Microsoft Entra ID
Configura SSO y el aprovisionamiento de usuarios con Microsoft Entra ID (Azure AD)
Dependiendo de su caso de uso, Verkada Command tiene la capacidad de integrarse con Microsoft Entra ID, entre otros Proveedores de Identidad [IdP], en las siguientes capacidades:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el aspecto de autenticación permitiendo que Microsoft Entra ID se utilice para gestionar el acceso a Command, de la misma manera que cualquier otra aplicación de Software como Servicio (SaaS) ya integrada en su inquilino de Microsoft Entra ID. Esto significa que puede incorporar Command en su marco de identidades existente y autorizar usuarios según sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite conservar el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes.
Verkada recomienda OIDC sobre SAML para una mayor seguridad y una configuración más sencilla. OIDC también habilita Enterprise Controlled Encryption.
SSO basado en OIDC para Azure Entra
Verkada Command admite Inicio de Sesión Único (SSO) mediante OpenID Connect (OIDC) con Azure Entra. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales de Azure Entra existentes, agilizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la aplicación Pass ni con las aplicaciones Desk Station.
Habilitar Enterprise Controlled Encryption (ECE) para mayor seguridad.
Configuración de Azure Entra
Inicie sesión en su portal de Azure Entra.
Busque y seleccione Registros de aplicaciones.
Haga clic en Nuevo registro.
a. Nombre la aplicación Verkada SSO OIDC. b. En Tipos de cuentas admitidos, seleccione Cuentas solo en este directorio organizacional (solo - inquilino único). c. En URI de redirección, seleccione Aplicación de una sola página (SPA) como la plataforma y agregue las siguientes URL de callback:
https://org-short-name.command.verkada.com/oidc/aad/callback (reemplazar org-short-name en la URI con el nombre corto de su organización en Command).
Verifique que no haya una barra diagonal final en la URI de callback.
Haga clic en Registrar.
Copie y guarde su ID de Aplicación (Cliente) y su ID de Directorio (Inquilino) en un lugar seguro. Los necesitará para completar la configuración en Verkada Command.
En la izquierda, haga clic en Administrar > Exponer una API.
a. Haga clic en Agregar un ámbito. b. Haga clic en Guardar y continuar. c. Ingrese verkada_ece para los siguientes campos:
Nombre del alcance
Nombre para mostrar del consentimiento de administrador
Descripción del consentimiento de administrador
Nombre para mostrar del consentimiento del usuario
Descripción del consentimiento del usuario
d. Establezca ¿Quién puede otorgar consentimiento? a Administradores y usuarios. e. Haga clic en Agregar ámbito.
Configuración de Verkada Command
En Verkada Command, vaya a Todos los Productos > Admin.
En la navegación izquierda, seleccione Inicio de sesión y acceso.
Seleccione Configuración de Inicio de Sesión Único.
En Configuración OIDC, haga clic en Agregar nuevo.
a. Active el interruptor Habilitar. b. (Opcional) Active el interruptor Requerir SSO OIDC. c. En Seleccione Proveedor, seleccione Azure Entra. d. En Agregar Cliente e Inquilino, haga clic en :plus:.
En el ID de cliente campo, pegue el ID de cliente que copió de Azure Entra.
En el ID de inquilino campo, pegue el ID de inquilino que copió de Azure Entra.
Haga clic en Listo.
e. En Dominios de correo electrónico, haga clic en :plus:.
Ingrese el nombre de dominio que tenga (por ejemplo, @verkada.com).
Haga clic en Listo.
Haga clic en Ejecutar prueba de inicio de sesión.
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita poner en la lista blanca.
Una vez que su dominio se agregue, ejecute la prueba de inicio de sesión nuevamente. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete con éxito.
Una vez que su dominio esté verificado, debería verlo validado con éxito.
Integración SAML con Microsoft Entra ID
Dependiendo de su caso de uso, Verkada Command tiene la capacidad de integrarse con Microsoft Entra ID, entre otros Proveedores de Identidad [IdP], en las siguientes capacidades:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el aspecto de autenticación permitiendo que Microsoft Entra ID se utilice para gestionar el acceso a Command, de la misma manera que cualquier otra aplicación de Software como Servicio (SaaS) ya integrada en su inquilino de Microsoft Entra ID. Esto significa que puede incorporar Command en su marco de identidades existente y autorizar usuarios según sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Microsoft Entra ID y sincronizarlos con Command. Esto le permite conservar el IdP central actual y configurar permisos en Command usando sus usuarios y grupos existentes.
Configurar SAML en Microsoft Entra ID
Verkada Command está registrado como una aplicación de galería y se puede encontrar en el mercado de Microsoft Entra ID; en otras palabras, puede aprovecharla con licencias Microsoft Entra ID Free, Microsoft Entra ID P1 y Microsoft Entra ID P2.
Para comenzar, necesita su ID de cliente. Aprenda a generarla y configurar sus dominios de correo electrónico, luego vuelva a este artículo para completar el resto de este proceso.
Agregue Verkada Command como una aplicación empresarial en su directorio de Microsoft Entra ID: Vaya a la página de descripción general de Microsoft Entra ID y seleccione Aplicaciones empresariales.
En la parte superior de la página, seleccione Nueva aplicación y busque Verkada Command.
Seleccione Verkada Command y haga clic en Crear. Tenga paciencia, ya que puede tardar unos minutos en agregar la aplicación a su Microsoft Entra ID inquilino.
Una vez que la página se actualice, debería ver un menú similar (como se muestra a continuación).
En Configurar inicio de sesión único, haga clic en Comenzar.
Elija SAML como método de inicio de sesión único.
Si es necesario, haga clic en Editar para configurar más su conexión SAML.
Configure los siguientes campos. Debe agregar su ID de cliente al final de cada URL antes de agregarlas a Microsoft Entra ID. Vea el ejemplo debajo de la nota.
a. Para Identificador: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/ssoPara organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
b. Para URL de respuesta: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/sso Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
c. Para URL de inicio de sesión: Para organizaciones de EE. UU.: https://vauth.command.verkada.com/saml/login Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso
Para confirmar en qué región se encuentra, consulte dónde su organización fue creada para Verkada.
Haga clic en Guardar.
En Atributos y reclamaciones, haga clic en Editar para ser coherente con estos atributos:
Si utiliza un atributo de origen diferente para el correo electrónico, configure los atributos de acuerdo con el atributo de origen que desee usar.
En Certificado de firma SAML, importe este XML de metadatos de federación en Command.
Haga clic en Descargar para guardar para más tarde.
Los siguientes cuadros de diálogo que aparezcan contendrán herramientas que puede usar después de que la integración esté finalizada.
Continúe en Verkada Command para completar la configuración.
Probar la conexión SAML en Microsoft Entra ID
Una vez que se cargue el archivo, en su Microsoft Entra ID, haga clic en Probar para probar la integración. Se enviará una notificación a todos los usuarios que tengan una cuenta en Command (invitación a la organización).
Inicie sesión con Iniciar sesión como usuario actual. Si todo está configurado correctamente, debería ser redirigido a la plataforma Command.
Inicie sesión con inicio de sesión único para verificar el acceso a Command.
Microsoft Entra ID no admite grupos anidados para el acceso a aplicaciones en este momento. Todos los usuarios deben ser miembros directos de los grupos para ser asignados.
Inicie sesión a través de la aplicación móvil
Las aplicaciones Command para Android e iOS admiten el inicio de sesión basado en SAML.
Abra su aplicación Command.
En el campo de dirección de correo electrónico, ingrese su correo electrónico y haga clic en Siguiente.
Debería ser redirigido a su IdP (Microsoft Entra ID) para completar el proceso de inicio de sesión.
Integración SCIM con Microsoft Entra ID
Verkada Command se integra con Microsoft Entra ID utilizando System for Cross-Domain Identity Management (SCIM) para el aprovisionamiento automatizado de usuarios y grupos.
SCIM sincroniza usuarios y grupos desde Microsoft Entra ID directamente en Command. Esto le permite:
Conservar Microsoft Entra ID como su IdP central.
Actualizar automáticamente usuarios y grupos en Command a medida que se producen cambios en Entra ID.
Asignar y gestionar permisos en Command usando su estructura de identidades existente.
Si su organización utiliza SCIM, los números de teléfono solo pueden aprovisionarse a través de SCIM. No podrá editar su número de teléfono directamente en Command.
SCIM en la configuración de Microsoft Entra ID
Antes de configurar SCIM en Microsoft Entra ID, debe generar su token secreto en Command.
En Verkada Command, vaya a Todos los Productos > Admin.
En Configuración de la organización, seleccione Inicio de sesión, Acceso y Registros > Aprovisionamiento de usuarios SCIM.
Haga clic en Agregar dominio e ingrese todos los dominios de correo relevantes que planee usar con SCIM.
Esto genera un token SCIM, que solo se puede ver una vez.
a. Haga clic en Copie y guarde el token en un lugar seguro para usarlo más adelante en la configuración. b. Haga clic en Actualizar para generar un nuevo token si no copió su token o no es visible.
Desde la página principal de Microsoft Entra ID, seleccione Aplicaciones empresariales > Nueva aplicación > Cree su propia aplicación.
En el panel lateral Crear su propia aplicación, escriba el nombre de la aplicación, seleccione la aplicación no perteneciente a la galería y haga clic en Crear.
En Aprovisionar cuentas de usuario, haga clic en Comenzar.
Seleccione Administrar > Aprovisionamiento.
En la página de aprovisionamiento:
a. Establezca el Modo de aprovisionamiento en Automático. b. Establezca la URL del inquilino como:
Para organizaciones de EE. UU.: https://api.command.verkada.com/scim
Para organizaciones de la UE: https://scim.prod2.verkada.com/scim
Para organizaciones de AUS: https://scim.prod-ap-syd.verkada.com/scim
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
f. Rellene el token SCIM generado en Verkada Command (paso 2) como el token secreto.
Haga clic en Probar conexión. Debería ver una confirmación de que la conexión SCIM fue exitosa.
Haga clic en Guardar.
Configurar atributos para grupos de Microsoft Entra ID
En el portal de Entra ID, haga clic para expandir el desplegable Mapeos y seleccione Aprovisionar grupos de Microsoft Entra ID.
Configure sus mapeos para que coincidan con esta captura de pantalla de la tabla de datos:
El externalId atributo se agrega por defecto. Elimine este atributo para evitar problemas con la configuración.
(Opcional) Si necesita agregar un mapeo:
a. Haga clic en Agregar nuevo mapeo > seleccione el atributo de origen para que coincida con el atributo de Microsoft Entra ID anterior. b. Establezca el atributo de destino para que coincida con el customappsso atributo anterior. c. Haga clic en Aceptar.
Haga clic en Guardar y confirme los cambios, si es necesario.
En la parte superior de la página, seleccione Aprovisionamiento para volver a la página de Aprovisionamiento.
Configurar atributos para usuarios de Microsoft Entra ID
En el portal de Entra ID, haga clic para expandir el desplegable Mapeos, luego seleccione Aprovisionar usuarios de Microsoft Entra ID para cambiar los mapeos de usuario.
Actualice sus mapeos para que coincidan con la tabla de atributos a continuación.
El Cambie el atributo bajo Atributo de Microsoft Entra ID se agrega como un Expresión tipo de mapeo.
Switch([IsSoftDeleted], , "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
costCenter
El atributo de origen es el Atributo de Microsoft Entra ID y el atributo de destino es el atributo customappsso. Si alguno de los customappsso atributos no está disponible como Atributo de destino, es posible que deba agregarlos a su plataforma Microsoft Entra ID como una opción. Para hacerlo, marque la casilla Mostrar opciones avanzadas y haga clic en Editar lista de atributos para customappsso.
Los usuarios administrados por SCIM ya no tienen la opción de editar su número de teléfono en Command; en su lugar, solo pueden aprovisionarse mediante SCIM. En el lado del IdP, puede configurar su mapeo de atributos de modo que cualquier campo en su instancia de IdP se asigne al campo de número de teléfono en Command. También puede configurarlo para que el no campo en el IdP se asigne al campo de número de teléfono campo en Command. Sin embargo, incluso en este caso, los números de teléfono siguen siendo un campo bloqueado en Command y solo pueden editarse a través de SCIM.
Haga clic en Guardar para confirmar los cambios.
En la parte superior, seleccione Aprovisionamiento y active el estado de Aprovisionamiento.
Dependiendo de los requisitos, ajuste el alcance a una de las opciones requeridas:
Sincronizar todos los usuarios y grupos.
Sincronizar solo usuarios y grupos asignados.
Asegúrese de que los usuarios y grupos estén asignados a la aplicación empresarial bajo Usuarios y grupos. Los asignados son los que se aprovisionan y aparecen en Command.
Verifique que los usuarios estén asignados a la aplicación. Una vez transcurrido el ciclo inicial de aprovisionamiento:
a. Debería ver el número total de usuarios y grupos que se han aprovisionado correctamente en Descripción general. b. En Command, debería ver estos usuarios y grupos poblados con la etiqueta Administrado por SCIM . Estos usuarios y grupos sincronizados ahora se pueden usar en Command y asignárseles permisos para controlar el acceso a la plataforma Command.
Eliminar usuarios administrados por SCIM de Command
Cuando un usuario administrado por SCIM se desactiva en su proveedor de identidades, puede eliminar al usuario de Command de dos maneras:
Eliminar al usuario – La cuenta se mueve a la página Usuarios eliminados pero conserva los registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Todos los roles, credenciales, registros de acceso y datos asociados se borran. Si el usuario se vuelve a aprovisionar mediante SCIM, Command crea un nuevo registro de usuario.
Debe desactivar al usuario en su proveedor de identidades (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
(Opcional) Agregar credenciales de acceso a usuarios SCIM
Inicie sesión en su Portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales.
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento.
Expanda el submenú Mapeos y seleccione Aprovisionar usuarios de Microsoft Entra ID.
En la parte inferior, haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
a. Agregue los atributos de la tabla a continuación. b. Haga clic en Guardar.
Regrese a Aprovisionar usuarios de Microsoft Entra ID y seleccione Agregar nuevo mapeo.
a. Use extensionAttributes 1-5 como Atributos de origen y asígnelos a los nuevos atributos creados para Formato de tarjeta, Número de tarjeta, Número de tarjeta hex, Estado de credencial, y Código de instalación como los atributos de destino.
Referencia Formatos de tarjeta aceptables para los formatos de tarjeta aceptados y su código de instalación asociado, número de tarjeta y/o longitudes de número de tarjeta hex.
Estado de credencial puede ser "active", "deactivated" o "deleted"
Haga clic en Guardar.
b. Para sincronizar un identificador de departamento, agregue un nuevo mapeo con su atributo de origen deseado (por ejemplo, department o un atributo de extensión personalizado) y configure el atributo de destino a costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Esto sincroniza un valor de ID de departamento en Command.
Tabla de atributos
Nombre
Tipo
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
Cadena
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Cadena
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
Cadena
Editar el registro de la aplicación
Cada Aplicación Empresarial con SCIM habilitado creada en Entra AD generalmente requiere su propio Registro de Aplicación.
En la barra de búsqueda, escriba y seleccione Registros de aplicaciones.
Cambie a la pestaña Todas las aplicaciones y busque el nombre de su aplicación Verkada SCIM.
En Descripción general, anote el ID de Aplicación (cliente) y el ID de Directorio (inquilino) de su Registro de Aplicación. Los necesitará más adelante para configurar credenciales para su aplicación Command desde su registro de aplicación.
En la navegación izquierda, haga clic en Administrar.
a. En Certificados y secretos:
Haga clic en Nuevo secreto de cliente.
Establezca la Descripción en "Credenciales SCIM de Verkada" y establezca su fecha de expiración de certificado preferida.
Copie y guarde el valor que se muestra en el Valor del nuevo Secreto de Cliente creado. Esto solo se mostrará una vez.
e. En Permisos de API:
Haga clic en Agregar permisos > Microsoft Graph.
Seleccione Permisos de aplicación y busque "User.ReadWrite.All".
Marque la casilla para asignar los permisos.
Haga clic en Agregar permisos.
Para evitar tener que revisar y aprobar manualmente todos los cambios de etapa comunicados entre Azure Entra y su aplicación Command, seleccione Conceder consentimiento de administrador para el directorio predeterminado.
Consulte esta lista de credenciales para formatos de tarjeta aceptables.
Acceder y actualizar sus credenciales
Para establecer los atributos de extensión y la información de credenciales para un usuario en particular, use las instrucciones de la API Graph en: https://learn.microsoft.com/en-us/graph/extensibility-overview.
Establecer el credentialStatus atributo a active al configurar una credencial para un usuario es necesario para sincronizar correctamente las credenciales con Command. Donde el estado de la credencial (credentialStatus) es extensionAttribute4.
Ejemplo:
Sincronizar ID externo con Verkada
El campo externalId le permite asignar un identificador persistente y globalmente único a sus usuarios a través de Microsoft Entra que Verkada puede referenciar en integraciones. Esto es especialmente útil en entornos empresariales grandes donde los usuarios pueden necesitar ser desambiguados entre sistemas, o donde la sincronización de credenciales (por ejemplo, tarjetas de acceso) debe vincularse a una clave de identidad única. Verkada admite recibir y almacenar este valor como parte de su esquema de usuario SCIM. El campo distingue mayúsculas de minúsculas y normalmente se configura para aceptar un valor de cadena desde un atributo designado en su instancia de Microsoft Entra. Esta función admite flujos de trabajo avanzados como la gestión personalizada de credenciales, la automatización del ciclo de vida del empleado y el mapeo coherente de usuarios entre organizaciones.
Mapear externalId desde Azure a Verkada
Para sincronizar un valor externalId personalizado desde Microsoft Entra ID (Azure) a Verkada, siga estos pasos:
Inicie sesión en su portal de Azure.
En la barra de búsqueda, escriba y seleccione Aplicaciones empresariales.
Seleccione su aplicación Verkada SCIM.
En el panel izquierdo, haga clic en Administrar > Aprovisionamiento.
Expanda el submenú Mapeos y seleccione Aprovisionar usuarios de Microsoft Entra ID.
Desplácese hasta el final y haga clic en Mostrar opciones avanzadas > Editar lista de atributos para customappsso.
Agregue el siguiente atributo nuevo:
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Tipo: Cadena
Distingue mayúsculas y minúsculas: Sí
Haga clic en Guardar.
Regrese a Aprovisionar usuarios de Microsoft Entra ID y haga clic en Agregar nuevo mapeo.
Para Atributo de origen, seleccione el campo de Azure AD donde se almacena su ID externo (por ejemplo, extensionAttribute1, employeeId, etc.).
Para Atributo de destino, use: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Haga clic en Aceptar y luego en Guardar.
Una vez aprovisionado, el valor external_id se almacenará en el registro SCIM del usuario dentro de Verkada. Esto proporciona a los usuarios un ID flexible consultable por API que permanece único para su organización y totalmente bajo su control, sin estar vinculado a los identificadores internos de Verkada ni expuesto en la interfaz de usuario.
¿Prefiere verlo en acción? Consulte el tutorial en video.
Última actualización
¿Te fue útil?