Microsoft Entra ID
Configura SSO y aprovisionamiento de usuarios con Microsoft Entra ID (Azure AD)
Dependiendo de su caso de uso, Verkada Command tiene la capacidad de integrarse con Microsoft Entra ID, entre otros Proveedores de Identidad [IdP], en las siguientes capacidades:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el lado de la autenticación permitiendo que Microsoft Entra ID se utilice para gestionar el acceso a Command, igual que cualquier otra aplicación de Software como Servicio (SaaS) que ya se integra en su tenant de Microsoft Entra ID. Esto significa que puede incorporar Command en su marco de identidad existente y autorizar usuarios basándose en sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite mantener el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes.
Verkada recomienda OIDC sobre SAML para mayor seguridad y una configuración más sencilla. OIDC también habilita Cifrado controlado por la empresa.
SSO basado en OIDC para Azure Entra
Verkada Command admite Single Sign-On (SSO) mediante OpenID Connect (OIDC) con Azure Entra. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales existentes de Azure Entra, agilizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la aplicación Pass ni con las aplicaciones Desk Station.
Habilitar Cifrado controlado por la empresa (ECE) para mayor seguridad.
Configuración de Azure Entra
Inicie sesión en su portal de Azure Entra.
Busque y seleccione Registros de aplicaciones (App registrations).
Haga clic en Nuevo registro (New Registration).
a. Nombre de la aplicación Verkada SSO OIDC. b. Bajo Tipos de cuentas admitidos (Supported account types), seleccione Cuentas en este directorio organizacional únicamente (solo - Tenant único). c. Bajo URI de redirección (Redirect URI), seleccione Aplicación de una sola página (SPA) como la plataforma y agregue las siguientes URL de callback:
https://org-short-name.command.verkada.com/oidc/aad/callback (reemplace org-short-name en la URI con el short-name de su organización en Command).
Verifique que no haya una barra inclinada final en la URI de callback.
Haga clic en Registrar (Register).
Copie y guarde su Identificador de aplicación (Client) y el Identificador de directorio (Tenant) en un lugar seguro. Los necesitará para completar la configuración en Verkada Command.
En la izquierda, haga clic en Administrar > Exponer una API (Manage > Expose an API).
a. Haga clic en Agregar un ámbito (Add a scope). b. Haga clic en Guardar y continuar (Save and continue). c. Ingrese verkada_ece para los siguientes campos:
Nombre del ámbito (Scope name)
Nombre para mostrar de consentimiento del administrador (Admin consent display name)
Descripción del consentimiento del administrador (Admin consent description)
Nombre para mostrar de consentimiento del usuario (User consent display name)
Descripción del consentimiento del usuario (User consent description)
d. Configure ¿Quién puede dar consentimiento? (Who can consent?) a Administradores y usuarios. e. Haga clic en Agregar ámbito (Add scope).
Configuración de Verkada Command
En Verkada Command, ve a Todos los Productos > Admin.
En la navegación izquierda, seleccione Inicio de sesión y acceso (Login & Access).
Seleccione Configuración de Single Sign-On (Single Sign-On Configuration).
En Configuración OIDC, haga clic en Agregar nuevo (Add New).
a. Active el interruptor Habilitar (Enable). b. (Opcional) Active el interruptor Requerir OIDC SSO (Require OIDC SSO). c. Bajo Seleccione Proveedor, seleccione Azure Entra. d. Bajo Agregar Cliente y Tenant (Add Client and Tenant), haga clic en :plus:.
En el ID de cliente (Client ID) campo, pegue el ID de cliente que copió desde Azure Entra.
En el ID de inquilino (Tenant ID) campo, pegue el ID de inquilino que copió desde Azure Entra.
Haga clic en Listo (Done).
e. Bajo Dominios de correo electrónico (Email Domains), haga clic en :plus:.
Ingrese el nombre de su dominio presente (por ejemplo, @verkada.com).
Haga clic en Listo (Done).
Haga clic en Ejecutar prueba de inicio de sesión (Run Login Test).
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración OIDC. Una vez que inicie sesión, agregue el dominio que necesita poner en la lista blanca.
Una vez que su dominio esté agregado, ejecute la prueba de inicio de sesión nuevamente. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete con éxito.
Una vez que su dominio esté verificado, debería verlo validado correctamente.
Integración SAML de Microsoft Entra ID
Dependiendo de su caso de uso, Verkada Command tiene la capacidad de integrarse con Microsoft Entra ID, entre otros Proveedores de Identidad [IdP], en las siguientes capacidades:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el lado de la autenticación permitiendo que Microsoft Entra ID se utilice para gestionar el acceso a Command, igual que cualquier otra aplicación de Software como Servicio (SaaS) que ya se integra en su tenant de Microsoft Entra ID. Esto significa que puede incorporar Command en su marco de identidad existente y autorizar usuarios basándose en sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite mantener el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes.
Configurar SAML en Microsoft Entra ID
Verkada Command está registrado como una aplicación de galería y se puede encontrar dentro del marketplace de Microsoft Entra ID; en otras palabras, puede aprovecharla con licencias Microsoft Entra ID Free, Microsoft Entra ID P1 y Microsoft Entra ID P2.
Para comenzar, necesita su client-ID. Aprenda cómo generarlo y configurar sus dominios de correo electrónico, luego regrese a este artículo para completar el resto de este proceso.
Agregue Verkada Command como una aplicación empresarial en su directorio de Microsoft Entra ID: Vaya a la página de resumen de Microsoft Entra ID y seleccione Aplicaciones empresariales (Enterprise applications).
En la parte superior de la página, seleccione Nueva aplicación y busque Verkada Command.
Seleccione Verkada Command y haga clic en Crear (Create). Tenga paciencia, ya que puede tardar unos minutos en agregar la aplicación a su Microsoft Entra ID tenant.
Una vez que la página se actualice, debería ver un menú similar (como se muestra a continuación).
En Configurar inicio de sesión único (Set up single sign-on), haga clic en Comenzar (Get started).
Elija SAML como el método de inicio de sesión único.
Si es necesario, haga clic en Editar para configurar más su conexión SAML.
Configure los siguientes campos. Debe agregar su client ID al final de cada URL antes de añadirlas a Microsoft Entra ID. Vea el ejemplo debajo de la nota.
a. Para Identificador (Identifier): Para organizaciones en EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones en la UE: https://saml.prod2.verkada.com/saml/ssoPara organizaciones en AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
b. Para URL de respuesta (Reply URL): Para organizaciones en EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones en la UE: https://saml.prod2.verkada.com/saml/sso Para organizaciones en AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
c. Para URL de inicio de sesión (Sign on URL): Para organizaciones en EE. UU.: https://vauth.command.verkada.com/saml/login Para organizaciones en la UE: https://saml.prod2.verkada.com/saml/login Para organizaciones en AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
Para confirmar en qué región se encuentra, consulte dónde su organización fue creada para Verkada.
Haga clic en Guardar (Save).
En Atributos y afirmaciones (Attributes & Claims), haga clic en Editar para ser consistente con estos atributos:
En Certificado de firma SAML (SAML Signing Certificate), importe este Federation Metadata XML en Command.
Haga clic en Descargar (Download) para guardarlo para más tarde.
Si utiliza atributos de origen diferentes para el correo electrónico, configure los atributos según el atributo de origen que desee utilizar.
Los siguientes cuadros de diálogo que aparecen contienen herramientas que puede usar después de que la integración se haya finalizado.
Cargue su Federation Metadata XML en Command
Después de completar los pasos en Microsoft Entra ID y descargar los metadatos, suba el archivo XML de metadatos en Command.
Probar la conexión SAML en Microsoft Entra ID
Una vez que el archivo esté subido, en su Microsoft Entra ID, haga clic en Probar (Test) para probar la integración. Se enviará una notificación a todos los usuarios que tengan una cuenta de Command (invitación a la org).
Inicie sesión con Iniciar sesión como el usuario actual (Sign in as current user). Si todo está configurado correctamente, debería ser redirigido a la plataforma Command.
Inicie sesión con inicio de sesión único para verificar el acceso a Command.
Microsoft Entra ID no admite grupos anidados para el acceso a aplicaciones en este momento. Todos los usuarios deben ser miembros directos de los grupos para la asignación.
Inicie sesión a través de la aplicación móvil
Android e iOS en Command admiten el inicio de sesión mediante SAML.
En el dirección de correo electrónico campo, ingrese su correo electrónico y haga clic en Siguiente (Next). Debería ser redirigido a su IdP (Microsoft Entra ID) para completar el proceso de inicio de sesión.
Integración SCIM de Microsoft Entra ID
Verkada Command se integra con Microsoft Entra ID usando System for Cross-Domain Identity Management (SCIM) para el aprovisionamiento automatizado de usuarios y grupos.
SCIM sincroniza usuarios y grupos desde Microsoft Entra ID directamente en Command. Esto le permite:
Mantener Microsoft Entra ID como su IdP central.
Actualizar automáticamente usuarios y grupos en Command a medida que ocurren cambios en Entra ID.
Asignar y gestionar permisos en Command usando su estructura de identidad existente.
Si su organización utiliza SCIM, los números de teléfono solo pueden ser aprovisionados a través de SCIM. No podrá editar su número de teléfono directamente en Command.
SCIM en la configuración de Microsoft Entra ID
Antes de configurar SCIM en Microsoft Entra ID, necesita generar su token secreto en Command.
En Verkada Command, ve a Todos los Productos > Admin.
Bajo Configuración de la org (Org Settings), seleccione Inicio de sesión, acceso y registros > Aprovisionamiento de usuarios SCIM (Login & Access & Logs > SCIM Users Provisioning).
Haga clic en Agregar dominio (Add Domain) e ingrese todos los dominios de correo electrónico relevantes que planea usar con SCIM.
Esto genera un token SCIM, que solo se muestra una vez.
a. Haga clic en Copie y guarde el token en un lugar seguro para usarlo más tarde en la configuración. b. Haga clic en Actualizar (Refresh) para generar un nuevo token si no copió su token o no es visible.
Desde la página principal de Microsoft Entra ID, seleccione Aplicaciones empresariales > Nueva aplicación > Crear su propia aplicación.
En el panel lateral Crear su propia aplicación, escriba el nombre de la aplicación, seleccione la aplicación no de galería y haga clic en Crear.
Bajo Provisión de cuentas de usuario (Provision User Accounts), haga clic en Comenzar (Get started).
Seleccione Administrar > Aprovisionamiento (Manage > Provisioning).
En la página de aprovisionamiento:
a. Establezca el Modo de aprovisionamiento en Automático. b. Establezca la URL del tenant como:
Para organizaciones en EE. UU.: https://api.command.verkada.com/scim
Para organizaciones en la UE: https://scim.prod2.verkada.com/scim
Para organizaciones en AUS: https://scim.prod-ap-syd.verkada.com/scim
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
f. Rellene el token SCIM generado en Verkada Command (paso 2) como el token secreto.
Haga clic en Probar conexión (Test Connection). Debería ver una confirmación de que la conexión SCIM fue exitosa.
Haga clic en Guardar (Save).
Configurar atributos para grupos de Microsoft Entra ID
En el portal Entra ID, haga clic para expandir el desplegable Mappings y seleccione Provision Microsoft Entra ID Groups.
Configure sus asignaciones para que coincidan con esta captura de pantalla de la tabla de datos:
El externalId atributo se añade por defecto. Elimine este atributo para evitar problemas con la configuración.
(Opcional) Si necesita agregar una asignación:
a. Haga clic en Agregar nueva asignación (Add New Mapping) > seleccione el Atributo de origen (Source attribute) para que coincida con el atributo de Microsoft Entra ID anterior. b. Establezca el Atributo de destino (Target attribute) para que coincida con el customappsso atributo anterior. c. Haga clic en Aceptar (OK).
Haga clic en Guardar y confirme los cambios, si es necesario.
En la parte superior de la página, seleccione Provisioning para volver a la página de Aprovisionamiento.
Configurar atributos para usuarios de Microsoft Entra ID
En el portal Entra ID, haga clic para expandir el desplegable Mappings, luego seleccione Provision Microsoft Entra ID Users para cambiar las asignaciones de usuarios.
Actualice sus asignaciones para que coincidan con la tabla de atributos a continuación.
El Cambie el atributo bajo Microsoft Entra ID Attribute para que se añada como un Expression tipo de asignación (mapping type).
Switch([IsSoftDeleted], , "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
Source Attribute es el Atributo de Microsoft Entra ID y Target Attribute es el Atributo customappsso. Si alguno de los customappsso atributos no está disponible como Atributo de destino (Target Attribute), es posible que deba agregarlos a su plataforma Microsoft Entra ID como una opción. Para hacerlo, marque la casilla Mostrar opciones avanzadas (Show advanced options) y haga clic en Editar lista de atributos para customappsso (Edit attribute list for customappsso).
Los usuarios administrados por SCIM ya no tienen la opción de editar su número de teléfono en Command; en su lugar, solo pueden ser aprovisionados vía SCIM. En el lado del IdP, puede configurar su mapeo de atributos de modo que cualquier campo en su instancia de IdP se asigne al campo de número de teléfono en Command. También puede configurarlo de forma que el no campo en el IdP se asigne al campo de número de teléfono campo en Command. Sin embargo, incluso en este caso, los números de teléfono siguen siendo un campo bloqueado en Command y solo pueden editarse a través de SCIM.
Haga clic en Guardar para confirmar los cambios.
En la parte superior, seleccione Provisioning y active el estado de Provisioning (Provisioning Status).
Dependiendo de los requisitos, ajuste el alcance a una de las opciones requeridas:
Sincronizar todos los usuarios y grupos.
Sincronizar solo usuarios y grupos asignados.
Asegúrese de que los usuarios y grupos estén asignados a la aplicación empresarial bajo Usuarios y grupos. Los que estén asignados son los que se aprovisionan y aparecen en Command.
Verifique que los usuarios estén asignados a la aplicación. Una vez que haya transcurrido el ciclo de aprovisionamiento inicial:
a. Debería ver el número total de usuarios y grupos que se han aprovisionado correctamente bajo Resumen (Overview). b. En Command, debería ver estos usuarios y grupos poblados con la etiqueta SCIM Managed Estas cuentas y grupos sincronizados ahora pueden ser usados en Command y asignarles permisos para controlar el acceso a la plataforma Command.
Eliminar usuarios gestionados por SCIM de Command
Cuando un usuario gestionado por SCIM se desactiva en su proveedor de identidad, puede eliminar al usuario de Command de dos maneras:
Eliminar el usuario – La cuenta se mueve a la página Usuarios eliminados (Deleted Users) pero mantiene registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Todos los roles, credenciales, registros de acceso y datos asociados se borran. Si el usuario se reprovisiona mediante SCIM, Command crea un nuevo registro de usuario.
Debe desactivar al usuario en su proveedor de identidad (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
(Opcional) Agregar credenciales de acceso a usuarios SCIM
Inicie sesión en su Portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales (Enterprise Applications).
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento (Manage > Provisioning).
Expanda el submenú Mappings y seleccione Provision Microsoft Entra ID Users.
En la parte inferior, haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
a. Agregue los atributos de la tabla a continuación. b. Haga clic en Guardar (Save).
Regrese a Provision Microsoft Entra ID Users y seleccione Agregar nueva asignación (Add New Mapping).
a. Use extensionAttributes 1-5 como Atributos de origen (Source Attributes) y mappéelos a los nuevos atributos que creamos usando Formato de tarjeta (Card Format), Número de tarjeta (Card Number), Número de tarjeta Hex (Card Number Hex), Estado de credencial (Credential Status), y Código de instalación (Facility Code) como los atributos de destino.
Referencia Formatos de tarjeta aceptables (Acceptable Card Formats) para formatos de tarjeta aceptados y sus longitudes asociadas de código de instalación, número de tarjeta y/o número de tarjeta en hexadecimal.
Estado de credencial (Credential Status) puede ser "active", "deactivated" o "deleted"
d. Haga clic en Guardar (Save).
Tabla de atributos (Attribute table)
Nombre (Name)
Tipo (Type)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
Cadena (String)
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Cadena (String)
Editar el Registro de la Aplicación (App Registration)
Cada Aplicación Empresarial habilitada para SCIM creada en Entra AD típicamente requiere su propio Registro de Aplicación.
En la barra de búsqueda, escriba y seleccione Registros de aplicaciones (App registrations).
Cambie a la pestaña Todas las aplicaciones (All Applications) y busque el nombre de su aplicación Verkada SCIM.
En Resumen (Overview), anote el ID de aplicación (client) y el ID de directorio (tenant) de su Registro de Aplicación. Los necesitará más tarde para configurar credenciales para su aplicación Command desde su registro de aplicación.
En la navegación izquierda, haga clic en Administrar (Manage).
a. Bajo Certificados y secretos (Certificates & secrets):
Haga clic en Nuevo secreto de cliente (New client secret).
Establezca la Descripción (Description) a "Credenciales SCIM de Verkada" y establezca la fecha de expiración del certificado que prefiera.
Copie y guarde el valor que se muestra en el Valor (Value) del nuevo Secreto de Cliente creado. Esto solo se mostrará una vez.
e. Bajo Permisos de API (API Permissions):
Haga clic en Agregar permisos > Microsoft Graph.
Seleccione Permisos de aplicación (Application Permissions) y busque "User.ReadWrite.All".
Marque la casilla para asignar los permisos.
Haga clic en Agregar permisos (Add Permissions).
Para evitar tener que revisar y aprobar manualmente todos los cambios de estado comunicados entre Azure Entra y su aplicación Command, seleccione Conceder consentimiento de administrador para el directorio predeterminado (Grant admin consent for Default Directory).
Consulte esta lista de credenciales para formatos de tarjeta aceptables (acceptable card formats).
Acceder y actualizar sus credenciales
Para establecer los atributos de extensión y la información de credenciales para un usuario en particular, use las instrucciones de la API Graph en: https://learn.microsoft.com/en-us/graph/extensibility-overview.
Establecer el credentialStatus atributo a active cuando configurar una credencial para un usuario es necesario para sincronizar correctamente las credenciales con Command. Donde el estado de la credencial (credentialStatus) es extensionAttribute4.
Ejemplo:
Sincronizar External ID con Verkada
El campo externalId le permite asignar un identificador persistente y globalmente único a sus usuarios a través de Microsoft Entra que Verkada puede referenciar en integraciones. Esto es especialmente útil en entornos empresariales grandes donde los usuarios pueden necesitar ser desambiguados entre sistemas, o donde la sincronización de credenciales (por ejemplo, tarjetas de acceso) debe estar ligada a una clave de identidad única. Verkada admite recibir y almacenar este valor como parte de su esquema de usuario SCIM. El campo distingue mayúsculas y minúsculas y normalmente se configura para aceptar un valor de tipo cadena desde un atributo designado en su instancia de Microsoft Entra. Esta característica soporta flujos de trabajo avanzados como la gestión personalizada de credenciales, la automatización del ciclo de vida de los empleados y el mapeo coherente de usuarios entre organizaciones.
Mapear externalId desde Azure a Verkada
Para sincronizar un valor externalId personalizado desde Microsoft Entra ID (Azure) a Verkada, siga estos pasos:
Inicie sesión en su portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales (Enterprise Applications).
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento (Manage > Provisioning).
Expanda el submenú Mappings y seleccione Provision Microsoft Entra ID Users.
Desplácese hasta la parte inferior y haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
Agregue el siguiente atributo nuevo:
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Tipo: Cadena (String)
Distinción entre mayúsculas y minúsculas: Sí
Haga clic en Guardar (Save).
Regrese a Provision Microsoft Entra ID Users y haga clic en Agregar nueva asignación (Add New Mapping).
Para Atributo de origen (Source Attribute), seleccione el campo de Azure AD donde se almacena su ID externo (por ejemplo, extensionAttribute1, employeeId, etc.).
Para Atributo de destino (Target Attribute), use: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Haga clic en Aceptar (OK) y luego en Guardar (Save).
Una vez aprovisionado, el valor external_id se almacenará en el registro SCIM del usuario dentro de Verkada. Esto proporciona a los usuarios un ID flexible y consultable por API que permanece único para su organización y totalmente bajo su control, sin estar ligado a los identificadores internos de Verkada ni expuesto en la interfaz de usuario.
¿Prefiere verlo en acción? Consulte el tutorial en vídeo.
Última actualización
¿Te fue útil?