Google Workspace
Configura SSO y el aprovisionamiento de usuarios con Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros proveedores de identidades [IdP]) para escenarios de inicio de sesión único (SSO). El Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) gestiona el lado de la autenticación para permitir que Google Workspace se use para administrar el acceso a Command.
Verkada recomienda OIDC en lugar de SAML para una seguridad mejorada y una configuración más sencilla.
SSO basado en OIDC para Google Workspace
Verkada Command admite inicio de sesión único (SSO) mediante OpenID Connect (OIDC) con Google Workspace. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales existentes de Google, agilizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con las aplicaciones de Desk Station.
Habilitar Cifrado Controlado por la Empresa (ECE) para una seguridad mejorada.
Configuración de OIDC
Inicia sesión en tu consola de Google Cloud.
Haz clic en Nuevo proyecto para crear un nuevo proyecto en tu organización de Google Workspace.
En tu nuevo proyecto, ve a APIs y servicios > Biblioteca.
a. Habilita las siguientes API:
API de gestión de identidades y accesos (IAM)
API de SDK de Admin
Ve a APIs y servicios > Pantalla de consentimiento de OAuth. Selecciona Interno para el tipo de usuario y haz clic en Crear.
Haz clic en Editar aplicación.
Configura tu pantalla de consentimiento de OAuth. Asigna a tu aplicación un nombre identificable (p. ej., Verkada SSO OIDC) e introduce el correo electrónico de la entidad que administra el Google Workspace de tu organización (p. ej., TI) como correo electrónico de soporte para usuarios de tu aplicación. Haz clic en Guardar y continuar.
Configura tus alcances de OAuth.
Selecciona los siguientes alcances:
userinfo.email
userinfo.profile
openid
Haz clic en Actualizar.
Si no ves la última opción, es posible que tengas que Agregar a la tabla en Agregar alcances manualmente.
Haz clic en Guardar y continuar y regresa al panel de tu aplicación.
Ve a Credenciales. Haz clic en Crear credenciales y crea un ID de cliente OAuth.
Selecciona Aplicación web como tipo de aplicación. Asigna a tu cliente un nombre identificable y agrega lo siguiente a la lista de URI de redireccionamiento autorizados:
https://org-short-name.command.verkada.com/oidc/google/callback (donde org-short-name es el nombre corto de tu organización de Command)
Haga clic en Crear.
Copia tu ID de cliente. Ten en cuenta que no usaremos el secreto del cliente.
Configuración de Verkada Command
En Verkada Command, ve a Todos los productos > Admin.
En la navegación izquierda, selecciona Inicio de sesión y acceso.
Selecciona Configuración de inicio de sesión único.
En Configuración de OIDC, haz clic en Agregar nuevo.
a. Activa Habilitar. b. (Opcional) Activa Requerir SSO OIDC. c. En Seleccionar proveedor, selecciona Google. d. En Agregar cliente e inquilino, haz clic en :plus:.
En el campo ID de cliente pega el ID de cliente que copiaste de la consola de Google Cloud.
En el campo ID de inquilino en el campo, introduce el dominio utilizado por el Google Workspace de tu organización (si tu correo de Google es [email protected], introduce your-domain.com).
Haz clic en Listo para completar la configuración.
h. Dominios de correo electrónico, haz clic en :plus:.
Introduce el nombre de tu dominio presente (p. ej., @verkada.com).
Haga clic en Listo.
En Prueba de inicio de sesión, haz clic en Ejecutar prueba de inicio de sesión.
Una prueba de inicio de sesión exitosa debería redirigirte a la página de configuración de OIDC. Una vez que hayas iniciado sesión, agrega el dominio que necesitas incluir en la lista de permitidos en Dominios asociados.
Una vez que se haya agregado tu dominio, ejecuta la prueba de inicio de sesión nuevamente. El SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.
Una vez que se verifique tu dominio, deberías verlo validado correctamente.
Integración SAML de Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros proveedores de identidades [IdP]) para escenarios de inicio de sesión único (SSO). El Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) gestiona el lado de la autenticación para permitir que Google Workspace se use para administrar el acceso a Command.
Antes de comenzar
Asegúrate de haberte registrado ya en Verkada Command y de que exista una cuenta para el usuario en el mismo dominio personalizado. Puedes agregar Command como una aplicación personalizada.
Familiarízate con estos términos para maximizar tu integración:
ID de cliente—ID de cliente. Para localizarlo, ve a Admin > Privacidad y seguridad > Configuración de inicio de sesión único > Agregar nuevo.
XML de datos de federación—La información única de tu instancia de Google Workspace que permite a Verkada configurar la federación entre Google Workspace y tu instancia de Command (los pasos para descargar esto se proporcionan más adelante).
Configuración de Google Workspace
Ve a Google Workspace > Panel de administración de Google y selecciona Aplicaciones web y móviles.
Selecciona el menú desplegable Agregar aplicación y elige Agregar aplicación SAML personalizada.
Completa la información de la aplicación; puedes usar cualquier nombre y descripción.
Obtén el logotipo de Verkada Command para agregarlo a tu aplicación de Google Workspace.
Haz clic en Continuar.
Usa la Opción 1 para descargar los metadatos del IdP que corresponden al Lenguaje de Marcado Extensible (XML) de metadatos de federación y haz clic en Continuar.
Este archivo permite a Verkada configurar SSO en Command. Guárdalo en una ubicación conveniente para usarlo en el futuro.
Escribe los detalles del proveedor de servicios (como se muestra) para configurar SSO o puedes copiar los detalles de la página Nueva configuración de SSO (en Verkada Command) y hacer clic en Continuar.
a. Para URL de ACS: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Para ID de entidad: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Para URL de inicio: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/login/
Consulta dónde se creó tu organización para confirmar en qué región se encuentra tu organización.
Completa las asignaciones de atributos (como se muestra a continuación) y haz clic en Finalizar. Esto garantiza que Command reciba la información correcta sobre el usuario. Deberías ser redirigido a la página de configuración de la aplicación.
Configuración de Command
En Verkada Command, ve a Todos los productos > Admin.
Selecciona Inicio de sesión y acceso > Inicio de sesión único (SSO).
Haz clic en Agregar para iniciar una nueva configuración o para editar una configuración existente.
En Metadatos XML del proveedor de identidades, carga tu archivo de metadatos.
En Dominios de correo electrónico, agrega los dominios de correo electrónico que se usarán para iniciar sesión en tu organización.
Verifica que puedas acceder a Command en una de estas URL (sustituye el client-id por el usado durante la configuración).
Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Consulta Admin > Privacidad de datos > Residencia de datos > Ubicación del procesamiento de datos para confirmar dónde se encuentra tu región.
Serás redirigido a la página de configuración de la aplicación de Google Workspace para completar el inicio de sesión.
Iniciar sesión mediante la aplicación móvil
Command en Android e iOS admite el inicio de sesión a través de SAML.
En el campo de dirección de correo electrónico, escribe el correo electrónico del usuario y haz clic en Siguiente.
Deberías ser redirigido a tu IdP (Google Workspace) para completar el proceso de inicio de sesión.
Aprovisionamiento de usuarios de Google Workspace
La integración nativa de Google Workspace permite a las organizaciones sincronizar automáticamente usuarios y grupos de Google Workspace en Verkada Command. Esto simplifica la gestión de identidades y la incorporación general de usuarios.
A diferencia de las integraciones SCIM de Verkada con Okta o Azure, esta integración utiliza el SDK de Admin de Google Workspace y la API de Reports, autenticados a través de una cuenta de servicio con delegación en todo el dominio.
Con la integración habilitada, Command puede:
Importar usuarios y grupos de Grupos de Google Workspace o Unidades Organizativas (OU) seleccionados
Sincronizarlos en Command como usuarios y grupos administrados
Mantener la precisión del directorio con sincronizaciones programadas en segundo plano y sincronizaciones bajo demanda desde la interfaz de usuario de Admin
Crear una cuenta de servicio de Google
Para permitir que Command lea datos de usuarios y grupos de tu dominio de Google Workspace, debe autenticarse con las API de Google mediante una cuenta de servicio. Este tipo de cuenta está diseñado para acceso programático y debe configurarse con los alcances de API correctos y delegación en todo el dominio. Estos ajustes se configuran en tu consola de Google Cloud cuenta.
Verificar políticas y roles
Primero debes verificar si tu usuario tiene permisos para crear una cuenta de servicio y generar la clave JSON de la cuenta de servicio. Para asegurarte de no quedar bloqueado por las políticas de seguridad en tu inquilino:
Ve a la consola de Google Cloud e inicia sesión con tus credenciales de Super Admin.
En la esquina superior izquierda, abre el menú desplegable Selector de proyectos y elige tu recurso de nivel superior (Tipo: Organización).
En el panel izquierdo, ve a IAM y Admin → IAM.
Haz clic en Otorgar acceso en Ver por principales.
a. En Agregar principales, introduce la dirección de correo electrónico del usuario. b. En Asignar roles, busca y selecciona Administrador de políticas de la organización. c. Haz clic en Guardar.
En el panel izquierdo, selecciona Políticas de la organización.
En la lista de políticas, busca y deshabilita las siguientes:
Crear una cuenta de servicio
En el campo consola de Google Cloud, en la parte superior izquierda, abre el menú desplegable Selector de proyectos.
Haz clic en Nuevo proyecto.
Introduce un nombre de proyecto (por ejemplo, Sincronización de usuarios de Verkada) y crea el proyecto.
Una vez creado el proyecto, confirma que esté seleccionado en la barra de navegación de la parte superior izquierda.
En la barra lateral izquierda, ve a IAM y Admin → Cuentas de servicio.
Haz clic en + Crear cuenta de servicio.
Completa los siguientes campos:
Nombre: Introduce un nombre descriptivo (p. ej., Aprovisionamiento de usuarios de Verkada)
ID: Déjalo tal como está o personalízalo (opcional)
Descripción: Agrega una nota, como Usado por Verkada para leer datos del directorio de Workspace (opcional)
Haz clic en Crear y continuar.
Omite el paso Otorgar acceso al proyecto; aquí no se requieren roles.
Haz clic en Continuar → Listo.
En la lista de cuentas de servicio, copia el ID de cliente de OAuth 2 de la cuenta recién creada. Necesitarás este ID más adelante para completar tu configuración.
Generar una clave JSON
En la lista de Cuentas de servicio, haz clic en el nombre de la cuenta o selecciona los tres puntos junto a tu nueva cuenta de servicio y elige Administrar claves.
En la pestaña Claves, haz clic en Agregar clave → Crear clave nueva.
Selecciona JSON y haz clic en Crear.
Un archivo .json se descargará en tu computadora. Guárdalo en una ubicación segura para usarlo más adelante al configurar la integración en Verkada Command.
Este archivo JSON contiene las credenciales que la integración de Google Workspace en Command usa para autenticarse en las API de Google mediante OAuth 2.0. Mantén este archivo seguro, ya que proporciona acceso a los datos de tu Workspace y nunca debe compartirse ni hacerse público.
Habilitar las API de Google requeridas
Verkada Command requiere acceso a API específicas de Google Workspace para leer usuarios, grupos, dominios y registros de auditoría. Estas API deben estar habilitadas en tu proyecto de Google Cloud antes de que la integración pueda funcionar.
Ve a la consola de Google Cloud, e inicia sesión con tus credenciales de Super Admin.
En la barra lateral izquierda, ve a APIs y servicios → Biblioteca de API.
En la barra de búsqueda, busca y selecciona Admin SDK API y luego haz clic en Habilitar.
Esta API es necesaria para leer usuarios, grupos y metadatos del dominio.
(Opcional) Busca y habilita la API de Reports para permitir la supervisión del registro de auditoría y detectar cambios en el directorio.
Habilitar la delegación en todo el dominio
Para permitir que la cuenta de servicio suplante a un administrador y acceda a los datos de usuarios y grupos en todo tu dominio, debes otorgarle delegación en todo el dominio. Esto permite que la cuenta de servicio realice operaciones de lectura en nombre de un administrador sin requerir una nueva autenticación manual.
Navegue a la Google Admin Console e inicie sesión con sus credenciales de Super Administrador para su tenant de Google Workspace.
Desde la página principal de Admin Console, vaya a Seguridad → Acceso y control de datos → Controles de API.
En la página Controles de API, desplácese hasta la sección Delegación en todo el dominio y haga clic en Administrar delegación en todo el dominio.
Haga clic en Añadir nuevo e introduzca los siguientes detalles:
ID de cliente: Pegue el ID de cliente de OAuth 2 de su archivo de clave de cuenta de servicio (el
client_idcampo en el JSON).Ámbitos de OAuth (separados por comas):
Haga clic en Autorizar.
La nueva entrada de delegación aparecerá en la página, confirmando que la cuenta de servicio ahora puede ser utilizada por Verkada Command para consultar datos de usuarios, grupos y auditoría.
Establecer valores de atributos de usuario
Antes de sincronizar usuarios con Verkada Command, confirme que los atributos clave (como nombre, apellido, correo electrónico e ID de empleado) estén correctamente completados en Google Workspace.
Inicie sesión en la Google Admin Console usando su cuenta de Super Admin.
Vaya a Directorio → Usuarios.
Seleccione el perfil de usuario que desea actualizar.
Haga clic en Información del usuario y luego expanda las secciones relevantes (por ejemplo, Información básica o Información del empleado).
Actualice los siguientes campos según sea necesario:
Dirección de correo electrónico principal
Nombre y Apellido
ID de empleado (en Información del empleado)
Número de teléfono (en Información de contacto)
Haga clic en Guardar para aplicar sus cambios.
Los siguientes atributos se pueden sincronizar desde Google Workspace a Verkada Command:
Nombre del atributo de Google Workspace
Campo de Command
Correo electrónico
Correo electrónico
Nombre
Nombre
Apellido
Apellido
Departamento
Departamento
Centro de costos
ID de departamento
ID de empleado
ID de empleado
Puesto de trabajo
Título del empleado
Número de teléfono (principal/casa/trabajo/móvil)
Número de teléfono
Los usuarios y grupos sincronizados desde Google Workspace se administran exclusivamente en Workspace y no se pueden editar en Verkada Command. Los usuarios deben tener nombre, apellido y dirección de correo electrónico para sincronizarse correctamente con Command.
Para garantizar que los números de teléfono de los usuarios se sincronicen correctamente con Verkada Command, introdúzcalos en formato internacional, incluyendo el código de país y sin espacios ni guiones.
Ejemplo: +14155552671
Habilite la integración en Command
Necesita Org Admin permisos para configurar esta integración.
En Verkada Command, ve a Todos los productos > Admin.
En Configuración de la organización, seleccione Inicio de sesión y acceso → Aprovisionamiento de usuarios → Google Workspace.
a. Introduzca la dirección de correo electrónico de su Super Admin de Google Workspace. Por seguridad y continuidad, Verkada recomienda usar una cuenta de servicio dedicada que tenga permisos de administrador equivalentes, en lugar de una cuenta de usuario personal. a. Cargue la clave JSON que generó en su proyecto de Google Cloud Console. b. Una vez que la autenticación se realice correctamente, haga clic en Añadir para seleccionar los Grupos y/o Unidades organizativas que desea sincronizar con Command. c. Haga clic en Habilitar.
Tras completar correctamente la primera sincronización, el botón Sincronizar ahora estará disponible para actualizaciones bajo demanda en cualquier momento.
Preguntas frecuentes
Última actualización
¿Te fue útil?