wgTqLZsR1nHZfRlffqmSaMW1oNhJjjRzd5%0ARYc%3D%0A" alt="" width="800"></div>

</details>

***

**SCIM-verwaltete Benutzer aus Command löschen**

Wenn ein SCIM-verwalteter Benutzer bei Ihrem Identity Provider deaktiviert wird, können Sie den Benutzer auf zwei Arten aus Command entfernen:

* **Benutzer löschen** – Das Konto wird auf die Seite „Deleted Users“ verschoben, behält jedoch historische Einträge, Rollen und Berechtigungen bei.
* **Benutzer dauerhaft entfernen** – Alle Rollen, Anmeldedaten, Zugriffsprotokolle und zugehörigen Daten werden gelöscht. Wenn der Benutzer erneut über SCIM bereitgestellt wird, erstellt Command einen neuen Benutzerdatensatz.

{% hint style="warning" %}
Sie müssen den Benutzer bei Ihrem Identity Provider (IdP) deaktivieren, bevor eine der Löschoptionen in Command verfügbar ist.
{% endhint %}

***

**Bekannte Probleme**

* **Das Aktualisieren von Benutzernamen (E-Mail-Adressen) wird in Command nicht automatisch übernommen**. Wenn Sie einen Benutzernamen ändern müssen, entfernen Sie die Zuweisung des Benutzers aus der SAML-App und fügen Sie den Benutzer dann erneut zur App hinzu, damit die Änderung wirksam wird.
* **Wenn sich ein neuer Benutzer nicht über SSO anmelden kann**, kann es daran liegen, dass die E-Mail-Domäne nicht zur SSO-Konfiguration im Verkada-Backend hinzugefügt wird. Wenn sich die E-Mail des Benutzers außerhalb der E-Mail-Domänen befindet, die bei der Einrichtung von SSO angegeben wurden, kann der Benutzer SSO nicht verwenden. Wenn dies die Ursache des Problems ist, müssen Sie die SSO-Konfiguration bearbeiten und diese Domäne hinzufügen, um das Problem zu beheben.
* **Wenn Sie beim Bereitstellen von Benutzern auf diesen Fehler stoßen,** *"Fehler beim Versuch, das Profilupdate für den Benutzer zu pushen: Bad Request. Vom Remote-Server gemeldete Fehler: Ungültige Anfrage",* siehe diesen [Okta-Artikel](https://support.okta.com/help/s/article/verkada-provisioning-error-error-while-trying-to-push-profile-update-for-user-bad-request-errors-reported-by-remote-server-invalid-request?language=en_US) für Schritte zur Fehlerbehebung.
* **Wenn Sie andere Probleme bei der Einrichtung von SSO haben**, wenden Sie sich an [Verkada Support](/command/de/brauchen-sie-hilfe/contact-verkada-support.md).

***

{% hint style="info" %}
**Möchten Sie es in Aktion sehen?** Schauen Sie sich das [Video-Tutorial an](https://www.youtube.com/watch?v=YSMzqFwWlW4).
{% endhint %}
{% endtab %}
{% endtabs %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://help.verkada.com/command/de/sicherheit/identity-providers/okta.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.