Google Workspace
Configura el SSO y el aprovisionamiento de usuarios con Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros Proveedores de Identidad [IdP]) para escenarios de inicio de sesión único (SSO). Security Assertion Markup Language (SAML) gestiona la parte de autenticación para permitir que Google Workspace se utilice para administrar el acceso a Command.
Verkada recomienda OIDC sobre SAML para una seguridad mejorada y una configuración más sencilla.
SSO basado en OIDC para Google Workspace
Verkada Command admite inicio de sesión único (SSO) mediante OpenID Connect (OIDC) con Google Workspace. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales existentes de Google, agilizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con las aplicaciones de Desk Station.
Habilitar Cifrado controlado por la empresa (ECE) para una mayor seguridad.
Configuración de OIDC
Inicia sesión en tu consola de Google Cloud.
Haz clic en New Project para crear un nuevo proyecto dentro de tu organización de Google Workspace.
En tu nuevo proyecto, ve a APIs & Services > Library.
a. Habilita las siguientes APIs:
API de Identity and Access Management (IAM)
API de Admin SDK
Ve a APIs & Services > OAuth Consent Screen. Selecciona Internal para el User Type y haz clic en Create.
Haz clic en Edit App.
Configura tu pantalla de consentimiento de OAuth. Dale a tu aplicación un nombre identificable (p. ej., Verkada SSO OIDC) y coloca el correo electrónico de la entidad que administra Google Workspace de tu organización (p. ej., IT) como correo electrónico de soporte al usuario de tu aplicación. Haz clic en Save and Continue.
Configura los ámbitos de OAuth.
Selecciona los siguientes ámbitos:
userinfo.email
userinfo.profile
openid
Haz clic en Update.
Si no ves la última opción, puede que tengas que Add To Table en Manually add scopes.
Haz clic en Save and Continue y vuelve al panel de control de tu aplicación.
Ve a Credentials. Haz clic en Create Credentials y crea un OAuth client ID.
Selecciona Web application como tipo de aplicación. Dale a tu cliente un nombre identificable y añade lo siguiente a la lista de URI de redirección autorizados:
https://org-short-name.command.verkada.com/oidc/google/callback (donde org-short-name es el nombre corto de tu organización de Command)
Haz clic en Create.
Copia tu Client ID. Ten en cuenta que no utilizaremos el Client secret.
Configuración de Verkada Command
En Verkada Command, ve a All Products > Admin.
En la navegación izquierda, selecciona Login & Access.
Selecciona Single Sign-On Configuration.
En OIDC Configuration, haz clic en Add New.
a. Activa Enable. b. (Opcional) Activa Require OIDC SSO. c. En Select Provider, selecciona Google. d. En Add Client and Tenant, haz clic en :plus:.
En el campo Client ID , pega el Client ID que copiaste de Google Cloud Console.
En el campo Tenant ID campo, introduce el dominio usado por Google Workspace de tu organización (si tu correo de Google es [email protected], introduce your-domain.com).
Haz clic en Done para completar la configuración.
h. Email Domains, haz clic en :plus:.
Introduce el nombre de tu dominio presente (p. ej., @verkada.com).
Haz clic en Done.
En Login Test, haz clic en Run Login Test.
Una prueba de inicio de sesión correcta debería redirigirte a la página de configuración de OIDC. Una vez que hayas iniciado sesión, añade el dominio que necesitas poner en la lista blanca en Associated Domains.
Una vez añadido tu dominio, ejecuta la prueba de inicio de sesión de nuevo. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.
Una vez verificado tu dominio, deberías verlo validado correctamente.
Integración SAML de Google Workspace
Verkada Command tiene la capacidad de integrarse con Google Workspace (entre otros Proveedores de Identidad [IdP]) para escenarios de inicio de sesión único (SSO). Security Assertion Markup Language (SAML) gestiona la parte de autenticación para permitir que Google Workspace se utilice para administrar el acceso a Command.
Antes de empezar
Asegúrate de haberte registrado ya en Verkada Command y de que exista una cuenta para el usuario en el mismo dominio personalizado. Puedes añadir Command como una aplicación personalizada.
Familiarízate con estos términos para maximizar tu integración:
Client ID—Client ID. Para localizarlo, ve a Admin > Privacy & Security > Single Sign-On Configuration > Add New.
Federation Data XML—La información única de tu instancia de Google Workspace que permite a Verkada configurar la federación entre Google Workspace y tu instancia de Command (los pasos para descargarla se proporcionan más adelante).
Configuración de Google Workspace
Ve a Google Workspace > panel de administración de Google y selecciona Web and mobile apps.
Selecciona el menú desplegable Add app y elige Add custom SAML app.
Rellena la información de la aplicación; puedes usar cualquier nombre y descripción.
Obtén el logotipo de Verkada Command para añadirlo a tu aplicación de Google Workspace.
Haz clic en Continue.
Usa la Option 1 para descargar los metadatos del IdP que corresponden al Extensible Markup Language (XML) de metadatos de federación y haz clic en Continue.
Este archivo permite a Verkada configurar SSO en Command. Guárdalo en una ubicación conveniente para uso futuro.
Escribe los detalles del proveedor de servicios (como se muestra) para configurar SSO o, si lo prefieres, puedes copiar los detalles de la página New SSO Configuration (en Verkada Command) y hacer clic en Continue.
a. Para ACS URL: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Para Entity ID: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Para Start URL: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/ Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/login/
Consulta dónde se creó tu organización para confirmar en qué región se encuentra tu organización.
Rellena las asignaciones de atributos (como se muestra abajo) y haz clic en Finish. Esto garantiza que Command reciba la información correcta sobre el usuario. Deberías ser redirigido a la página de configuración de la aplicación.
Configuración de Command
En Verkada Command, ve a All Products > Admin .
Selecciona Login & Access > Single Sign On (SSO).
Haz clic en Add para iniciar una nueva configuración o para editar una configuración existente.
En Identity Provider XML Metadata, carga tu archivo de metadatos.
En Email Domains, añade los dominios de correo electrónico que se usarán para iniciar sesión en tu organización.
Verifica que puedes acceder a Command en una de estas URL (sustituye el client-id por el utilizado durante la configuración).
Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login/
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Consulta Admin > Data Privacy > Data Residency > Data Processing Location para confirmar dónde se encuentra tu región.
Serás redirigido a la página de configuración de la aplicación de Google Workspace para completar el inicio de sesión.
Iniciar sesión mediante la aplicación móvil
Command en Android e iOS admite inicio de sesión mediante SAML.
En el campo de dirección de correo electrónico, escribe el correo del usuario y haz clic en Next.
Deberías ser redirigido a tu IdP (Google Workspace) para completar el proceso de inicio de sesión.
Aprovisionamiento de usuarios de Google Workspace
La integración nativa de Google Workspace permite a las organizaciones sincronizar automáticamente usuarios y grupos desde Google Workspace a Verkada Command. Esto simplifica la gestión de identidades y la incorporación general de usuarios.
A diferencia de las integraciones SCIM de Verkada con Okta o Azure, esta integración utiliza el Admin SDK y la Reports API de Google Workspace, autenticadas a través de una cuenta de servicio de Google con delegación a nivel de dominio.
Con la integración habilitada, Command puede:
Importar usuarios y grupos desde Grupos de Google Workspace o Unidades Organizativas (OU) seleccionados
Sincronizarlos con Command como usuarios y grupos administrados
Mantener la precisión del directorio con sincronizaciones automáticas programadas y sincronizaciones bajo demanda desde la interfaz de administración
Crear una cuenta de servicio de Google
Para permitir que Command lea datos de usuarios y grupos desde tu dominio de Google Workspace, debe autenticarse con las APIs de Google usando una cuenta de servicio. Este tipo de cuenta está diseñado para acceso programático y debe configurarse con los ámbitos de API correctos y la delegación a nivel de dominio. Esta configuración se realiza en tu consola de Google Cloud cuenta.
Verificar políticas y roles
Primero debes verificar si tu usuario tiene permisos para crear una cuenta de servicio y para generar la clave JSON de la cuenta de servicio. Para asegurarte de que las políticas de seguridad de tu tenant no te bloqueen:
Ve a consola de Google Cloud e inicia sesión con tus credenciales de Super Admin.
En la esquina superior izquierda, abre el menú desplegable Project Selector y elige tu recurso de nivel superior (Tipo: Organization).
Desde el panel izquierdo, ve a IAM & Admin → IAM.
Haz clic en Grant Access en View by principals.
a. En Add principals, introduce la dirección de correo electrónico del usuario. b. En Assign roles, busca y selecciona Organization Policy Administrator. c. Haz clic en Save.
Desde el panel izquierdo, selecciona Organization Policies.
En la lista de políticas, busca y desactiva lo siguiente:
Crear una cuenta de servicio
En el campo consola de Google Cloud, en la parte superior izquierda, abre el menú desplegable Project Selector.
Haz clic en New Project.
Introduce un nombre de proyecto (por ejemplo, Verkada User Sync) y crea el proyecto.
Una vez creado el proyecto, confirma que esté seleccionado en la barra de navegación de la parte superior izquierda.
En la barra lateral izquierda, ve a IAM & Admin → Service Accounts.
Haz clic en + Create Service Account.
Rellena los siguientes campos:
Nombre: Introduce un nombre descriptivo (p. ej., Verkada User Provisioning)
ID: Dejar tal cual o personalizar (opcional)
Descripción: Añade una nota, como Usado por Verkada para leer datos del directorio de Workspace (opcional)
Haz clic en Create and Continue.
Omite el paso Grant Project Access: aquí no se requieren roles.
Haz clic en Continue → Done.
En la lista de cuentas de servicio, copia el OAuth 2 Client ID de la cuenta recién creada. Necesitarás este ID más adelante para completar la configuración.
Generar una clave JSON
Desde la lista de Service Accounts, haz clic en el nombre de la cuenta o selecciona los tres puntos junto a tu nueva cuenta de servicio y elige Manage keys.
En la pestaña Keys, haz clic en Add Key → Create new key.
Selecciona JSON y haz clic en Create.
Se descargará un archivo .json en tu ordenador. Guárdalo en una ubicación segura para usarlo más adelante al configurar la integración en Verkada Command.
Este archivo JSON contiene las credenciales que la integración de Google Workspace en Command usa para autenticarse en las APIs de Google a través de OAuth 2.0. Mantén este archivo seguro, ya que proporciona acceso a los datos de tu Workspace y nunca debe compartirse ni hacerse público.
Habilitar las APIs de Google requeridas
Verkada Command requiere acceso a APIs específicas de Google Workspace para leer usuarios, grupos, dominios y registros de auditoría. Estas APIs deben estar habilitadas en tu proyecto de Google Cloud antes de que la integración pueda funcionar.
Ve a consola de Google Cloud, e inicia sesión con tus credenciales de Super Admin.
Desde la barra lateral izquierda, ve a APIs & Services → API Library.
En la barra de búsqueda, busca y selecciona Admin SDK API, luego haz clic en Enable.
Esta API es necesaria para leer usuarios, grupos y metadatos de dominio.
(Opcional) Busca y habilita Reports API para permitir la supervisión del registro de auditoría y detectar cambios en el directorio.
Habilitar la delegación a nivel de dominio
Para permitir que la cuenta de servicio suplante a un administrador y acceda a los datos de usuarios y grupos de todo tu dominio, debes otorgarle delegación a nivel de dominio. Esto permite que la cuenta de servicio realice operaciones de lectura en nombre de un administrador sin requerir una reautenticación manual.
Ve a Google Admin Console e inicia sesión con tus credenciales de Super Administrator para tu tenant de Google Workspace.
Desde la página de inicio de Admin Console, ve a Security →Access & data control → API Controls.
En la página API Controls, desplázate hasta la sección Domain-wide Delegation y haz clic en Manage Domain Wide Delegation.
Haz clic en Add New e introduce los siguientes detalles:
Client ID: Pega el OAuth 2 Client ID del archivo de clave de tu cuenta de servicio (el
client_idcampo del JSON).OAuth Scopes (separados por comas):
Haz clic en Authorize.
La nueva entrada de delegación aparecerá en la página, confirmando que la cuenta de servicio ya puede ser utilizada por Verkada Command para consultar datos de usuarios, grupos y auditoría.
Establecer valores de atributos de usuario
Antes de sincronizar usuarios con Verkada Command, confirma que los atributos clave (como nombre, apellido, correo electrónico e ID de empleado) estén correctamente completados en Google Workspace.
Inicia sesión en el Google Admin Console usando tu cuenta de Super Admin.
Ve a Directory → Users.
Selecciona el perfil de usuario que quieres actualizar.
Haz clic en User information y luego expande las secciones relevantes (por ejemplo, Basic information o Employee information).
Actualiza los siguientes campos según sea necesario:
Dirección de correo electrónico principal
Nombre y Apellido
ID de empleado (en Información del empleado)
Número de teléfono (en Información de contacto)
Haz clic en Save para aplicar los cambios.
Los siguientes atributos pueden sincronizarse desde Google Workspace a Verkada Command:
Nombre del atributo de Google Workspace
Campo de Command
Correo electrónico
Correo electrónico
Nombre
Nombre
Apellido
Apellido
Departamento
Departamento
Centro de costos
ID de departamento
ID de empleado
ID de empleado
Cargo
Título del empleado
Número de teléfono (principal particular/trabajo/móvil)
Número de teléfono
Los usuarios y grupos sincronizados desde Google Workspace se gestionan exclusivamente en Workspace y no pueden editarse en Verkada Command. Los usuarios deben tener nombre, apellido y dirección de correo electrónico para sincronizarse correctamente con Command.
Para garantizar que los números de teléfono de los usuarios se sincronicen correctamente con Verkada Command, introdúcelos en formato internacional, incluyendo el código de país y sin espacios ni guiones.
Ejemplo: +14155552671
Habilitar la integración en Command
Necesitas permisos de Org Admin para configurar esta integración.
En Verkada Command, ve a All Products > Admin.
En Org Settings, selecciona Login & Access → User Provisioning → Google Workspace.
a. Introduce la dirección de correo electrónico de tu Super Admin de Google Workspace. Por seguridad y continuidad, Verkada recomienda usar una cuenta de servicio dedicada que tenga permisos de administrador equivalentes, en lugar de una cuenta de usuario personal. a. Sube la clave JSON que generaste en tu proyecto de Google Cloud Console. b. Una vez que la autenticación sea correcta, haz clic en Add para seleccionar los Grupos y/o Unidades Organizativas que quieres sincronizar con Command. c. Haz clic en Habilitar.
Al completar correctamente la primera sincronización, estará disponible un botón Sync Now para actualizaciones bajo demanda en cualquier momento.
Preguntas frecuentes
Última actualización
¿Te fue útil?