Microsoft Entra ID
Configura el SSO y el aprovisionamiento de usuarios con Microsoft Entra ID (Azure AD)
Dependiendo de su caso de uso, Verkada Command tiene la capacidad de integrarse con Microsoft Entra ID, entre otros proveedores de identidades [IdP], en las siguientes capacidades:
Lenguaje de marcado para aserciones de seguridad (SAML)
Sistema para la gestión de identidades entre dominios (SCIM)
SAML gestiona la parte de autenticación, lo que permite utilizar Microsoft Entra ID para administrar el acceso a Command, de la misma manera en que se utiliza para administrar el acceso a otras aplicaciones de software como servicio (SaaS) ya integradas en su tenant de Microsoft Entra ID. Esto significa que puede incorporar Command en su marco de identidades existente y autorizar a los usuarios según sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite conservar el IdP central actual y configurar permisos en Command utilizando sus usuarios y grupos existentes.
Verkada recomienda OIDC en lugar de SAML para una mayor seguridad y una configuración más sencilla. OIDC también permite Cifrado controlado por la empresa.
SSO basado en OIDC para Microsoft Entra ID
Verkada Command admite inicio de sesión único (SSO) mediante OpenID Connect (OIDC) con Microsoft Entra ID. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales existentes de Microsoft Entra ID, simplificando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con las aplicaciones de Desk Station.
Habilitar Cifrado controlado por la empresa (ECE) para una mayor seguridad.
Configuración de Microsoft Entra ID
Inicie sesión en su portal de Microsoft Entra ID.
Busque y seleccione Registros de aplicaciones.
Haga clic en Nuevo registro.
a. Nombre la aplicación Verkada SSO OIDC. b. En Tipos de cuentas admitidos, seleccione Cuentas solo en este directorio organizativo (solo - inquilino único). c. En URI de redirección, seleccione Aplicación de una sola página (SPA) como plataforma y agregue las siguientes URL de devolución de llamada:
https://org-short-name.command.verkada.com/oidc/aad/callback (reemplace org-short-name en la URI con el nombre corto de su organización de Command).
Verifique que no haya una barra inclinada final en la URI de devolución de llamada.
Haga clic en Registrar.
Copie y guarde el ID de la aplicación (cliente) y el ID del directorio (inquilino) en un lugar seguro. Los necesitará para completar la configuración en Verkada Command.
A la izquierda, haga clic en Administrar > Exponer una API.
a. Haga clic en Agregar un alcance. b. Haga clic en Guardar y continuar. c. Ingrese verkada_ece para los siguientes campos:
Nombre del alcance
Nombre para mostrar del consentimiento del administrador
Descripción del consentimiento del administrador
Nombre para mostrar del consentimiento del usuario
Descripción del consentimiento del usuario
d. Establezca ¿Quién puede dar su consentimiento? en Administradores y usuarios. e. Haga clic en Agregar alcance.
Configuración de Verkada Command
En Verkada Command, vaya a Todos los productos > Admin.
En la navegación de la izquierda, seleccione Inicio de sesión y acceso.
Seleccione Configuración de inicio de sesión único.
En Configuración de OIDC, haga clic en Agregar nuevo.
a. Active Habilitar. b. (Opcional) Active Requerir SSO de OIDC. c. En Seleccione Proveedor, seleccione Microsoft Entra ID. d. En Agregar cliente y tenant, haga clic en :plus:.
En el ID de cliente campo, pegue el ID de cliente que copió de Microsoft Entra ID.
En el ID de tenant campo, pegue el ID de tenant que copió de Microsoft Entra ID.
Haga clic en Hecho.
e. En Dominios de correo electrónico, haga clic en :plus:.
Ingrese el nombre de su dominio presente (por ejemplo, @verkada.com).
Haga clic en Hecho.
Haga clic en Ejecutar prueba de inicio de sesión.
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita incluir en la lista de अनुमति.
Una vez agregado su dominio, ejecute la prueba de inicio de sesión nuevamente. El SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.
Una vez verificado su dominio, debería ver que se validó correctamente.
Integración SAML de Microsoft Entra ID
Configurar SAML en Microsoft Entra ID
Verkada Command está registrado como una aplicación de galería y se puede encontrar dentro del marketplace de Microsoft Entra ID; en otras palabras, puede aprovecharlo con licencias Microsoft Entra ID Free, Microsoft Entra ID P1 y Microsoft Entra ID P2.
Para comenzar, necesita su client-ID. Aprenda cómo generarlo y configurar sus dominios de correo electrónico, luego vuelva a este artículo para completar el resto de este proceso.
Agregue Verkada Command como una aplicación empresarial en su directorio de Microsoft Entra ID: vaya a la página general de Microsoft Entra ID y seleccione Aplicaciones empresariales.
En la parte superior de la página, seleccione Nueva aplicación y busque Verkada Command.
Seleccione Verkada Command y haga clic en Crear. Tenga paciencia, ya que puede tardar unos minutos en agregar la aplicación a su Microsoft Entra ID tenant.
Una vez que la página se actualice, debería ver un menú similar (como se muestra a continuación).
En Configurar inicio de sesión único, haga clic en Comenzar.
Elija SAML como método de inicio de sesión único.
Si es necesario, haga clic en Editar para configurar más su conexión SAML.
Configure los siguientes campos. Debe agregar su ID de cliente al final de cada URL antes de agregarlas a Microsoft Entra ID. Consulte el ejemplo debajo de la nota.
a. Para Identificador: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/ssoPara organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
b. Para URL de respuesta: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
c. Para URL de inicio de sesión: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
Haga clic en Guardar.
En Atributos y reclamaciones, haga clic en Editar para que coincida con estos atributos:
Si usa un atributo de origen diferente para el correo electrónico, configure los atributos según el atributo de origen que desee usar.
En Certificado de firma SAML, importe este XML de metadatos de federación en Command.
Haga clic en Descargar para guardarlo para más tarde.
Los siguientes diálogos que aparecen contendrán herramientas que puede usar una vez que la integración esté finalizada.
Continúe a Verkada Command para completar la configuración.
Probar la conexión SAML en Microsoft Entra ID
Una vez cargado el archivo, en su Microsoft Entra ID, haga clic en Probar para verificar la integración. Se enviará una notificación a todos los usuarios que tengan una cuenta de Command (invitación a la organización).
Inicie sesión con Iniciar sesión como usuario actual. Si todo está configurado correctamente, debería ser redirigido a la plataforma Command.
Inicie sesión con inicio de sesión único para verificar el acceso a Command.
Microsoft Entra ID no admite grupos anidados para el acceso a aplicaciones en este momento. Todos los usuarios deben ser miembros directos de los grupos para poder asignarse.
Inicie sesión mediante la aplicación móvil
Las aplicaciones Command para Android e iOS admiten el inicio de sesión basado en SAML.
Abra su aplicación Command.
En el campo de dirección de correo electrónico, ingrese su correo electrónico y haga clic en Siguiente.
Debería ser redirigido a su IdP (Microsoft Entra ID) para completar el proceso de inicio de sesión.
Integración SCIM de Microsoft Entra ID
Verkada Command se integra con Microsoft Entra ID mediante System for Cross-Domain Identity Management (SCIM) para el aprovisionamiento automatizado de usuarios y grupos.
SCIM sincroniza usuarios y grupos desde Microsoft Entra ID directamente en Command. Esto le permite:
Mantener Microsoft Entra ID como su IdP central.
Actualizar automáticamente usuarios y grupos en Command a medida que ocurren cambios en Entra ID.
Asignar y administrar permisos en Command utilizando su estructura de identidad existente.
Si su organización usa SCIM, los números de teléfono solo pueden aprovisionarse a través de SCIM. No podrá editar su número de teléfono directamente en Command.
Configuración de SCIM en Microsoft Entra ID
Antes de configurar SCIM en Microsoft Entra ID, debe generar su token secreto en Command.
En Verkada Command, vaya a Todos los productos > Admin.
En Configuración de la organización, seleccione Inicio de sesión y acceso y registros > Aprovisionamiento de usuarios SCIM.
Haga clic en Agregar dominio e ingrese todos los dominios de correo electrónico relevantes que planea usar con SCIM.
Esto genera un token SCIM, que solo se puede ver una vez.
a. Haga clic en Copie y guarde el token en un lugar seguro para usarlo más adelante en la configuración. b. Haga clic en Actualizar para generar un nuevo token si no copió su token o si no es visible.
Desde la página principal de Microsoft Entra ID, seleccione Aplicaciones empresariales > Nueva aplicación > Crear su propia aplicación.
En el panel lateral Crear su propia aplicación, escriba el nombre de la aplicación, seleccione la aplicación que no es de galería y haga clic en Crear.
En Aprovisionar cuentas de usuario, haga clic en Comenzar.
Seleccione Administrar > Aprovisionamiento.
En la página de aprovisionamiento:
a. Establezca el Modo de aprovisionamiento en Automático. b. Establezca la URL del tenant como:
Para organizaciones de EE. UU.: https://api.command.verkada.com/scim
Para organizaciones de la UE: https://scim.prod2.verkada.com/scim
Para organizaciones de AUS: https://scim.prod-ap-syd.verkada.com/scim
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
f. Complete el token SCIM generado en Verkada Command (paso 2) como token secreto.
Haga clic en Probar conexión. Debería ver una confirmación de que la conexión SCIM es exitosa.
Haga clic en Guardar.
Configurar atributos para grupos de Microsoft Entra ID
En el portal de Entra ID, haga clic para expandir el menú desplegable Mappings y seleccione Provision Microsoft Entra ID Groups.
Configure sus mapeos para que coincidan con esta captura de pantalla de la tabla de datos:
El externalId atributo se agrega de forma predeterminada. Elimine este atributo para evitar problemas con la configuración.
(Opcional) Si necesita agregar un mapeo:
a. Haga clic en Agregar nuevo mapeo > seleccione el Atributo de origen para que coincida con el atributo de Microsoft Entra ID anterior. b. Establezca el Atributo de destino para que coincida con el customappsso atributo anterior. c. Haga clic en OK.
Haga clic en Guardar y confirme los cambios, si es necesario.
En la parte superior de la página, seleccione Aprovisionamiento para volver a la página de Aprovisionamiento.
Configurar atributos para usuarios de Microsoft Entra ID
En el portal de Entra ID, haga clic para expandir el menú desplegable Mappings y luego seleccione Provision Microsoft Entra ID Users para cambiar los mapeos de usuarios.
Actualice sus mapeos para que coincidan con la tabla de atributos a continuación.
El Cambie el atributo en Microsoft Entra ID Attribute se agrega como un tipo de mapeo Expresión .
Switch([IsSoftDeleted], "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
costCenter
Source Attribute es el atributo de Microsoft Entra ID, y Target Attribute es el atributo customappsso. Si alguno de los customappsso atributos no está disponible como atributos de destino, es posible que deba agregarlos a su plataforma de Microsoft Entra ID como opciones. Para hacerlo, marque la casilla Mostrar opciones avanzadas y haga clic en Editar lista de atributos para customappsso.
Los usuarios administrados por SCIM ya no tienen la opción de editar su número de teléfono en Command; en su lugar, solo pueden aprovisionarse mediante SCIM. En el lado del IdP, puede configurar el mapeo de atributos de modo que cualquier campo en su instancia de IdP se asigne al campo de número de teléfono en Command. También puede configurarlo de modo que el campo sin en el IdP se asigne al campo de número de teléfono campo en Command. Sin embargo, incluso en este caso, los números de teléfono permanecen bloqueados en Command y solo pueden editarse mediante SCIM.
Haga clic en Guardar para confirmar los cambios.
En la parte superior, seleccione Aprovisionamiento y active el Estado de aprovisionamiento.
Según los requisitos, ajuste el alcance a una de las opciones requeridas:
Sincronizar todos los usuarios y grupos.
Sincronizar solo los usuarios y grupos asignados.
Asegúrese de que los usuarios y grupos estén asignados a la aplicación empresarial en Usuarios y grupos. Los asignados son los que se aprovisionan y aparecen en Command.
Verifique que los usuarios estén asignados a la aplicación. Una vez transcurrido el ciclo inicial de aprovisionamiento:
a. Debería ver el número total de usuarios y grupos que se han aprovisionado correctamente en Resumen. b. En Command, debería ver estos usuarios y grupos poblados con la etiqueta asociada Administrado por SCIM . Estos usuarios y grupos sincronizados ahora pueden usarse en Command y se les pueden asignar permisos para controlar el acceso a la plataforma Command.
Eliminar usuarios administrados por SCIM de Command
Cuando un usuario administrado por SCIM se desactiva en su proveedor de identidades, puede eliminar al usuario de Command de dos maneras:
Eliminar al usuario – La cuenta se mueve a la página de Usuarios eliminados, pero conserva los registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Se borran todos los roles, credenciales, registros de acceso y datos asociados. Si el usuario se vuelve a aprovisionar mediante SCIM, Command crea un nuevo registro de usuario.
Debe desactivar al usuario en su proveedor de identidades (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
(Opcional) Agregar credenciales de acceso a usuarios SCIM
Inicie sesión en su portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales.
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento.
Expanda el submenú Mappings y seleccione Provision Microsoft Entra ID Users.
En la parte inferior, haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
a. Agregue los atributos de la tabla siguiente. b. Haga clic en Guardar.
Vuelva a Provision Microsoft Entra ID Users y seleccione Agregar nuevo mapeo.
a. Use extensionAttributes 1-5 como Atributos de origen y asígnelos a los nuevos atributos creados para Formato de tarjeta, Número de tarjeta, Número de tarjeta hexadecimal, Estado de la credencial, y Código de instalación como atributos de destino.
Referencia Formatos de tarjeta aceptables para los formatos de tarjeta aceptados y sus longitudes asociadas de código de instalación, número de tarjeta y/o número de tarjeta hexadecimal.
Estado de la credencial puede ser "active", "deactivated" o "deleted"
Haga clic en Guardar.
b. Para sincronizar un identificador de departamento, agregue un nuevo mapeo con el atributo de origen deseado (por ejemplo, department o un atributo de extensión personalizado) y establezca el atributo de destino en costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Esto sincroniza un valor de ID de departamento con Command.
Tabla de atributos
Nombre
Tipo
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Cadena
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
Cadena
Editar el registro de la aplicación
Toda aplicación empresarial habilitada para SCIM creada en Entra AD normalmente requiere su propio registro de aplicación.
En la barra de búsqueda, escriba y seleccione Registros de aplicaciones.
Cambie a la pestaña Todas las aplicaciones y busque el nombre de su aplicación Verkada SCIM.
En Resumen, anote el ID de la aplicación (cliente) y el ID del directorio (inquilino) de su registro de aplicación. Los necesitará más adelante para configurar las credenciales de su aplicación Command desde su registro de aplicación.
En la navegación de la izquierda, haga clic en Administrar.
a. En Certificados y secretos:
Haga clic en Nuevo secreto de cliente.
Establezca la Descripción en "Credenciales SCIM de Verkada" y establezca la fecha de expiración del certificado que prefiera.
Copie y guarde el valor mostrado en Valor del nuevo secreto de cliente creado. Esto solo se mostrará una vez.
e. En Permisos de API:
Haga clic en Agregar permisos > Microsoft Graph.
Seleccione Permisos de aplicación y busque "User.ReadWrite.All".
Marque la casilla para asignar los permisos.
Haga clic en Agregar permisos.
Para evitar tener que revisar y aprobar manualmente todos los cambios de fase comunicados entre Microsoft Entra ID y su aplicación Command, seleccione Conceder consentimiento del administrador para Default Directory.
Consulte esta lista de credenciales para formatos de tarjeta aceptables.
Acceder y actualizar sus credenciales
Para establecer los atributos de extensión y la información de credenciales de un usuario específico, use las instrucciones de Graph API en: https://learn.microsoft.com/en-us/graph/extensibility-overview.
Establecer el atributo credentialStatus en active al configurar una credencial para un usuario es necesario para sincronizar correctamente las credenciales con Command. Donde el estado de credencial (credentialStatus) es extensionAttribute4.
Ejemplo:
Sincronizar External ID con Verkada
El campo externalId le permite asignar a sus usuarios un identificador persistente y globalmente único a través de Microsoft Entra que Verkada puede usar como referencia en todas las integraciones. Esto es especialmente útil para entornos empresariales grandes donde puede ser necesario distinguir usuarios entre sistemas, o donde la sincronización de credenciales (por ejemplo, tarjetas de acceso) debe vincularse a una clave de identidad única. Verkada admite recibir y almacenar este valor como parte de su esquema SCIM de usuario. El campo distingue entre mayúsculas y minúsculas y normalmente se configura para aceptar un valor de cadena de un atributo designado en su instancia de Microsoft Entra. Esta función admite flujos de trabajo avanzados como la administración personalizada de credenciales, la automatización del ciclo de vida del empleado y el mapeo coherente de usuarios entre organizaciones.
Asignar externalId desde Azure a Verkada
Para sincronizar un valor externalId personalizado desde Microsoft Entra ID (Azure) a Verkada, siga estos pasos:
Inicie sesión en su portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales.
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento.
Expanda el submenú Mappings y seleccione Provision Microsoft Entra ID Users.
Desplácese hasta el final y haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
Agregue el siguiente atributo nuevo:
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Tipo: Cadena
Distingue entre mayúsculas y minúsculas: Sí
Haga clic en Guardar.
Vuelva a Provision Microsoft Entra ID Users y haga clic en Agregar nuevo mapeo.
Para Atributo de origen, seleccione el campo de Azure AD donde se almacena su ID externo (por ejemplo, extensionAttribute1, employeeId, etc.).
Para Atributo de destino, use: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Haga clic en OK y luego en Guardar.
Una vez aprovisionado, el valor external_id se almacenará en el registro SCIM del usuario dentro de Verkada. Esto proporciona a los usuarios un ID flexible, consultable mediante API, que permanece único para su organización y totalmente bajo su control, sin estar vinculado a los identificadores internos de Verkada ni expuesto en la interfaz de usuario.
¿Prefiere verlo en acción? Consulte el video tutorial.
Última actualización
¿Te fue útil?