# Microsoft Entra ID Dependiendo de su caso de uso, [Verkada Command](https://help.verkada.com/command/es/primeros-pasos/get-started-with-verkada-command) tiene la capacidad de integrarse con Microsoft Entra ID, entre otros proveedores de identidades \[IdP], en las siguientes capacidades: * Lenguaje de marcado de aserción de seguridad (SAML) * Sistema para la gestión de identidades entre dominios (SCIM) **SAML** se encarga de la parte de autenticación, lo que permite usar Microsoft Entra ID para gestionar el acceso a Command, del mismo modo que se usa para gestionar el acceso a otras aplicaciones de software como servicio (SaaS) ya integradas en su tenant de Microsoft Entra ID. Esto significa que puede incorporar Command a su marco de identidades existente y autorizar usuarios según sus políticas actuales. **SCIM** le permite aprovechar sus usuarios y grupos existentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite conservar el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes. {% hint style="info" %} Verkada recomienda OIDC en lugar de SAML para obtener mayor seguridad y una configuración más sencilla. OIDC también habilita [Cifrado controlado por la empresa](https://help.verkada.com/command/es/seguridad/enterprise-controlled-encryption). {% endhint %} *** {% tabs %} {% tab title="OIDC (Recomendado)" %} #### SSO basado en OIDC para Microsoft Entra ID Verkada Command admite inicio de sesión único (SSO) mediante OpenID Connect (OIDC) con Microsoft Entra ID. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura utilizando sus credenciales existentes de Microsoft Entra ID, lo que simplifica el acceso a Command y mejora la seguridad general. {% hint style="danger" %} OIDC no es compatible con las aplicaciones de Desk Station. {% endhint %} {% hint style="info" %} Habilite [Cifrado controlado por la empresa (ECE)](https://help.verkada.com/command/es/seguridad/enterprise-controlled-encryption) para una mayor seguridad. {% endhint %} *** **Configuración de Microsoft Entra ID** {% stepper %} {% step %} **Inicie sesión en su** [**portal de Microsoft Entra ID**](https://portal.azure.com)**.** {% endstep %} {% step %} **Busque y seleccione Registros de aplicaciones.** {% endstep %} {% step %} **Haga clic en Nuevo registro.** a. Asigne un nombre a la aplicación **Verkada SSO OIDC.**\ b. En **Tipos de cuentas admitidos,** seleccione **Cuentas en este directorio organizativo únicamente (solo este directorio: inquilino único).**\ c. En **URI de redirección**, seleccione **Aplicación de una sola página** (SPA) como plataforma y añada las siguientes URL de devolución de llamada: 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (reemplace org-short-name en la URI por el nombre corto de su organización de Command). {% hint style="warning" %} Verifique que no haya una barra diagonal final en la URI de devolución de llamada. {% endhint %} {% endstep %} {% step %} **Haga clic en Registrar.** {% endstep %} {% step %} **Copie y almacene su ID de aplicación (cliente) y su ID de directorio (inquilino) en un lugar seguro. Los necesitará para completar la configuración en Verkada Command.** {% endstep %} {% step %} **En el panel izquierdo, haga clic en Administrar > Exponer una API.** a. Haga clic en **Agregar un ámbito.**\ b. Haga clic en **Guardar y continuar**.\ c. Introduzca *verkada\_ece* en los siguientes campos: * Nombre del ámbito * Nombre para mostrar del consentimiento del administrador * Descripción del consentimiento del administrador * Nombre para mostrar del consentimiento del usuario * Descripción del consentimiento del usuario d. Establezca **¿Quién puede dar consentimiento?** en **Administradores y usuarios.**\ e. Haga clic en **Agregar ámbito.**

{% endstep %} {% endstepper %} *** **Configuración de Verkada Command** {% stepper %} {% step %} **En Verkada Command, vaya a Todos los productos > Admin.** {% endstep %} {% step %} **En la navegación izquierda, seleccione Inicio de sesión y acceso.** {% endstep %} {% step %} **Seleccione Configuración de inicio de sesión único.** {% endstep %} {% step %} **En Configuración de OIDC, haga clic en Agregar nuevo.** a. Active **Habilitar.**\ b. (Opcional) Active **Requerir SSO OIDC.**\ c. En **Seleccione Proveedor,** seleccione **Microsoft Entra ID.**\ d. En **Agregar cliente e inquilino,** haga clic en :plus:. 1. En el **campo ID de cliente,** pegue el ID de cliente que copió de Microsoft Entra ID. 2. En el **campo ID de inquilino** , pegue el ID de inquilino que copió de Microsoft Entra ID. 3. Haga clic en **Hecho**. e. En **Dominios de correo electrónico,** haga clic en :plus:**.** 1. Introduzca el nombre de su dominio presente (por ejemplo, @verkada.com). 2. Haga clic en **Hecho**.

{% endstep %} {% step %} **En la parte superior de la página, seleccione Nueva aplicación y busque Verkada Command.** {% endstep %} {% step %} **Seleccione Verkada Command y haga clic en Crear. *****Tenga paciencia, ya que puede tardar unos minutos en agregar la aplicación a su***** Microsoft Entra ID *****tenant*****.**

Una vez que se actualice la página, debería ver un menú similar (como se muestra a continuación). {% endstep %} {% step %} **En Configurar inicio de sesión único, haga clic en Comenzar.**

{% endstep %} {% step %} **Elija SAML como método de inicio de sesión único.**

{% endstep %} {% step %} **Si es necesario, haga clic en Editar para configurar más su conexión SAML.** {% endstep %} {% step %} **Configure los siguientes campos. Debe añadir su ID de cliente al final de cada URL antes de agregarlas a Microsoft Entra ID. Vea el ejemplo debajo de la nota.** a. Para **Identificador**:\ Para organizaciones de EE. UU.: \ Para organizaciones de la UE: Para organizaciones de AUS: b. Para **URL de respuesta**:\ Para organizaciones de EE. UU.: \ Para organizaciones de la UE: \ Para organizaciones de AUS: c. Para **URL de inicio de sesión**:\ Para organizaciones de EE. UU.: \ Para organizaciones de la UE: [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ Para organizaciones de AUS: {% hint style="warning" %} Para confirmar en qué región se encuentra, consulte dónde [se creó su organización para Verkada](https://help.verkada.com/command/es/primeros-pasos/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **Haga clic en Guardar.** {% endstep %} {% step %} **En Atributos y reclamaciones, haga clic en Editar para que coincida con estos atributos:**

{% hint style="warning" %} Si usa un atributo de origen diferente para el correo electrónico, configure los atributos según el atributo de origen que desee usar. {% endhint %} {% endstep %} {% step %} **En Certificado de firma SAML, importe este XML de metadatos de federación en Command.** {% endstep %} {% step %} **Haga clic en Descargar para guardarlo para más tarde.**

{% hint style="info" %} Los siguientes cuadros de diálogo que aparezcan contendrán herramientas que podrá usar después de finalizar la integración. {% endhint %} {% endstep %} {% step %} **Continúe en Verkada Command para** [**completar la configuración**](https://help.verkada.com/command/es/seguridad/identity-providers/..#command-sso-configuration)**.** {% endstep %} {% endstepper %} *** #### Probar la conexión SAML en Microsoft Entra ID {% stepper %} {% step %} **Una vez cargado el archivo, en su Microsoft Entra ID, haga clic en Probar para probar la integración. Se enviará una notificación a todos los usuarios que tengan una cuenta de Command (invitación a la organización).**

{% endstep %} {% step %} **Inicie sesión con Iniciar sesión como usuario actual. Si todo está configurado correctamente, debería ser redirigido a la plataforma Command.** {% endstep %} {% step %} **Inicie sesión con inicio de sesión único para verificar el acceso a Command.** {% endstep %} {% endstepper %} {% hint style="warning" %} Microsoft Entra ID no admite grupos anidados para el acceso a aplicaciones en este momento. Todos los usuarios deben ser miembros directos de los grupos para poder asignarse. {% endhint %} *** #### Iniciar sesión a través de la aplicación móvil {% hint style="info" %} Las aplicaciones Command para Android e iOS admiten inicio de sesión basado en SAML. {% endhint %} {% stepper %} {% step %} **Abra su aplicación Command.** {% endstep %} {% step %} **En el campo de dirección de correo electrónico, introduzca su correo y haga clic en Siguiente.** {% endstep %} {% step %} **Debería ser redirigido a su IdP (Microsoft Entra ID) para completar el proceso de inicio de sesión.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="Aprovisionamiento de usuarios" %} #### Integración SCIM de Microsoft Entra ID Verkada Command se integra con Microsoft Entra ID mediante System for Cross-Domain Identity Management (SCIM) para el aprovisionamiento automatizado de usuarios y grupos. SCIM sincroniza usuarios y grupos desde Microsoft Entra ID directamente en Command. Esto le permite: * Conservar Microsoft Entra ID como su IdP central. * Actualizar automáticamente usuarios y grupos en Command a medida que se producen cambios en Entra ID. * Asignar y gestionar permisos en Command utilizando su estructura de identidades existente. {% hint style="info" %} Si su organización usa SCIM, los números de teléfono solo pueden aprovisionarse mediante SCIM. No podrá editar su número de teléfono directamente en Command. {% endhint %} *** **Configuración de SCIM en Microsoft Entra ID** Antes de configurar SCIM en Microsoft Entra ID, debe generar su token secreto en Command. {% stepper %} {% step %} **En Verkada Command, vaya a Todos los productos > Admin.** {% endstep %} {% step %} **En Configuración de la organización, seleccione Inicio de sesión y acceso y registros > Aprovisionamiento de usuarios SCIM.** {% endstep %} {% step %} **Haga clic en Agregar dominio e introduzca todos los dominios de correo electrónico relevantes que planea usar con SCIM.** Esto genera un token SCIM, **que solo puede verse una vez.** a. Haga clic en **Copie** y almacene el token en un lugar seguro para usarlo más adelante en la configuración.\ b. Haga clic en [**Actualizar**](https://help.verkada.com/command/es/seguridad/identity-providers/scim-token-management) para generar un nuevo token si no lo copió o no es visible. {% endstep %} {% step %} **Desde la página principal de Microsoft Entra ID, seleccione Aplicaciones empresariales > Nueva aplicación > Crear su propia aplicación.** {% endstep %} {% step %} **En el panel lateral Crear su propia aplicación, escriba el nombre de la aplicación, seleccione la aplicación que no sea de galería y haga clic en Crear.**

{% endstep %} {% step %} **En Aprovisionar cuentas de usuario, haga clic en Comenzar.**

{% endstep %} {% step %} **Seleccione Administrar > Aprovisionamiento.** {% endstep %} {% step %} **En la página de aprovisionamiento:** a. Establezca el modo de aprovisionamiento en Automático.\ b. Establezca la URL del inquilino como: * Para organizaciones de EE. UU.: * Para organizaciones de la UE: * Para organizaciones de AUS: {% hint style="warning" %} Para confirmar en qué región se encuentra, [consulte dónde se creó su organización para Verkada](https://help.verkada.com/command/es/primeros-pasos/get-started-with-verkada-command). {% endhint %} f. Complete el *token* SCIM generado en Verkada Command (paso 2) como token secreto.

{% endstep %} {% step %} **Haga clic en Probar conexión. Debería ver una confirmación de que la conexión SCIM fue exitosa.**

{% endstep %} {% step %} **Haga clic en Guardar.** {% endstep %} {% endstepper %} *** **Configurar atributos para grupos de Microsoft Entra ID** {% stepper %} {% step %} **En el portal de Entra ID, haga clic para expandir el menú desplegable Asignaciones y seleccione Aprovisionar grupos de Microsoft Entra ID.**

{% endstep %} {% step %} **Configure sus asignaciones para que coincidan con esta captura de pantalla de la tabla de datos:**

{% hint style="warning" %} El atributo **externalId** se agrega de forma predeterminada. Elimine este atributo para evitar problemas con la configuración. {% endhint %} {% endstep %} {% step %} **(Opcional) Si necesita agregar una asignación:** a. Haga clic en **Agregar nueva asignación** > seleccione el **atributo de origen** para que coincida con el atributo de Microsoft Entra ID anterior.\ b. Establezca el **atributo de destino** para que coincida con el atributo **customappsso** anterior.\ c. Haga clic en **Aceptar**. {% endstep %} {% step %} **Haga clic en Guardar y confirme los cambios, si es necesario.** {% endstep %} {% step %} **En la parte superior de la página, seleccione Aprovisionamiento para volver a la página de Aprovisionamiento.** {% endstep %} {% endstepper %} *** **Configurar atributos para usuarios de Microsoft Entra ID** {% stepper %} {% step %} **En el portal de Entra ID, haga clic para expandir el menú desplegable Asignaciones y luego seleccione Aprovisionar usuarios de Microsoft Entra ID para cambiar las asignaciones de usuarios.** {% endstep %} {% step %} **Actualice sus asignaciones para que coincidan con la tabla de atributos a continuación.** {% hint style="warning" %} El atributo **Cambie** el atributo bajo Atributo de Microsoft Entra ID se agrega como un tipo de asignación **Expresión** . {% endhint %} Switch(\[IsSoftDeleted], "False", "True", "True", "False") | Atributo customappsso | Atributo de Microsoft Entra ID | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | active | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} El atributo Source Attribute es el Atributo de Microsoft Entra ID, y Target Attribute es el atributo customappsso. Si alguno de los **customappsso** atributos no está disponible como atributo de destino, es posible que deba agregarlos a su plataforma Microsoft Entra ID como opciones. Para hacerlo, marque la casilla **Mostrar opciones avanzadas** y haga clic en **Editar lista de atributos para customappsso**. {% endhint %} {% hint style="warning" %} Los usuarios administrados por SCIM ya no tienen la opción de editar su número de teléfono en Command; en su lugar, solo pueden aprovisionarse mediante SCIM. En el lado del IdP, puede configurar su asignación de atributos de modo que cualquier campo de su instancia de IdP se asigne al **campo número de teléfono** en Command. También puede configurarlo de manera que el **campo** no **campo número de teléfono** en el IdP se asigne al campo en Command. Sin embargo, incluso en este caso, los números de teléfono permanecen bloqueados en Command y solo pueden editarse mediante SCIM. {% endhint %} {% endstep %} {% step %} **Haga clic en Guardar para confirmar los cambios.** {% endstep %} {% step %} **En la parte superior, seleccione Aprovisionamiento y active Estado de aprovisionamiento.**

{% endstep %} {% step %} **Según los requisitos, ajuste el alcance a una de las opciones requeridas:** * Sincronizar todos los usuarios y grupos. * Sincronizar solo los usuarios y grupos asignados. {% hint style="warning" %} Asegúrese de que los usuarios y grupos estén asignados a la aplicación empresarial en Usuarios y grupos. Los asignados son los que se aprovisionan y están presentes en Command. {% endhint %} {% endstep %} {% step %} **Verifique que los usuarios estén asignados a la aplicación. Una vez transcurrido el ciclo inicial de aprovisionamiento:** a. Debería ver el número total de usuarios y grupos que se han aprovisionado correctamente en **Resumen**.\ b. En Command, debería ver estos usuarios y grupos rellenados con la etiqueta **Gestionado por SCIM** . Ahora estos usuarios y grupos sincronizados pueden usarse en Command y asignarse permisos para controlar el acceso a la plataforma Command.

{% endstep %} {% endstepper %} **Eliminar usuarios administrados por SCIM de Command** Cuando un usuario administrado por SCIM se desactiva en su proveedor de identidades, puede eliminar al usuario de Command de dos maneras: * **Eliminar al usuario** – La cuenta se mueve a la página de Usuarios eliminados, pero conserva los registros históricos, roles y permisos. * **Eliminar permanentemente al usuario** – Todos los roles, credenciales, registros de acceso y datos asociados se borran. Si el usuario se vuelve a aprovisionar mediante SCIM, Command crea un nuevo registro de usuario. {% hint style="warning" %} Debe desactivar al usuario en su proveedor de identidades (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command. {% endhint %} *** **(Opcional) Agregar credenciales de acceso a usuarios SCIM** {% stepper %} {% step %} **Inicie sesión en su** [**portal de Azure**](https://portal.azure.com)**.** {% endstep %} {% step %} **En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales.** {% endstep %} {% step %} **Seleccione su aplicación Verkada SCIM.** {% endstep %} {% step %} **En el panel izquierdo, haga clic en Administrar > Aprovisionamiento.** {% endstep %} {% step %} **Expanda el submenú Asignaciones y seleccione Aprovisionar usuarios de Microsoft Entra ID.** {% endstep %} {% step %} **En la parte inferior, haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.** a. Agregue los atributos de la tabla a continuación.\ b. Haga clic en **Guardar**. {% endstep %} {% step %} **Vuelva a Aprovisionar usuarios de Microsoft Entra ID y seleccione Agregar nueva asignación.** a. Use extensionAttributes 1-5 como **Atributos de origen** y asígnelos a los nuevos atributos creados para **Formato de tarjeta, Número de tarjeta, Número de tarjeta hex, Estado de la credencial,** y **Código de instalación** como atributos de destino. 1. Referencia [Formatos de tarjeta aceptables](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats) para los formatos de tarjeta aceptados y sus longitudes asociadas de código de instalación, número de tarjeta y/o número de tarjeta hex. 2. **El estado de la credencial** puede ser "active", "deactivated" o "deleted" 3. Haga clic en **Guardar**. b. Para sincronizar un identificador de departamento, agregue una nueva asignación con el atributo de origen que desee (por ejemplo, department o un atributo de extensión personalizado) y establezca el atributo de destino en costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Esto sincroniza un valor de ID de departamento con Command. {% endstep %} {% endstepper %} **Tabla de atributos** | | | | ------------------------------------------------------------------------------- | -------- | | **Nombre** | **Tipo** | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat | Cadena | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber | Cadena | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex | Cadena | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus | Cadena | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode | Cadena | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | Cadena | **Editar el registro de la aplicación** Cada aplicación empresarial con SCIM habilitado creada en Entra AD normalmente requiere su propio registro de aplicación. {% stepper %} {% step %} **En la barra de búsqueda, escriba y seleccione Registros de aplicaciones.** {% endstep %} {% step %} **Cambie a la pestaña Todas las aplicaciones y busque el nombre de su aplicación Verkada SCIM.** {% endstep %} {% step %} **En Resumen, anote el ID de aplicación (cliente) y el ID de directorio (inquilino) de su registro de aplicación. Los necesitará más adelante para configurar las credenciales de su aplicación Command desde su registro de aplicación.** {% endstep %} {% step %} **En la navegación izquierda, haga clic en Administrar.** a. En **Certificados y secretos:** 1. Haga clic en **Nuevo secreto de cliente**. 2. Establezca la **Descripción** en "*Credenciales SCIM de Verkada"* y establezca la fecha de expiración de certificado que prefiera. 3. Copie y almacene el valor que se muestra en **Valor** del nuevo secreto de cliente creado. **Solo se mostrará una vez.** e. En **Permisos de API**: 1. Haga clic en **Agregar permisos > Microsoft Graph.** 2. Seleccione **Permisos de aplicación** y busque "*User.ReadWrite.All*". 1. Marque la casilla para asignar los permisos. 2. Haga clic en **Agregar permisos**.

3. Para evitar tener que revisar y aprobar manualmente todos los cambios por etapas comunicados entre Microsoft Entra ID y su aplicación Command, seleccione **Conceder consentimiento de administrador para el directorio predeterminado**.

{% endstep %} {% endstepper %} {% hint style="warning" %} Consulte esta lista de credenciales para [formatos de tarjeta aceptables](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats). {% endhint %} **Acceder y actualizar sus credenciales** Para establecer los atributos de extensión y la información de credenciales para un usuario concreto, use las instrucciones de Graph API en: . {% hint style="warning" %} Establecer el atributo **credentialStatus** en **active** al configurar una credencial para un usuario es necesario para sincronizar correctamente las credenciales con Command. Donde el estado de la credencial (credentialStatus) es extensionAttribute4. {% endhint %} Ejemplo: ``` curl --location --request PATCH 'https://graph.microsoft.com/v1.0/users/' \\ --header 'Authorization: Bearer ' \\ --header 'Content-Type: application/json' \\ --data '{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Standard 26-bit Wiegand", "extensionAttribute2": "7777", "extensionAttribute3": "7", "extensionAttribute4": "active", "extensionAttribute5": "111" } }' ``` *** **Sincronizar External ID con Verkada** El campo externalId le permite asignar un identificador persistente y único a nivel global a sus usuarios a través de Microsoft Entra, que Verkada puede referenciar en todas las integraciones. Esto es especialmente útil en entornos empresariales grandes donde puede ser necesario desambiguar usuarios entre sistemas, o donde la sincronización de credenciales (por ejemplo, tarjetas de acceso) debe vincularse a una clave de identidad única. Verkada admite recibir y almacenar este valor como parte de su esquema de usuario SCIM. El campo distingue entre mayúsculas y minúsculas y normalmente se configura para aceptar un valor de tipo cadena desde un atributo designado en su instancia de Microsoft Entra. Esta función admite flujos de trabajo avanzados como la gestión personalizada de credenciales, la automatización del ciclo de vida de los empleados y la asignación coherente de usuarios entre organizaciones. **Asignar externalId desde Azure a Verkada** Para sincronizar un valor externalId personalizado de Microsoft Entra ID (Azure) a Verkada, siga estos pasos: {% stepper %} {% step %} **Inicie sesión en su portal de Azure.** {% endstep %} {% step %} **En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales.** {% endstep %} {% step %} **Seleccione su aplicación Verkada SCIM.** {% endstep %} {% step %} **En el panel izquierdo, haga clic en Administrar > Aprovisionamiento.** {% endstep %} {% step %} **Expanda el submenú Asignaciones y seleccione Aprovisionar usuarios de Microsoft Entra ID.** {% endstep %} {% step %} **Desplácese hasta la parte inferior y haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.** {% endstep %} {% step %} **Agregue el siguiente atributo nuevo:** `urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId` * Tipo: Cadena * Con distinción entre mayúsculas y minúsculas: Sí {% endstep %} {% step %} **Haga clic en Guardar.** {% endstep %} {% step %} **Vuelva a Aprovisionar usuarios de Microsoft Entra ID y haga clic en Agregar nueva asignación.** {% endstep %} {% step %} **Para Atributo de origen, seleccione el campo de Azure AD donde se almacena su ID externo (por ejemplo, extensionAttribute1, employeeId, etc.).** {% endstep %} {% step %} **Para Atributo de destino, use: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId** {% endstep %} {% step %} **Haga clic en Aceptar y luego en Guardar.** {% endstep %} {% endstepper %} Una vez aprovisionado, el valor external\_id se almacenará en el registro SCIM del usuario dentro de Verkada. Esto proporciona a los usuarios un ID flexible, consultable mediante API, que sigue siendo único para su organización y está totalmente bajo su control, sin estar vinculado a los identificadores internos de Verkada ni expuesto en la interfaz de usuario. ![](https://2387489060-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-ad87e0166a1792938d4c35d10f1172332fbfa36e%2Fa1cab99d0a59e02d8322c174969b568cb1519438.png?alt=media) {% hint style="info" %} **¿Prefiere verlo en acción?** Consulte el [tutorial en video](https://www.youtube.com/watch?v=YSMzqFwWlW4). {% endhint %} {% endtab %} {% endtabs %} {% tabs %} {% tab title="OIDC (Recomendado)" %} #### SSO basado en OIDC para Azure Entra Verkada Command admite inicio de sesión único (SSO) mediante OpenID Connect (OIDC) con Azure Entra. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura utilizando sus credenciales existentes de Azure Entra, lo que simplifica el acceso a Command y mejora la seguridad general. {% hint style="danger" %} OIDC no es compatible con las aplicaciones de Desk Station. {% endhint %} {% hint style="info" %} Habilite [Cifrado controlado por la empresa (ECE)](https://help.verkada.com/command/es/seguridad/enterprise-controlled-encryption) para una mayor seguridad. {% endhint %} *** **Configuración de Azure Entra** {% stepper %} {% step %} **Inicie sesión en su** [**portal de Azure Entra**](https://portal.azure.com)**.** {% endstep %} {% step %} **Busque y seleccione Registros de aplicaciones.** {% endstep %} {% step %} **Haga clic en Nuevo registro.** a. Asigne un nombre a la aplicación **Verkada SSO OIDC.**\ b. En **Tipos de cuentas admitidos,** seleccione **Cuentas en este directorio organizativo únicamente (solo este directorio: inquilino único).**\ c. En **URI de redirección**, seleccione **Aplicación de una sola página** (SPA) como plataforma y añada las siguientes URL de devolución de llamada: 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (reemplace org-short-name en la URI por el nombre corto de su organización de Command). {% hint style="warning" %} Verifique que no haya una barra diagonal final en la URI de devolución de llamada. {% endhint %} {% endstep %} {% step %} **Haga clic en Registrar.** {% endstep %} {% step %} **Copie y almacene su ID de aplicación (cliente) y su ID de directorio (inquilino) en un lugar seguro. Los necesitará para completar la configuración en Verkada Command.** {% endstep %} {% step %} **En el panel izquierdo, haga clic en Administrar > Exponer una API.** a. Haga clic en **Agregar un ámbito.**\ b. Haga clic en **Guardar y continuar**.\ c. Introduzca *verkada\_ece* en los siguientes campos: * Nombre del ámbito * Nombre para mostrar del consentimiento del administrador * Descripción del consentimiento del administrador * Nombre para mostrar del consentimiento del usuario * Descripción del consentimiento del usuario d. Establezca **¿Quién puede dar consentimiento?** en **Administradores y usuarios.**\ e. Haga clic en **Agregar ámbito.**

{% endstep %} {% endstepper %} *** **Configuración de Verkada Command** {% stepper %} {% step %} **En Verkada Command, vaya a Todos los productos > Admin.** {% endstep %} {% step %} **En la navegación izquierda, seleccione Inicio de sesión y acceso.** {% endstep %} {% step %} **Seleccione Configuración de inicio de sesión único.** {% endstep %} {% step %} **En Configuración de OIDC, haga clic en Agregar nuevo.** a. Active **Habilitar.**\ b. (Opcional) Active **Requerir SSO OIDC.**\ c. En **Seleccione Proveedor,** seleccione **Azure Entra.**\ d. En **Agregar cliente e inquilino,** haga clic en :plus:. 1. En el **campo ID de cliente,** campo, pegue el ID de cliente que copió de Azure Entra. 2. En el **campo ID de inquilino** campo, pegue el ID de inquilino que copió de Azure Entra. 3. Haga clic en **Hecho**. e. En **Dominios de correo electrónico,** haga clic en :plus:**.** 1. Introduzca el nombre de su dominio presente (por ejemplo, @verkada.com). 2. Haga clic en **Hecho**.

{% endstep %} {% step %} **Haga clic en Ejecutar prueba de inicio de sesión.** {% endstep %} {% step %} **Una prueba de inicio de sesión correcta debe redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, añada el dominio que necesita incluir en la lista blanca.** {% endstep %} {% step %} **Una vez añadido su dominio, vuelva a ejecutar la prueba de inicio de sesión. El SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.** {% endstep %} {% step %} **Una vez verificado su dominio, debería ver que se valida correctamente.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="SAML" %} ### Integración SAML de Microsoft Entra ID Dependiendo de su caso de uso, [Verkada Command](https://help.verkada.com/command/es/primeros-pasos/get-started-with-verkada-command) tiene la capacidad de integrarse con Microsoft Entra ID, entre otros proveedores de identidad \[IdP], en las siguientes capacidades: * Lenguaje de marcado de aserción de seguridad (SAML) * Sistema para la gestión de identidades entre dominios (SCIM) **SAML** se encarga de la parte de autenticación, lo que permite usar Microsoft Entra ID para gestionar el acceso a Command, del mismo modo que cualquier otra aplicación de software como servicio (SaaS) ya integrada en su tenant de Microsoft Entra ID. Esto significa que puede incorporar Command a su marco de identidades existente y autorizar a los usuarios según sus políticas actuales. **SCIM** le permite aprovechar sus usuarios y grupos existentes ya presentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite conservar el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes. *** #### Configurar SAML en Microsoft Entra ID Verkada Command está registrado como una aplicación de galería y se puede encontrar en el mercado de Microsoft Entra ID; en otras palabras, puede aprovecharlo con licencias Microsoft Entra ID Free, Microsoft Entra ID P1 y Microsoft Entra ID P2. {% hint style="danger" %} Para comenzar, necesita su `client-ID`. Aprenda a [generarlo y configurar sus dominios de correo electrónico](https://help.verkada.com/command/es/seguridad/identity-providers/..#generate-client-id)y, luego, vuelva a este artículo para completar el resto de este proceso. {% endhint %} {% stepper %} {% step %} **Agregue Verkada Command como una aplicación empresarial en su directorio de Microsoft Entra ID: vaya a la página de resumen de Microsoft Entra ID y seleccione Aplicaciones empresariales.**

Una vez que se actualice la página, debería ver un menú similar (como se muestra a continuación). {% endstep %} {% step %} **En Configurar inicio de sesión único, haga clic en Comenzar.**

{% endstep %} {% step %} **Elija SAML como método de inicio de sesión único.**

{% endstep %} {% step %} **Si es necesario, haga clic en Editar para configurar más su conexión SAML.** {% endstep %} {% step %} **Configure los siguientes campos. Debe añadir su ID de cliente al final de cada URL antes de agregarlas a Microsoft Entra ID. Vea el ejemplo debajo de la nota.** a. Para **Identificador**:\ Para organizaciones de EE. UU.: \ Para organizaciones de la UE: \ Para organizaciones de AUS: b. Para **URL de respuesta**:\ Para organizaciones de EE. UU.: \ Para organizaciones de la UE: \ Para organizaciones de AUS: c. Para **URL de inicio de sesión**:\ Para organizaciones de EE. UU.: \ Para organizaciones de la UE: [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ Para organizaciones de AUS: {% hint style="warning" %} Para confirmar en qué región se encuentra, consulte dónde [se creó su organización para Verkada](https://help.verkada.com/command/es/primeros-pasos/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **Haga clic en Guardar.** {% endstep %} {% step %} **En Atributos y reclamaciones, haga clic en Editar para que coincida con estos atributos:**

{% endstep %} {% step %} **En Aprovisionar cuentas de usuario, haga clic en Comenzar.**

{% endstep %} {% step %} **Haga clic en Probar conexión. Debería ver una confirmación de que la conexión SCIM fue exitosa.**

{% endstep %} {% step %} **Configure sus asignaciones para que coincidan con esta captura de pantalla de la tabla de datos:**

{% hint style="warning" %} El atributo **externalId** se agrega de forma predeterminada. Elimine este atributo para evitar problemas con la configuración. {% endhint %} {% endstep %} {% step %} **(Opcional) Si necesita agregar una asignación:** a. Haga clic en **Agregar nueva asignación** > seleccione el **atributo de origen** para que coincida con el atributo de Microsoft Entra ID anterior.\ b. Establezca el **atributo de destino** para que coincida con el atributo **customappsso** anterior.\ c. Haga clic en **Aceptar**. {% endstep %} {% step %} **Haga clic en Guardar y confirme los cambios, si es necesario.** {% endstep %} {% step %} **En la parte superior de la página, seleccione Aprovisionamiento para volver a la página de Aprovisionamiento.** {% endstep %} {% endstepper %} *** **Configurar atributos para usuarios de Microsoft Entra ID** {% stepper %} {% step %} **En el portal de Entra ID, haga clic para expandir el menú desplegable Asignaciones y luego seleccione Aprovisionar usuarios de Microsoft Entra ID para cambiar las asignaciones de usuarios.** {% endstep %} {% step %} **Actualice sus asignaciones para que coincidan con la tabla de atributos a continuación.** {% hint style="warning" %} El atributo **Cambie** el atributo bajo Atributo de Microsoft Entra ID se agrega como un tipo de asignación **Expresión** . {% endhint %} Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | Atributo customappsso | Atributo de Microsoft Entra ID | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | active | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} El Atributo de origen es el Atributo de Microsoft Entra ID y el Atributo de destino es el atributo customerappsso. Si alguno de los **customappsso** atributos no está disponible como **Atributo de destino**, es posible que deba agregarlos a su plataforma Microsoft Entra ID como una opción. Para hacerlo, marque la **Mostrar opciones avanzadas** y haga clic en **Editar lista de atributos para customappsso**. {% endhint %} {% hint style="warning" %} Los usuarios administrados por SCIM ya no tienen la opción de editar su número de teléfono en Command; en su lugar, solo pueden aprovisionarse mediante SCIM. En el lado del IdP, puede configurar su asignación de atributos de modo que cualquier campo de su instancia de IdP se asigne al **campo número de teléfono** en Command. También puede configurarlo de manera que el **campo** no **campo número de teléfono** campo en Command. Sin embargo, incluso en este caso, los números de teléfono siguen siendo un **bloqueado** campo en Command y solo pueden editarse mediante SCIM. {% endhint %} {% endstep %} {% step %} **Haga clic en Guardar para confirmar los cambios.** {% endstep %} {% step %} **En la parte superior, seleccione Aprovisionamiento y active Estado de aprovisionamiento.**

3. Para evitar tener que revisar y aprobar manualmente todos los cambios por etapas comunicados entre Azure Entra y su aplicación Command, seleccione **Conceder consentimiento de administrador para el directorio predeterminado**.