Okta
Configura SSO y el aprovisionamiento de usuarios con Okta
Verkada Command tiene la capacidad de integrarse con Okta (entre otros Proveedores de Identidad [IdP]) en 2 capacidades, dependiendo del caso de uso:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el proceso de autenticación, permitiendo que Okta se utilice para gestionar el acceso a Command, igual que cualquier otra aplicación de Software como Servicio (SaaS) ya integrada en su tenant de Okta. Esto significa que Command puede incorporarse a su marco de identidad existente y controlarse el acceso según las políticas actuales que tenga en vigor.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Okta y sincronizarlos con Command. Esto le permite conservar el proveedor de identidad central actual y configurar el acceso usando sus usuarios y grupos existentes a través de Command para controlar el acceso a la plataforma.
Verkada recomienda OIDC en lugar de SAML para mayor seguridad y una configuración más sencilla. OIDC también permite Enterprise Controlled Encryption.
SSO basado en OIDC para Okta
Verkada Command admite Single Sign-On (SSO) mediante OpenID Connect (OIDC) con Okta. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura utilizando sus credenciales de Okta existentes, agilizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la aplicación Pass ni con las aplicaciones Desk Station.
Habilitar Enterprise Controlled Encryption (ECE) para mayor seguridad.
configuración de OIDC
Vaya a su instancia de Okta para crear una nueva aplicación que gestione su configuración OIDC. Haga clic en Applications desde la barra lateral de Applications y haga clic en Create App Integration.
En Create a new app integration, seleccione OIDC - OpenID Connect como su Sign-in method y Single-Page Application como su Application type.
En Sign-in redirect URIs asigne a su aplicación un nombre identificable y agregue los siguientes enlaces a la lista de Sign-in redirect URIs:
a. https://command.verkada.com/oidc/okta/callback b. https://.command.verkada.com/oidc/okta/callback donde en la URL está el nombre corto de su organización de Command.
(Opcional) En Sign-out redirect URIs agregue https://command.verkada.com/.
En Assignments, seleccione Skip Group Assignment por ahora y haga clic en Save.
En Assignments, haga clic en el desplegable Assign para asignar esta aplicación a su (y otras relevantes) perfiles de usuario.
En General, copie el Client ID que se muestra en Client Credentials.
configuración de Command
En Verkada Command, vaya a All Products > Admin.
En la navegación izquierda, seleccione Login & Access.
Seleccione Single Sign-On Configuration.
En OIDC Configuration, haga clic en Add New.
a. Active el interruptor Habilitar. b. (Opcional) Active el interruptor Requerir OIDC SSO. c. Bajo Select Provider, seleccione Okta. d. Bajo Add Client and Tenant, haga clic en :plus:.
En el Client ID campo pegue el Client ID que copió de Okta.
En el Tenant ID campo introduzca la primera parte de la URL de su instancia de Okta. Debe tener este aspecto: https://yourinstancename.okta.com.
Haga clic Done.
h. Email Domains, haga clic en :plus:.
Introduzca el nombre de su dominio presente (p. ej., @verkada.com).
Haga clic Done.
En Login Test haga clic en Run Login Test.
Una prueba de inicio de sesión correcta debería redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita poner en la lista blanca.
Una vez que su dominio esté agregado, ejecute la prueba de inicio de sesión nuevamente. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.
Una vez verificado su dominio, debería verlo validado correctamente.
Integración Okta SAML
Antes de comenzar
Para una integración exitosa, elija la mejor ruta para su región:
Para organizaciones de EE. UU., utilizará una aplicación Verkada existente siguiendo los pasos directamente a continuación.
Para organizaciones de la UE y AUS, siga los pasos de la siguiente sección para configurar una nueva integración de aplicación en Okta.
Crear una aplicación Verkada en Okta (regiones de EE. UU.)
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en Browse App Catalog.
En la barra de búsqueda, escriba Verkada.
Haga clic en Add Integration.
Haga clic en Done.
En Okta, seleccione la pestaña Sign On para la aplicación Verkada y haga clic en Edit.
Desplácese hasta Advanced Sign-On Settings e introduzca el Client ID de su cuenta de Command.
Seleccione Save.
Configurar una nueva integración de aplicación desde Okta (regiones EU y AUS)
Vaya a Applications y seleccione Create App Integration.
Cree una nueva integración de aplicación, seleccione SAML 2.0 y haga clic en Next.
En la página "Create a SAML integration", en General Settings, introduzca un nombre de aplicación, opcionalmente agregue un logo de la aplicación y luego haga clic en Next.
En la página configure SAML, rellene el Single Sign-On URL y Audience URI (SP Entity ID) con estos enlaces:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<client-ID>
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Marque la casilla Use this for Recipient URL and Destination URL .
Client ID debe extraerse de la configuración de Command y reemplazarse en los enlaces insertados en la aplicación Okta.
El nombre de usuario de la aplicación es el Okta Username.
Haga clic en Next. En la página de comentarios, marque la casilla etiquetada "This is an internal app that we have created". Haga clic en Finish.
En la sección attributes statements, configure el mapeo de atributos como sigue:
email>user.emailfirstName>user.firstNamelastName>user.lastName
Configuración
En Okta, seleccione la pestaña Assignments para la aplicación. Haga clic en Assign y seleccione People o Groups para habilitar SSO para estos usuarios.
Seleccione la pestaña Sign On para la aplicación.
Desplácese hasta SAML Signing Certificates y haga clic en Generate new certificate si no existe un certificado nuevo.
A la derecha del certificado, seleccione el desplegable Actions y haga clic en View IdP metadata.
Haga clic derecho en los metadatos, seleccione "Save As" y descárguelo como un archivo XML.
Después de descargar el archivo XML, cárguelo en Command.
En la sección Verify Metadata, haga clic en Run Login Test.
Solución de problemas
Actualizar nombres de usuario (correos electrónicos) no surte efecto automáticamente en Command. Si necesita cambiar un nombre de usuario, desasigne al usuario de la aplicación SAML y luego vuelva a añadir al usuario a la aplicación para que el cambio surta efecto.
Si un nuevo usuario no puede iniciar sesión a través de SSO, podría deberse a que el dominio de correo electrónico no se está agregando a la configuración de SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios de correo configurados cuando se configuró SSO, el usuario no puede usar SSO. Si esta es la causa del problema, debe editar la configuración de SSO y agregar este dominio para solucionar el problema.
Si experimenta cualquier otro problema al configurar SSO, contacte con Verkada Support.
Integración Okta SCIM
Antes de comenzar
Necesita un token API para conectarse al endpoint SCIM de Verkada. Este token es único por organización de Verkada. Aprenda cómo obtener un token API SCIM.
Para una integración exitosa, elija la mejor ruta para su región:
Para organizaciones de EE. UU., siga los pasos en Create a Verkada Okta app.
Para organizaciones de la UE y AUS, siga los pasos en Enable SCIM provisioning in Okta app.
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
Crear una aplicación Verkada en Okta
región de EE. UU.
Inicie sesión en Okta.
En el panel de navegación izquierdo, haga clic en Applications.
En la parte superior, haga clic en Browse App Catalog.
4. En la barra de búsqueda, escriba Verkada, haga clic en la aplicación y luego haga clic en Add Integration.
5. En Application label, escriba Verkada (o cualquier nombre único que prefiera) y haga clic en Done.
región EU y AUS
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en Create App Integration.
En Create a new app integration, seleccione SAML 2.0 y haga clic en Next.
En el campo App name, introduzca un nombre y haga clic en Next.
En Create SAML Integration:
Para Single sign-on URL:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de su organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de su organización.
Para Audience URI (SP Entity ID):
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de su organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de su organización.
Desplácese hacia abajo y haga clic en Next.
Seleccione el botón de opción I’m an Okta customer adding an internal app y haga clic en Finish (opcionalmente, puede omitir las preguntas adicionales de Okta).
En la navegación izquierda, haga clic en Applications y abra su aplicación recién creada (si no es redirigido automáticamente a su aplicación).
En la parte superior, seleccione la pestaña General:
En la parte superior derecha, haga clic en Edit para la App Settings de su aplicación.
Marque la casilla Enable SCIM provisioning.
Haga clic en Save.
En SCIM Connection:
En la parte superior de su aplicación recién creada, seleccione la pestaña Provisioning.
Haga clic en Edit para la configuración SCIM Connection.
Para SCIM connector base URL
Para organizaciones de la UE, https://scim.prod2.verkada.com/scim
Para organizaciones de AUS, https://scim.ap-syd.verkada.com/scim
Para Unique identifier field for users, introduzca userName.
Marque las casillas Push New Users, Push Profile Updates y Push Groups.
Haga clic en el desplegable Authentication Mode y seleccione HTTP Header.
Copie y pegue el token SCIM desde Command en el campo Authorization.
Haga clic en Save.
Configurar la aplicación Verkada en Okta
región de EE. UU.
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
A la izquierda, seleccione la pestaña Provisioning.
En la pestaña Provisioning > Integration:
Haga clic en Configure API Integration.
Marque la casilla Enable API integration.
En el campo API Token, copie y pegue su token API generado por Command.
Haga clic en Save.
En la pestaña Provisioning > Settings:
Seleccione To App y haga clic en Edit.
Marque la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haga clic en Save.
En la pestaña Provisioning > sección To App > Verkada Attribute Mappings, haga clic en Go to Profile Editor.
Asegúrese de que los atributos coincidan, como se muestra en el ejemplo a continuación. Puede agregar más atributos de los mostrados. Vea Agregar atributos a usuarios gestionados por SCIM.
región EU y AUS
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
En la pestaña Provisioning > Settings:
Seleccione To App y haga clic en Edit.
Marque la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haga clic en Save. Puede agregar más atributos de los mostrados. Vea Agregar atributos a usuarios gestionados por SCIM.
Agregar atributos complementarios a usuarios gestionados por SCIM
Agregar atributos a usuarios gestionados por SCIM (opcional)
Verkada y Okta admiten estos atributos: userName (predeterminado), givenName (predeterminado), familyName (predeterminado), title, employeeNumber, primaryPhone, department, organization.
También puede sincronizar un identificador único con Command asignándolo al externalId campo. Esto habilita casos de uso avanzados como desambiguar usuarios entre sistemas o sincronizar credenciales de acceso con una referencia de usuario única. Este valor se almacena en la base de datos y puede consultarse vía API, pero no aparece en la interfaz de Command.
Para aprovisionar números de teléfono fuera de EE. UU. en Command, incluya el código de país en el número de teléfono del usuario en el perfil de Okta.
Por ejemplo:
EE. UU.: 123-456-7890 → +1 123-456-7890
Reino Unido: 07123 456789 → +44 7123 456789
Usar el formato internacional garantiza que el número se importe correctamente en Command.
Inicie sesión en Okta.
Crear el Atributo en el Perfil de la Aplicación SCIM.
En Okta, vaya a Directory > Profile Editor.
Seleccione su Verkada SCIM-managed application User.
Haga clic Add Attribute y agregue los detalles del atributo según se enumeran en la tabla a continuación.
Haga clic Guardar.
Mapear el Atributo
Aún en Profile Editor, haga clic en Mappings.
Elija Okta User to [Your SCIM App].
Haga clic en el desplegable y encuentre el campo de origen que desea mapear (p. ej., user.nickName, employeeNumber u otro campo personalizado) y mírelo al
appuseratributo.Haga clic en la flecha entre campos y seleccione Apply mapping on user create and update.
Haga clic Guardar Mappings.
Confirmar que el Atributo está Poblado
Vaya a Directory > People.
Abra un perfil de usuario y asegúrese de que el campo de origen del que está mapeando (p. ej., Nickname) tenga un valor.
Desde la SCIM App > Provisioning tab, use Force Sync para enviar actualizaciones si es necesario.
Consulte esta lista de credenciales para la lista de formatos de tarjeta aceptables.
Agregar credenciales de acceso a usuarios gestionados por SCIM (opcional)
Inicie sesión en Okta.
En la navegación izquierda, seleccione Directory > Profile Editor.
Seleccione User (default) como el tipo de usuario.
Haga clic Add Attribute y agregue los atributos personalizados desde la tabla a continuación.
En la navegación izquierda, seleccione Applications y abra su aplicación Verkada gestionada por SCIM.
En la pestaña Provisioning, seleccione To App > Go to Profile Editor.
Haga clic en Add Attribute para crear los atributos listados arriba usando exactamente el mismo Data Type, Display Name, Variable Name, Description y valores ENUM.
Establezca el External namespace valor para todos los atributos a:
Establezca Attribute type a Personal.
Haga clic Guardar para agregar el atributo.
Haga clic en Mappings para mapear los atributos de la aplicación Okta User a su aplicación SCIM.
Seleccione Okta User to YourSCIMApp en la parte superior y mapear los atributos personalizados creados para el Okta Default User a los creados en su aplicación SCIM.
Haga clic Guardar Mappings y Apply updates now para aplicar los cambios.
Los atributos ahora deberían estar disponibles para usar en los perfiles de usuarios de todas sus aplicaciones de Okta. Una vez sincronizados, puede ver las credenciales en Command bajo Access > Access Users > User Profile > Credentials.
Tabla de atributos
Consulte esta lista de credenciales para la lista de formatos de tarjeta aceptables. El tipo de datos para todos los atributos será string.
Display Name
Variable Name /External Name
External Namespace
Descripción
ENUM
Formato de tarjeta
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Formato de tarjeta para la credencial de acceso
Dejar sin marcar
Número de tarjeta
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Número de tarjeta para la credencial de acceso
Dejar sin marcar
Número de tarjeta en hexadecimal
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Representación hexadecimal del número de tarjeta
Dejar sin marcar
Estado de la credencial
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Estado de la credencial de la tarjeta
Casilla: active → active, deactivated → deactivated, deleted → deleted
Código de instalación
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Código de instalación asociado con la tarjeta
Dejar sin marcar
ID externa
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID único definido por el cliente, no expuesto en la interfaz de usuario
Dejar sin marcar
ID de departamento
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identificador utilizado para mapear el departamento del usuario en Command
Dejar sin marcar
Título
title
urn:ietf:params:scim:schemas:core:2.0:User
Título o rol del usuario
Dejar sin marcar
Número de empleado
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
Employee ID
Dejar sin marcar
Número de teléfono
Variable Name: phoneNumber
External Name: phoneNumbers[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
Número de teléfono del trabajo
Dejar sin marcar
Departamento
department
urn:ietf:params:scim:schemas:core:2.0:User
Departamento del usuario
Dejar sin marcar
Organización
organization
urn:ietf:params:scim:schemas:core:2.0:User
Empresa u organización
Dejar sin marcar
Aprovisionar usuarios y grupos
Los usuarios añadidos a la aplicación se envían automáticamente; los grupos deben enviarse manualmente.
Usuarios dentro de Okta
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
Haga clic en la pestaña Assignments.
Haga clic en el desplegable Assign y seleccione Assign to People.
Haga clic en Assign para las personas que desea aprovisionar en la aplicación.
Verá la información de ese usuario. En la parte inferior, haga clic en Save and Go Back.
Cuando sea redirigido a la página Assign, haga clic en Done.
Grupos dentro de Okta
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
Haga clic en el desplegable Assign y seleccione Assign to Groups.
Haga clic en Assign para los grupos que desea aprovisionar en la aplicación.
Verá la información de ese grupo. En la parte inferior, haga clic en Save and Go Back.
Cuando sea redirigido a la página Assign, haga clic en Done.
En la parte superior, seleccione la pestaña Push Groups.
Haga clic en el desplegable Push Groups para encontrar grupos (por nombre o por regla).
Encuentre el grupo que desea enviar y haga clic en Save. Si tiene éxito, el Push Status muestra Active.
Command entonces etiqueta a usuarios y grupos como SCIM Managed, si se importan vía SCIM.
Eliminar usuarios gestionados por SCIM de Command
Cuando un usuario gestionado por SCIM se desactiva en su proveedor de identidad, puede eliminar al usuario de Command de dos maneras:
Eliminar al usuario – La cuenta se mueve a la página Deleted Users pero conserva registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Se borran todos los roles, credenciales, registros de acceso y datos asociados. Si el usuario se vuelve a aprovisionar vía SCIM, Command crea un nuevo registro de usuario.
Debe desactivar al usuario en su proveedor de identidad (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
Problemas conocidos
Actualizar nombres de usuario (correos electrónicos) no surte efecto automáticamente en Command. Si necesita cambiar un nombre de usuario, desasigne al usuario de la aplicación SAML y luego vuelva a añadir al usuario a la aplicación para que el cambio surta efecto.
Si un nuevo usuario no puede iniciar sesión a través de SSO, podría deberse a que el dominio de correo electrónico no se está agregando a la configuración de SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios de correo proporcionados cuando se configuró SSO, esto provoca que el usuario no pueda usar SSO. Si esta es la causa del problema, debe editar la configuración de SSO y agregar este dominio para solucionar el problema.
Si se encuentra con este error mientras aprovisiona usuarios, "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", consulte este artículo de Okta para pasos de solución de problemas.
Si experimenta cualquier otro problema al configurar SSO, contacte con Verkada Support.
¿Prefiere verlo en acción? Consulte el tutorial en video.
Última actualización
¿Te fue útil?