Google Workspace
Configure SSO y el aprovisionamiento de usuarios con Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros Proveedores de Identidad [IdP]) para escenarios de inicio de sesión único (SSO). Security Assertion Markup Language (SAML) se encarga del lado de la autenticación para permitir que Google Workspace se utilice para gestionar el acceso a Command.
Verkada recomienda OIDC sobre SAML por mayor seguridad y una configuración más sencilla.
SSO basado en OIDC para Google Workspace
Verkada Command admite Inicio de Sesión Único (SSO) mediante OpenID Connect (OIDC) con Google Workspace. Esta integración permite que nuestros usuarios se autentiquen de forma fluida y segura usando sus credenciales de Google existentes, simplificando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la aplicación Pass ni con las aplicaciones Desk Station.
Habilitar Cifrado Controlado por la Empresa (ECE) para mayor seguridad.
configuración de OIDC
Inicie sesión en su consola de Google Cloud.
Haga clic en Nuevo proyecto para crear un proyecto nuevo en su organización de Google Workspace.
En su nuevo proyecto, navegue a APIs y servicios > Biblioteca.
a. Habilite las siguientes API:
API de Identity and Access Management (IAM)
API Admin SDK
Vaya a APIs y servicios > Pantalla de consentimiento de OAuth. Seleccione Interno para el Tipo de usuario y haga clic en Crear.
Haga clic en Editar aplicación.
Configure su Pantalla de consentimiento de OAuth. Dé a su aplicación un nombre identificable (por ejemplo, Verkada SSO OIDC), y ponga el correo electrónico de la entidad que gestiona el Google Workspace de su organización (por ejemplo, TI) como el correo de soporte para usuarios de su aplicación. Haga clic en Guardar y continuar.
Configure sus Alcances de OAuth.
Seleccione los siguientes alcances:
userinfo.email
userinfo.profile
openid
Haga clic en Actualizar.
Si no ve la última opción, es posible que tenga que Agregar a la tabla bajo Agregar ámbitos manualmente.
Haga clic en Guardar y continuar y vuelva al panel de control de su aplicación.
Vaya a Credenciales. Haga clic en Crear credenciales y cree un ID de cliente de OAuth.
Seleccione Aplicación web como tipo de aplicación. Dé a su cliente un nombre identificable y agregue lo siguiente a la lista de URIs de redirección autorizadas:
https://org-short-name.command.verkada.com/oidc/google/callback (donde org-short-name es el nombre corto de su organización en Command)
Haga clic Crear.
Copie su ID de cliente. Tenga en cuenta que no utilizaremos el secreto del cliente.
Configuración en Verkada Command
En Verkada Command, vaya a Todos los productos > Admin.
En la navegación izquierda, seleccione Inicio de sesión y acceso.
Seleccione Configuración de Inicio de Sesión Único.
Bajo Configuración de OIDC, haga clic en Agregar nuevo.
a. Active el interruptor Habilitar. b. (Opcional) Active el interruptor Requerir SSO OIDC. c. Bajo Seleccionar proveedor, seleccione Google. d. Bajo Agregar cliente y inquilino, haga clic :plus:.
En el ID de cliente campo, pegue el ID de cliente que copió desde Google Cloud Console.
En el ID de inquilino campo, introduzca el dominio utilizado por el Google Workspace de su organización (si su correo de Google es [email protected], introduzca su-dominio.com).
Haga clic en Listo para completar la configuración.
h. Dominios de correo electrónico, haga clic :plus:.
Introduzca el nombre de su dominio presente (por ejemplo, @verkada.com).
Haga clic Listo.
Bajo Prueba de inicio de sesión, haga clic en Ejecutar prueba de inicio de sesión.
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita poner en lista blanca bajo Dominios asociados.
Una vez que su dominio esté agregado, ejecute la prueba de inicio de sesión de nuevo. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete con éxito.
Una vez que su dominio esté verificado, debería verlo validado correctamente.
Integración SAML con Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros Proveedores de Identidad [IdP]) para escenarios de inicio de sesión único (SSO). Security Assertion Markup Language (SAML) se encarga del lado de la autenticación para permitir que Google Workspace se utilice para gestionar el acceso a Command.
Antes de comenzar
Asegúrese de haberse registrado previamente en Verkada Command y de que exista una cuenta para el usuario en el mismo dominio personalizado. Puede agregar Command como una aplicación personalizada.
Familiarícese con estos términos para maximizar su integración:
ID de cliente—ID de cliente. Para localizarlo, vaya a Admin > Privacidad y seguridad > Configuración de Inicio de Sesión Único > Agregar nuevo.
Federation Data XML—La información única de su instancia de Google Workspace que permite a Verkada configurar la federación entre Google Workspace y su instancia de Command (los pasos para descargar esto se proporcionan más adelante).
Configuración de Google Workspace
Vaya a Google Workspace > Panel de administración de Google y seleccione Aplicaciones web y móviles.
Seleccione el menú desplegable Agregar aplicación y elija Agregar aplicación SAML personalizada.
Complete la información de la aplicación; puede usar cualquier nombre y descripción.
Obtenga el logotipo de Verkada Command para agregar a su aplicación de Google Workspace.
Haga clic en Continuar.
Use la Opción 1 para descargar los metadatos del IdP que corresponden al Extensible Markup Language (XML) de metadatos de federación y haga clic en Continuar.
Este archivo permite a Verkada configurar SSO en Command. Guárdelo en una ubicación conveniente para su uso futuro.
Escriba los detalles del proveedor de servicios (como se muestra) para configurar SSO o, puede copiar los detalles desde la página Nueva configuración de SSO (en Verkada Command), y haga clic en Continuar.
a. Para URL ACS: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Para ID de entidad: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Para URL de inicio: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/login/
Consulte dónde se creó su organización para confirmar en qué región se encuentra su organización.
Complete los mapeos de Atributos (como se muestra abajo) y haga clic en Finalizar. Esto garantiza que Command reciba la información correcta sobre el usuario. Debería ser redirigido a la página de configuración de la aplicación.
Configuración en Command
En Verkada Command, vaya a Todos los productos > Admin .
Seleccione Inicio de sesión y acceso > Inicio de sesión único (SSO).
Haga clic en Agregar para iniciar una nueva configuración o para editar una configuración existente.
En Metadatos XML del proveedor de identidades, cargue su archivo de metadatos.
En Dominios de correo electrónico, agregue los dominios de correo electrónico que se usarán para iniciar sesión en su organización.
Verifique que puede acceder a Command en una de estas URL (sustituya el client-id por el que se usó durante la configuración).
Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Consulte Admin > Privacidad de datos > Residencia de datos > Ubicación de procesamiento de datos para confirmar dónde se encuentra su región.
Será redirigido a la página de configuración de la aplicación de Google Workspace para completar el inicio de sesión.
Iniciar sesión mediante la aplicación móvil
Command en Android e iOS admite el inicio de sesión mediante SAML.
En el campo de dirección de correo electrónico, escriba el correo del usuario y haga clic en Siguiente.
Debería ser redirigido a su IdP (Google Workspace) para completar el proceso de inicio de sesión.
Aprovisionamiento de usuarios de Google Workspace
La integración nativa de Google Workspace permite a las organizaciones sincronizar automáticamente usuarios y grupos desde Google Workspace hacia Verkada Command. Esto simplifica la gestión de identidades y la incorporación general de usuarios.
A diferencia de las integraciones SCIM de Verkada con Okta o Azure, esta integración utiliza el Admin SDK y la Reports API de Google Workspace, autenticados mediante una cuenta de servicio de Google con delegación de dominio amplia.
Con la integración habilitada, Command puede:
Importar usuarios y grupos desde Grupos seleccionados de Google Workspace o Unidades Organizativas (OU)
Sincronizarlos en Command como usuarios y grupos administrados
Mantener la precisión del directorio con sincronizaciones programadas en segundo plano y sincronizaciones bajo demanda desde la interfaz de administración
Crear una cuenta de servicio de Google
Para permitir que Command lea datos de usuarios y grupos de su dominio de Google Workspace, debe autenticarse con las API de Google usando una cuenta de servicio. Este tipo de cuenta está diseñada para acceso programático y debe configurarse con los alcances de API correctos y delegación de dominio amplia. Estos ajustes se configuran en su consola de Google Cloud cuenta.
Verificar políticas y roles
Primero debe verificar si su usuario tiene permisos para crear una cuenta de servicio y generar la clave JSON de la cuenta de servicio. Para asegurarse de que no se vea bloqueado por políticas de seguridad en su tenant:
Vaya a la consola de Google Cloud e inicie sesión con sus credenciales de Super Administrador.
En la esquina superior izquierda, abra el menú desplegable Selector de proyecto y elija su recurso de nivel superior (Tipo: Organización).
Desde el panel izquierdo, navegue a IAM y administración → IAM.
Haga clic en Otorgar acceso bajo Ver por principales.
a. Bajo Agregar principales, introduzca la dirección de correo electrónico del usuario. b. Bajo Asignar roles, busque y seleccione Administrador de políticas de organización. c. Haga clic en Guardar.
Desde el panel izquierdo, seleccione Políticas de la organización.
En la lista de políticas, busque y desactive lo siguiente:
Crear una cuenta de servicio
En el consola de Google Cloud, en la parte superior izquierda, abra el menú desplegable Selector de proyecto.
Haga clic en Nuevo proyecto.
Introduzca un nombre de proyecto (por ejemplo, Sincronización de usuarios Verkada) y cree el proyecto.
Una vez creado el proyecto, confirme que está seleccionado en la barra de navegación en la esquina superior izquierda.
Desde la barra lateral izquierda, vaya a IAM y administración → Cuentas de servicio.
Haga clic en + Crear cuenta de servicio.
Complete los siguientes campos:
Nombre: Introduzca un nombre descriptivo (por ejemplo, Aprovisionamiento de usuarios Verkada)
ID: Déjelo tal cual o personalice (opcional)
Descripción: Agregue una nota, como Usado por Verkada para leer datos del directorio de Workspace (opcional)
Haga clic en Crear y continuar.
Omitir el paso Otorgar acceso al proyecto: no se requieren roles aquí.
Haga clic en Continuar → Listo.
Desde la lista de cuentas de servicio, copie el ID de cliente OAuth 2 de la cuenta recién creada. Necesitará este ID más adelante para completar su configuración.
Generar una clave JSON
Desde la lista de cuentas de servicio, haga clic en el nombre de la cuenta o seleccione los tres puntos junto a su nueva cuenta de servicio y elija Administrar claves.
En la pestaña Claves, haga clic en Agregar clave → Crear nueva clave.
Seleccione JSON y haga clic en Crear.
Un .json archivo se descargará en su computadora. Guárdelo en una ubicación segura para usarlo más adelante al configurar la integración en Verkada Command.
Este archivo JSON contiene las credenciales que la integración de Google Workspace en Command usa para autenticarse en las API de Google mediante OAuth 2.0. Mantenga este archivo seguro, ya que proporciona acceso a los datos de su Workspace y nunca debe compartirse ni hacerse público.
Habilitar las API de Google requeridas
Verkada Command requiere acceso a API específicas de Google Workspace para leer usuarios, grupos, dominios y registros de auditoría. Estas API deben habilitarse en su proyecto de Google Cloud antes de que la integración pueda funcionar.
Vaya a la consola de Google Cloud, e inicie sesión con sus credenciales de Super Administrador.
Desde la barra lateral izquierda, vaya a APIs y servicios → Biblioteca de API.
En la barra de búsqueda, busque y seleccione Admin SDK API, luego haga clic en Habilitar.
Esta API es necesaria para leer usuarios, grupos y metadatos de dominio.
(Opcional) Busque y habilite la Reports API para permitir la supervisión de registros de auditoría y detectar cambios en el directorio.
Habilitar la delegación a nivel de dominio
Para permitir que la cuenta de servicio suplante a un administrador y acceda a datos de usuarios y grupos en todo su dominio, debe otorgarle delegación a nivel de dominio. Esto permite que la cuenta de servicio realice operaciones de lectura en nombre de un administrador sin requerir reautenticación manual.
Navegue a la Consola de administración de Google e inicie sesión con sus credenciales de Super Administrador para su tenant de Google Workspace.
Desde la página de inicio de la Consola del administrador, vaya a Seguridad → Control de acceso y datos → Controles de API.
En la página Controles de API, desplácese hasta la sección Delegación a nivel de dominio y haga clic en Administrar delegación a nivel de dominio.
Haga clic en Agregar nuevo e introduzca los siguientes detalles:
ID de cliente: Pegue el ID de cliente OAuth 2 para el archivo de clave de su cuenta de servicio (el
client_idcampo en el JSON).Alcances de OAuth (separados por comas):
Haga clic en Autorizar.
La nueva entrada de delegación aparecerá en la página, confirmando que la cuenta de servicio ahora puede ser utilizada por Verkada Command para consultar datos de usuarios, grupos y auditoría.
Establecer valores de atributos de usuario
Antes de sincronizar usuarios con Verkada Command, confirme que los atributos clave (como nombre, apellido, correo electrónico e ID de empleado) estén correctamente rellenados en Google Workspace.
Inicie sesión en la Consola de administración de Google usando su cuenta de Super Administrador.
Vaya a Directorio → Usuarios.
Seleccione el perfil de usuario que desea actualizar.
Haga clic en Información del usuario y luego expanda las secciones relevantes (por ejemplo, Información básica o Información del empleado).
Actualice los siguientes campos según sea necesario:
Dirección de correo electrónico principal
Nombre y Apellido
ID de empleado (bajo Información del empleado)
Número de teléfono (bajo Información de contacto)
Haga clic en Guardar para aplicar sus cambios.
Los siguientes atributos pueden sincronizarse desde Google Workspace a Verkada Command:
Nombre del atributo en Google Workspace
Campo en Command
Correo electrónico
Correo electrónico
Nombre
Nombre
Apellido
Apellido
Departamento
Departamento
Centro de costos
ID de departamento
ID de empleado
ID de empleado
Título del puesto
Título del empleado
Número de teléfono (Principal Casa/Trabajo/Móvil)
Número de teléfono
Los usuarios y grupos sincronizados desde Google Workspace se administran exclusivamente en Workspace y no pueden editarse manualmente en Verkada Command.
Para garantizar que los números de teléfono de los usuarios se sincronicen correctamente con Verkada Command, introdúzcalos en formato internacional, incluyendo el código de país y sin espacios ni guiones.
Ejemplo: +14155552671
Habilitar la integración en Command
Necesita Administrador de organización permisos para configurar esta integración.
En Verkada Command, vaya a Todos los productos > Admin.
En Configuración de la organización, seleccione Inicio de sesión y acceso → Aprovisionamiento de usuarios → Google Workspace.
a. Introduzca la dirección de correo electrónico de su Super Administrador de Google Workspace. Por seguridad y continuidad, Verkada recomienda usar una cuenta de servicio dedicada que tenga permisos de administrador equivalentes, en lugar de una cuenta de usuario personal. a. Cargue la clave JSON que generó en el proyecto de Google Cloud Console. b. Una vez que la autenticación tenga éxito, haga clic en Agregar para seleccionar los Grupos y/o Unidades Organizativas que desea sincronizar con Command. c. Haga clic en Habilitar.
Tras completar con éxito la primera sincronización, habrá un botón Sincronizar ahora disponible para actualizaciones bajo demanda en cualquier momento.
Preguntas frecuentes
Última actualización
¿Te fue útil?