Microsoft Entra ID
Configure SSO y el aprovisionamiento de usuarios con Microsoft Entra ID (Azure AD)
Dependiendo de su caso de uso, Verkada Command tiene la capacidad de integrarse con Microsoft Entra ID, entre otros Proveedores de Identidad [IdP], en las siguientes capacidades:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el lado de la autenticación permitiendo que Microsoft Entra ID se utilice para gestionar el acceso a Command, igual que cualquier otra aplicación Software como Servicio (SaaS) ya integrada en su tenant de Microsoft Entra ID. Esto significa que puede incorporar Command en su marco de identidades existente y autorizar usuarios según sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite conservar el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes.
Verkada recomienda OIDC en lugar de SAML para mayor seguridad y una configuración más sencilla. OIDC también habilita Enterprise Controlled Encryption.
SSO basado en OIDC para Azure Entra
Verkada Command admite Single Sign-On (SSO) a través de OpenID Connect (OIDC) con Azure Entra. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales existentes de Azure Entra, agilizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la aplicación Pass ni con las aplicaciones Desk Station.
Habilitar Enterprise Controlled Encryption (ECE) para mayor seguridad.
Configuración de Azure Entra
Inicie sesión en su portal de Azure Entra.
Busque y seleccione Registros de aplicaciones (App registrations).
Haga clic en Nuevo registro (New Registration).
a. Nombre de la aplicación Verkada SSO OIDC. b. En Tipos de cuentas admitidos (Supported account types), seleccione Cuentas solo en este directorio organizacional (solo - Inquilino único). c. En URI de redirección (Redirect URI), seleccione Aplicación de una sola página (SPA) como la plataforma y agregue las siguientes URL de callback:
https://org-short-name.command.verkada.com/oidc/aad/callback (reemplace org-short-name en la URI con el nombre corto de su organización en Command.)
Verifique que no haya una barra final en la URI de callback.
Haga clic en Registrar (Register).
Copie y guarde su ID de aplicación (cliente) y el ID de directorio (tenant) en un lugar seguro. Los necesitará para completar la configuración en Verkada Command.
En la izquierda, haga clic en Administrar > Exponer una API (Manage > Expose an API).
a. Haga clic en Agregar un ámbito (Add a scope). b. Haga clic en Guardar y continuar (Save and continue). c. Ingrese verkada_ece para los siguientes campos:
Nombre del ámbito (Scope name)
Nombre para mostrar del consentimiento del administrador (Admin consent display name)
Descripción del consentimiento del administrador (Admin consent description)
Nombre para mostrar del consentimiento del usuario (User consent display name)
Descripción del consentimiento del usuario (User consent description)
d. Establezca ¿Quién puede dar su consentimiento? (Who can consent?) a Administradores y usuarios. e. Haga clic en Agregar ámbito (Add scope).
Configuración de Verkada Command
En Verkada Command, vaya a Todos los productos > Admin.
En la navegación izquierda, seleccione Inicio de sesión y acceso (Login & Access).
Seleccione Configuración de Single Sign-On.
En Configuración OIDC, haga clic en Agregar nuevo.
a. Active el interruptor de Habilitar. b. (Opcional) Active el interruptor de Requerir OIDC SSO. c. En Seleccione Proveedor, seleccione Azure Entra. d. En Agregar Cliente y Tenant (Add Client and Tenant), haga clic en :plus:.
En el ID de cliente (Client ID) campo, pegue el ID de cliente que copió de Azure Entra.
En el ID de inquilino (Tenant ID) campo, pegue el ID de inquilino que copió de Azure Entra.
Haga clic en Hecho (Done).
e. En Dominios de correo electrónico (Email Domains), haga clic en :plus:.
Ingrese el nombre de su dominio presente (por ejemplo, @verkada.com).
Haga clic en Hecho (Done).
Haga clic en Ejecutar prueba de inicio de sesión (Run Login Test).
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita incluir en la lista blanca.
Una vez que su dominio esté agregado, ejecute la prueba de inicio de sesión nuevamente. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión complete correctamente.
Una vez que su dominio esté verificado, debería verlo validado con éxito.
Integración SAML de Microsoft Entra ID
Dependiendo de su caso de uso, Verkada Command tiene la capacidad de integrarse con Microsoft Entra ID, entre otros Proveedores de Identidad [IdP], en las siguientes capacidades:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el lado de la autenticación permitiendo que Microsoft Entra ID se utilice para gestionar el acceso a Command, igual que cualquier otra aplicación Software como Servicio (SaaS) ya integrada en su tenant de Microsoft Entra ID. Esto significa que puede incorporar Command en su marco de identidades existente y autorizar usuarios según sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite conservar el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes.
Configurar SAML en Microsoft Entra ID
Verkada Command está registrado como una aplicación de galería y puede encontrarse en el marketplace de Microsoft Entra ID; en otras palabras, puede utilizarse con Microsoft Entra ID Free, Microsoft Entra ID P1 y Microsoft Entra ID P2.
Para comenzar, necesita su ID de cliente (client-ID). Aprenda cómo generarlo y configurar sus dominios de correo electrónico, luego vuelva a este artículo para completar el resto de este proceso.
Agregue Verkada Command como una aplicación empresarial en su directorio de Microsoft Entra ID: Vaya a la página de descripción de Microsoft Entra ID y seleccione Aplicaciones empresariales (Enterprise applications).
En la parte superior de la página, seleccione Nueva aplicación y busque Verkada Command.
Seleccione Verkada Command y haga clic en Crear. Tenga paciencia ya que puede tardar unos minutos en agregar la aplicación a su Microsoft Entra ID tenant.
Una vez que la página se actualice, debería ver un menú similar (como se muestra abajo).
En Configurar inicio de sesión único (Set up single sign-on), haga clic en Comenzar (Get started).
Elija SAML como el método de inicio de sesión único.
Si es necesario, haga clic en Editar para configurar más su conexión SAML.
Configure los siguientes campos. Debe agregar su ID de cliente al final de cada URL antes de agregarlas a Microsoft Entra ID. Vea el ejemplo debajo de la nota.
a. Para Identificador (Identifier): Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/ssoPara organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
b. Para URL de respuesta (Reply URL): Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
c. Para URL de inicio de sesión (Sign on URL): Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
Haga clic en Guardar (Save).
En Atributos y declaraciones (Attributes & Claims), haga clic en Editar para ser consistente con estos atributos:
En Certificado de firma SAML (SAML Signing Certificate), importe este XML de metadatos de federación en Command.
Haga clic en Descargar (Download) para guardarlo para más tarde.
Si utiliza atributos de origen diferentes para el correo electrónico, configure los atributos de acuerdo con el atributo de origen que desea usar.s
Los siguientes cuadros de diálogo que aparecen contienen herramientas que puede usar después de que la integración se haya finalizado.
Suba su XML de metadatos de federación en Command
Después de completar los pasos en Microsoft Entra ID y descargar los metadatos, suba el archivo XML de metadatos en Command.
Pruebe la conexión SAML en Microsoft Entra ID
Una vez que el archivo esté subido, en su Microsoft Entra ID, haga clic en Probar (Test) para probar la integración. Se enviará una notificación a todos los usuarios que tengan una cuenta de Command (invitación a la organización).
Inicie sesión con Iniciar sesión como usuario actual (Sign in as current user). Si todo está configurado correctamente, debería ser redirigido a la plataforma Command.
Inicie sesión con inicio de sesión único para verificar el acceso a Command.
Microsoft Entra ID no admite grupos anidados para el acceso a aplicaciones en este momento. Todos los usuarios deben ser miembros directos de los grupos para la asignación.
Iniciar sesión a través de la aplicación móvil
Android e iOS en Command admiten el inicio de sesión mediante SAML.
En el dirección de correo electrónico campo, ingrese su correo electrónico y haga clic en Siguiente (Next). Debería ser redirigido a su IdP (Microsoft Entra ID) para completar el proceso de inicio de sesión.
Integración SCIM de Microsoft Entra ID
Verkada Command se integra con Microsoft Entra ID utilizando System for Cross-Domain Identity Management (SCIM) para el aprovisionamiento automatizado de usuarios y grupos.
SCIM sincroniza usuarios y grupos desde Microsoft Entra ID directamente en Command. Esto le permite:
Conservar Microsoft Entra ID como su IdP central.
Actualizar automáticamente usuarios y grupos en Command a medida que se producen cambios en Entra ID.
Asignar y gestionar permisos en Command utilizando su estructura de identidades existente.
Si su organización utiliza SCIM, los números de teléfono solo pueden aprovisionarse mediante SCIM. No podrá editar su número de teléfono directamente en Command.
SCIM en la configuración de Microsoft Entra ID
Antes de configurar SCIM en Microsoft Entra ID, debe generar su token secreto en Command.
En Verkada Command, vaya a Todos los productos > Admin.
En Configuración de la organización (Org Settings), seleccione Inicio de sesión, acceso y registros (Login & Access & Logs) > Aprovisionamiento de usuarios SCIM (SCIM Users Provisioning).
Haga clic en Agregar dominio (Add Domain) e ingrese todos los dominios de correo electrónico relevantes que planee usar con SCIM.
Esto genera un token SCIM, que solo se puede ver una vez.
a. Haga clic en Copie y guarde el token en un lugar seguro para usarlo más adelante en la configuración. b. Haga clic en Actualizar (Refresh) para generar un nuevo token si no copió su token o no está visible.
En la página principal de Microsoft Entra ID, seleccione Aplicaciones empresariales > Nueva aplicación > Crear su propia aplicación.
En el panel lateral Crear su propia aplicación, escriba el nombre de la aplicación, seleccione la aplicación no-gallery y haga clic en Crear.
En Aprovisionar cuentas de usuario (Provision User Accounts), haga clic en Comenzar (Get started).
Seleccione Administrar > Aprovisionamiento (Manage > Provisioning).
En la página de aprovisionamiento:
a. Establezca el Modo de provisión en Automático. b. Establezca la URL del inquilino (Tenant URL) como:
Para organizaciones de EE. UU.: https://api.command.verkada.com/scim
Para organizaciones de la UE: https://scim.prod2.verkada.com/scim
Para organizaciones de AUS: https://scim.prod-ap-syd.verkada.com/scim
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
f. Complete el token SCIM generado en Verkada Command (paso 2) como el token secreto.
Haga clic en Probar conexión (Test Connection). Debería ver una confirmación de que la conexión SCIM se realizó con éxito.
Haga clic en Guardar (Save).
Configurar atributos para grupos de Microsoft Entra ID
En el portal de Entra ID, haga clic para expandir el desplegable Mappings y seleccione Provision Microsoft Entra ID Groups.
Configure sus asignaciones para que coincidan con esta captura de pantalla de la tabla de datos:
El externalId atributo se agrega por defecto. Elimine este atributo para evitar problemas con la configuración.
(Opcional) Si necesita agregar una asignación:
a. Haga clic en Agregar nueva asignación (Add New Mapping) > seleccione el Atributo de origen (Source attribute) para que coincida con el atributo de Microsoft Entra ID anterior. b. Establezca el Atributo de destino (Target attribute) para que coincida con el customappsso atributo anterior. c. Haga clic en Aceptar (OK).
Haga clic en Guardar y confirme los cambios, si es necesario.
En la parte superior de la página, seleccione Provisioning para volver a la página de Provisioning.
Configurar atributos para usuarios de Microsoft Entra ID
En el portal de Entra ID, haga clic para expandir el desplegable Mappings, luego seleccione Provision Microsoft Entra ID Users para cambiar las asignaciones de usuarios.
Actualice sus asignaciones para que coincidan con la tabla de atributos a continuación.
El Cambiar el atributo bajo Atributo de Microsoft Entra ID se agrega como una Expresión (Expression) tipo de asignación (mapping type).
Switch([IsSoftDeleted], , "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
Source Attribute es el Atributo de Microsoft Entra ID y Target Attribute es el atributo customerappsso. Si cualquiera de los customappsso atributos no está disponible como un Atributo de destino (Target Attribute), es posible que deba agregarlos a su plataforma Microsoft Entra ID como una opción. Para hacerlo, marque la casilla Mostrar opciones avanzadas (Show advanced options) y haga clic en Editar lista de atributos para customappsso (Edit attribute list for customappsso).
Los usuarios administrados por SCIM ya no tienen la opción de editar su número de teléfono en Command; en su lugar, solo pueden ser aprovisionados mediante SCIM. En el lado del IdP, puede configurar su asignación de atributos de modo que cualquier campo en su instancia de IdP se asigne al campo de número de teléfono (phone number) en Command. También puede configurarlo de modo que el no campo en el IdP se asigne al campo de número de teléfono (phone number) campo en Command. Sin embargo, incluso en este caso, los números de teléfono siguen siendo un campo bloqueado (locked) en Command y solo pueden editarse a través de SCIM.
Haga clic en Guardar para confirmar los cambios.
En la parte superior, seleccione Provisioning y active el interruptor Estado de aprovisionamiento (Provisioning Status).
Según los requisitos, ajuste el alcance a una de las opciones requeridas:
Sincronizar todos los usuarios y grupos.
Sincronizar solo los usuarios y grupos asignados.
Asegúrese de que los usuarios y grupos estén asignados a la aplicación empresarial en Usuarios y grupos. Los asignados son los que se aprovisionan y están presentes en Command.
Verifique que los usuarios estén asignados a la aplicación. Una vez transcurrido el ciclo inicial de aprovisionamiento:
a. Debería ver el número total de usuarios y grupos que se han aprovisionado con éxito en Descripción general (Overview). b. En Command, debería ver estos usuarios y grupos poblados con la etiqueta Administrado por SCIM (SCIM Managed) asociada. Estos usuarios y grupos sincronizados ahora pueden utilizarse en Command y asignárseles permisos para controlar el acceso a la plataforma Command.
Eliminar usuarios administrados por SCIM de Command
Cuando un usuario administrado por SCIM se desactiva en su proveedor de identidades, puede eliminar al usuario de Command de dos formas:
Eliminar al usuario – La cuenta se traslada a la página de Usuarios eliminados pero conserva los registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Todos los roles, credenciales, registros de acceso y datos asociados se borran. Si el usuario se vuelve a aprovisionar mediante SCIM, Command crea un nuevo registro de usuario.
Debe desactivar al usuario en su proveedor de identidades (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
(Opcional) Agregar credenciales de acceso a usuarios SCIM
Inicie sesión en su Portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales (Enterprise Applications).
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento (Manage > Provisioning).
Expanda el submenú Mappings y seleccione Provision Microsoft Entra ID Users.
En la parte inferior, haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
a. Agregue los atributos de la tabla a continuación. b. Haga clic en Guardar (Save).
Vuelva a Provision Microsoft Entra ID Users y seleccione Agregar nueva asignación (Add New Mapping).
a. Use extensionAttributes 1-5 como Atributos de origen (Source Attributes) y asígnelos a los nuevos atributos que creamos usando Formato de tarjeta (Card Format), Número de tarjeta (Card Number), Número de tarjeta Hex (Card Number Hex), Estado de credencial (Credential Status), y Código de instalación (Facility Code) como los atributos de destino.
Referencia Formatos de tarjeta aceptables (Acceptable Card Formats) para los formatos de tarjeta aceptados y sus códigos de instalación asociados, número de tarjeta y/o longitudes de número de tarjeta en hex.
Estado de credencial (Credential Status) puede ser "active", "deactivated" o "deleted"
d. Haga clic en Guardar (Save).
Tabla de atributos (Attribute table)
Nombre (Name)
Tipo (Type)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Cadena (String)
Editar el registro de aplicación (Edit the App Registration)
Cada aplicación empresarial con SCIM habilitado creada en Entra AD normalmente requiere su propio Registro de aplicación (App Registration).
En la barra de búsqueda, escriba y seleccione Registros de aplicaciones (App registrations).
Cambie a la pestaña Todas las aplicaciones (All Applications) y busque el nombre de su aplicación Verkada SCIM.
En Descripción general (Overview), anote el ID de aplicación (cliente) y el ID de directorio (tenant) de su Registro de aplicación. Los necesitará más adelante para configurar credenciales para su aplicación Command desde su registro de aplicación.
En la navegación izquierda, haga clic en Administrar (Manage).
a. Bajo Certificados y secretos (Certificates & secrets):
Haga clic en Nuevo secreto de cliente (New client secret).
Establezca la Descripción (Description) en "Credenciales SCIM de Verkada (Verkada SCIM Credentials)" y establezca su fecha de expiración de certificado preferida.
Copie y guarde el valor mostrado en el Valor (Value) del nuevo Secreto de cliente creado. Esto solo se mostrará una vez.
e. En Permisos de API (API Permissions):
Haga clic en Agregar permisos > Microsoft Graph.
Seleccione Permisos de aplicación (Application Permissions) y busque "User.ReadWrite.All".
Marque la casilla para asignar los permisos.
Haga clic en Agregar permisos (Add Permissions).
Para evitar tener que revisar y aprobar manualmente todos los cambios de etapa comunicados entre Azure Entra y su aplicación Command, seleccione Conceder consentimiento de administrador para el Directorio predeterminado (Grant admin consent for Default Directory).
Consulte esta lista de credenciales para formatos de tarjeta aceptables (acceptable card formats).
Acceda y actualice sus credenciales
Para establecer los atributos de extensión y la información de credenciales para un usuario en particular, use las instrucciones de la Graph API en: https://learn.microsoft.com/en-us/graph/extensibility-overview.
Establecer el atributo credentialStatus a active al configurar una credencial para un usuario es necesario para sincronizar correctamente las credenciales con Command. Donde el estado de credencial (credentialStatus) es extensionAttribute4.
Ejemplo:
Sincronizar ID externo con Verkada
El campo externalId le permite asignar un identificador persistente y globalmente único a sus usuarios a través de Microsoft Entra que Verkada puede referenciar en integraciones. Esto es especialmente útil en grandes entornos empresariales donde los usuarios pueden necesitar ser desambiguados entre sistemas, o donde la sincronización de credenciales (por ejemplo, tarjetas de acceso) debe estar vinculada a una clave de identidad única. Verkada admite recibir y almacenar este valor como parte de su esquema de usuario SCIM. El campo distingue entre mayúsculas y minúsculas y normalmente se configura para aceptar un valor de cadena desde un atributo designado en su instancia de Microsoft Entra. Esta función admite flujos de trabajo avanzados como la gestión personalizada de credenciales, la automatización del ciclo de vida del empleado y el mapeo consistente de usuarios entre organizaciones.
Mapear externalId desde Azure a Verkada
Para sincronizar un valor externo custom externalId desde Microsoft Entra ID (Azure) a Verkada, siga estos pasos:
Inicie sesión en su portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales (Enterprise Applications).
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento (Manage > Provisioning).
Expanda el submenú Mappings y seleccione Provision Microsoft Entra ID Users.
Desplácese hasta el final y haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
Agregue el siguiente nuevo atributo:
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Tipo: Cadena (String)
Sensible a mayúsculas y minúsculas: Sí (Case-sensitive: Yes)
Haga clic en Guardar (Save).
Vuelva a Provision Microsoft Entra ID Users y haga clic en Agregar nueva asignación (Add New Mapping).
Para Atributo de origen (Source Attribute), seleccione el campo de Azure AD donde se almacena su ID externo (por ejemplo, extensionAttribute1, employeeId, etc.).
Para Atributo de destino (Target Attribute), use: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Haga clic en Aceptar (OK) y luego en Guardar (Save).
Una vez aprovisionado, el valor external_id se almacenará en el registro SCIM del usuario dentro de Verkada. Esto proporciona a los usuarios un ID flexible y consultable por API que permanece único para su organización y totalmente bajo su control, sin estar vinculado a los identificadores internos de Verkada ni expuesto en la interfaz de usuario.
¿Prefiere verlo en acción? Consulte el tutorial en video.
Última actualización
¿Te fue útil?