Google Workspace
Configura SSO y provisión de usuarios con Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros Proveedores de Identidad [IdP]) para escenarios de inicio de sesión único (SSO). Security Assertion Markup Language (SAML) se encarga del lado de la autenticación para permitir que Google Workspace se utilice para gestionar el acceso a Command.
SSO basado en OIDC para Google Workspace
Verkada Command admite Single Sign-On (SSO) mediante OpenID Connect (OIDC) con Google Workspace. Esta integración permite que nuestros usuarios se autentiquen de manera fluida y segura utilizando sus credenciales de Google existentes, simplificando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la app Pass ni con las apps Desk Station.
Configuración de OIDC
Inicie sesión en su consola de Google Cloud.
Haga clic en Nuevo proyecto para crear un proyecto nuevo en su organización de Google Workspace.
En su nuevo proyecto, vaya a APIs y servicios > Biblioteca.
a. Habilite las siguientes API:
Identity and Access Management (IAM) API
Admin SDK API
Vaya a APIs y servicios > Pantalla de consentimiento de OAuth. Seleccione Interno como Tipo de usuario y haga clic en Crear.
Haga clic en Editar aplicación.
Configure su Pantalla de consentimiento OAuth. Dé a su aplicación un nombre identificable (por ejemplo, Verkada SSO OIDC) y ponga el correo electrónico de la entidad que gestiona el Google Workspace de su organización (por ejemplo, TI) como el correo de soporte de la aplicación. Haga clic en Guardar y continuar.
Configure sus Ámbitos de OAuth.
Seleccione los siguientes ámbitos:
userinfo.email
userinfo.profile
openid
Haga clic en Actualizar.
Si no ve la última opción, es posible que tenga que Agregar a la tabla bajo Agregar ámbitos manualmente.
Haga clic en Guardar y continuar y vuelva al panel de su aplicación.
Vaya a Credenciales. Haga clic en Crear credenciales y cree un ID de cliente OAuth.
Seleccione Aplicación web como tipo de aplicación. Dé a su cliente un nombre identificable y agregue lo siguiente a la lista de URI de redireccionamiento autorizados:
https://org-short-name.command.verkada.com/oidc/google/callback (donde org-short-name es el nombre corto de su organización en Command)
Haga clic Crear.
Copie su ID de cliente. Tenga en cuenta que no usaremos el secreto del cliente.
Configuración de Verkada Command
En Verkada Command, vaya a Todos los productos > Admin.
En la navegación izquierda, seleccione Inicio de sesión y acceso.
Seleccione Configuración de inicio de sesión único.
En Configuración de OIDC, haga clic en Agregar nuevo.
a. Active el interruptor Habilitar. b. (Opcional) Active el interruptor Requerir OIDC SSO. c. Bajo Seleccionar proveedor, seleccione Google. d. Bajo Agregar cliente e inquilino, haga clic :plus:.
En el campo ID de cliente, pegue el ID de cliente que copió desde la Consola de Google Cloud. campo ID de cliente, pegue el ID de cliente que copió desde la Consola de Google Cloud.
En el ID de inquilino campo, introduzca el dominio utilizado por el Google Workspace de su organización (si su correo de Google es [email protected], introduzca your-domain.com).
Haga clic en Hecho para completar la configuración.
h. Dominios de correo electrónico, haga clic :plus:.
Introduzca el nombre de su dominio presente (p. ej., @verkada.com).
Haga clic Hecho.
En Prueba de inicio de sesión haga clic en Ejecutar prueba de inicio de sesión.
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita poner en la lista blanca en Dominios asociados.
Una vez que su dominio esté agregado, ejecute la prueba de inicio de sesión nuevamente. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete con éxito.
Una vez que su dominio esté verificado, debería verlo validado correctamente.
Integración SAML de Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros Proveedores de Identidad [IdP]) para escenarios de inicio de sesión único (SSO). Security Assertion Markup Language (SAML) se encarga del lado de la autenticación para permitir que Google Workspace se utilice para gestionar el acceso a Command.
Antes de comenzar
Asegúrese de haberse registrado ya en Verkada Command y de que exista una cuenta para el usuario en el mismo dominio personalizado. Puede agregar Command como una aplicación personalizada.
Familiarícese con estos términos para maximizar su integración:
campo ID de cliente, pegue el ID de cliente que copió desde la Consola de Google Cloud.—ID de cliente. Para localizarlo, vaya a Admin > Privacidad y seguridad > Configuración de inicio de sesión único > Agregar nuevo.
Federation Data XML—La información única de su instancia de Google Workspace que permite a Verkada configurar la federación entre Google Workspace y su instancia de Command (los pasos para descargar esto se proporcionan más adelante).
Configuración de Google Workspace
Vaya a Google Workspace > panel de administración de Google y seleccione Aplicaciones web y móviles.
Seleccione el menú desplegable Agregar aplicación y seleccione Agregar aplicación SAML personalizada.
Complete la información de la aplicación; puede usar cualquier nombre y descripción.
Obtenga el logotipo de Verkada Command para agregar a su aplicación de Google Workspace.
Haga clic en Continuar.
Use la Opción 1 para descargar los metadatos del IdP que corresponden al metadato de federación Extensible Markup Language (XML) y haga clic en Continuar.
Este archivo permite a Verkada configurar SSO en Command. Guárdelo en un lugar conveniente para uso futuro.
Escriba los detalles del proveedor de servicios (según se muestra) para configurar SSO o, puede copiar los detalles desde la página Nueva configuración de SSO (en Verkada Command) y haga clic en Continuar.
a. Para URL ACS: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Para ID de entidad: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Para URL de inicio: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/login/
Consulte dónde se creó su organización para confirmar en qué región se encuentra su organización.
Rellene los mapeos de atributos (como se muestra abajo) y haga clic en Finalizar. Esto asegura que Command reciba la información correcta sobre el usuario. Debería ser redirigido a la página de configuración de la aplicación.
Configuración de Command
En Verkada Command, vaya a Todos los productos > Admin.
Seleccione Inicio de sesión y acceso > Inicio de sesión único (SSO).
Haga clic en Agregar para iniciar una nueva configuración o para editar una configuración existente.
En Metadatos XML del proveedor de identidad, cargue su archivo de metadatos.
En Dominios de correo electrónico, agregue los dominios de correo que se utilizarán para iniciar sesión en su organización.
Verifique que puede acceder a Command en una de estas URL (sustituya el client-id por el usado durante la configuración).
Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Vea Admin > Privacidad de datos > Residencia de datos > Ubicación de procesamiento de datos para confirmar dónde se ubica su región.
Se le redirigirá a la página de configuración de la aplicación de Google Workspace para completar el inicio de sesión.
Iniciar sesión mediante la aplicación móvil
En el campo de dirección de correo electrónico, escriba el correo electrónico del usuario y haga clic en Siguiente.
Debería ser redirigido a su IdP (Google Workspace) para completar el proceso de inicio de sesión.
Provisionamiento de usuarios de Google Workspace
La integración nativa de Google Workspace permite a las organizaciones sincronizar automáticamente usuarios y grupos desde Google Workspace a Verkada Command. Esto simplifica la gestión de identidades y la incorporación general de usuarios.
A diferencia de las integraciones SCIM de Verkada con Okta o Azure, esta integración utiliza el Admin SDK y la API de Reports de Google Workspace, autenticados mediante una cuenta de servicio de Google con delegación en todo el dominio.
Con la integración habilitada, Command puede:
Importar usuarios y grupos desde Grupos de Google Workspace seleccionados o Unidades organizativas (OU)
Sincronizarlos en Command como usuarios y grupos gestionados
Mantener la precisión del directorio con sincronizaciones programadas en segundo plano y sincronizaciones bajo demanda desde la interfaz de administración
Crear una cuenta de servicio de Google
Para permitir que Command lea datos de usuarios y grupos de su dominio de Google Workspace, debe autenticarse con las API de Google usando una cuenta de servicio. Este tipo de cuenta está diseñada para acceso programático y debe configurarse con los ámbitos de API correctos y delegación en todo el dominio. Estas configuraciones se configuran en su consola de Google Cloud cuenta.
Verificar políticas y roles
Primero debe verificar si su usuario tiene permisos para crear una cuenta de servicio y para generar la clave JSON de la cuenta de servicio. Para asegurarse de no quedará bloqueado por las políticas de seguridad en su tenant:
Vaya a la consola de Google Cloud y inicie sesión con sus credenciales de Superadministrador.
En la esquina superior izquierda, abra el menú desplegable Selector de proyecto y elija su recurso de nivel superior (Tipo: Organización).
Desde el panel izquierdo, navegue a IAM y administración → IAM.
Haga clic en Conceder acceso bajo Ver por principales.
a. Bajo Agregar principales, introduzca la dirección de correo electrónico del usuario. b. Bajo Asignar roles, busque y seleccione Administrador de políticas de la organización. c. Haga clic en Guardar.
Desde el panel izquierdo, seleccione Políticas de la organización.
En la lista de políticas, busque y desactive lo siguiente:
Crear una cuenta de servicio
En el consola de Google Cloud, en la parte superior izquierda, abra el menú desplegable Selector de proyecto.
Haga clic en Nuevo proyecto.
Introduzca un nombre de proyecto (por ejemplo, Sincronización de usuarios de Verkada) y cree el proyecto.
Una vez creado el proyecto, confirme que está seleccionado en la barra de navegación en la parte superior izquierda.
Desde la barra lateral izquierda, vaya a IAM y administración → Cuentas de servicio.
Haga clic en + Crear cuenta de servicio.
Complete los siguientes campos:
Nombre: Introduzca un nombre descriptivo (por ejemplo, Provisionamiento de usuarios de Verkada)
ID: Déjelo tal cual o personalícelo (opcional)
Descripción: Agregue una nota, como Usado por Verkada para leer datos del directorio de Workspace (opcional)
Haga clic en Crear y continuar.
Omita el paso Conceder acceso al proyecto: no se requieren roles aquí.
Haga clic en Continuar → Hecho.
Desde la lista de cuentas de servicio, copie el ID de cliente OAuth 2 de la cuenta recién creada. Necesitará este ID más adelante para completar su configuración.
Generar una clave JSON
En la lista de cuentas de servicio, haga clic en el nombre de la cuenta o seleccione los tres puntos junto a su nueva cuenta de servicio y elija Administrar claves.
En la pestaña Claves, haga clic en Agregar clave → Crear nueva clave.
Seleccione JSON y haga clic en Crear.
Un .json archivo se descargará a su computadora. Guárdelo en un lugar seguro para usarlo más adelante al configurar la integración en Verkada Command.
Este archivo JSON contiene las credenciales que la integración de Google Workspace en Command usa para autenticarse en las API de Google mediante OAuth 2.0. Mantenga este archivo seguro, ya que proporciona acceso a los datos de su Workspace y nunca debe compartirse ni hacerse público.
Habilitar las API requeridas de Google
Verkada Command requiere acceso a API específicas de Google Workspace para leer usuarios, grupos, dominios y registros de auditoría. Estas API deben habilitarse en su proyecto de Google Cloud antes de que la integración pueda funcionar.
Vaya a la consola de Google Cloud, e inicie sesión con sus credenciales de Superadministrador.
Desde la barra lateral izquierda, vaya a APIs y servicios → Biblioteca de API.
En la barra de búsqueda, encuentre y seleccione Admin SDK API, luego haga clic en Habilitar.
Esta API es necesaria para leer usuarios, grupos y metadatos del dominio.
(Opcional) Busque y habilite la API de Reports para permitir la supervisión de registros de auditoría y detectar cambios en el directorio.
Habilitar delegación en todo el dominio
Para permitir que la cuenta de servicio suplante a un administrador y acceda a datos de usuarios y grupos en todo su dominio, debe concederle delegación en todo el dominio. Esto permite que la cuenta de servicio realice operaciones de lectura en nombre de un administrador sin requerir reautenticación manual.
Vaya a la Consola de administración de Google e inicie sesión con sus credenciales de Superadministrador para su tenant de Google Workspace.
Desde la página de inicio de la Consola de administración, vaya a Seguridad → Control de acceso y datos → Controles de API.
En la página Controles de API, desplácese hasta la sección Delegación en todo el dominio y haga clic en Gestionar delegación en todo el dominio.
Haga clic en Agregar nuevo e introduzca los siguientes datos:
ID de cliente: Pegue el ID de cliente OAuth 2 de su archivo de clave de cuenta de servicio (el campo
client_iden el JSON).Ámbitos de OAuth (separados por comas):
Haga clic en Autorizar.
La nueva entrada de delegación aparecerá en la página, confirmando que la cuenta de servicio ahora puede ser utilizada por Verkada Command para consultar datos de usuario, grupo y auditoría.
Establecer valores de atributos de usuario
Antes de sincronizar usuarios con Verkada Command, confirme que los atributos clave (como nombre, apellido, correo y ID de empleado) estén correctamente rellenados en Google Workspace.
Inicie sesión en el Consola de administración de Google usando su cuenta de Superadministrador.
Vaya a Directorio → Usuarios.
Seleccione el perfil de usuario que desea actualizar.
Haga clic en Información del usuario, luego expanda las secciones relevantes (por ejemplo, Información básica o Información del empleado).
Actualice los siguientes campos según sea necesario:
Dirección de correo electrónico principal
Nombre y Apellido
ID de empleado (bajo Información del empleado)
Número de teléfono (bajo Información de contacto)
Haga clic en Guardar para aplicar sus cambios.
Los siguientes atributos pueden sincronizarse desde Google Workspace a Verkada Command:
Nombre del atributo de Google Workspace
Campo de Command
Correo electrónico
Correo electrónico
Nombre
Nombre
Apellido
Apellido
Departamento
Departamento
Centro de costos
ID de departamento
ID de empleado
ID de empleado
Título del puesto
Título del empleado
Número de teléfono (Casa/Trabajo/Móvil principal)
Número de teléfono
Los usuarios y grupos sincronizados desde Google Workspace se gestionan exclusivamente en Workspace y no pueden editarse manualmente en Verkada Command.
Habilitar la integración en Command
Necesita Administrador de la organización permisos para configurar esta integración.
En Verkada Command, vaya a Todos los productos > Admin.
En Configuración de la organización, seleccione Inicio de sesión y acceso → Provisionamiento de usuarios → Google Workspace.
a. Introduzca la dirección de correo electrónico de su Superadministrador de Google Workspace. Por seguridad y continuidad, Verkada recomienda usar una cuenta de servicio dedicada que tenga permisos de administrador equivalentes, en lugar de una cuenta de usuario personal. a. Cargue la clave JSON que generó en su proyecto de la Consola de Google Cloud. b. Una vez que la autenticación tenga éxito, haga clic en Agregar para seleccionar los Grupos y/o Unidades organizativas que desea sincronizar con Command. c. Haga clic en Habilitar.
Tras completar con éxito la primera sincronización, estará disponible un botón Sincronizar ahora para actualizaciones bajo demanda en cualquier momento.
Preguntas frecuentes
Última actualización
¿Te fue útil?