Okta
Configura el SSO y el aprovisionamiento de usuarios con Okta
Verkada Command tiene la capacidad de integrarse con Okta (entre otros proveedores de identidades [IdP]) en 2 modalidades, según el caso de uso:
Lenguaje de marcado para aserciones de seguridad (SAML)
Sistema de gestión de identidades entre dominios (SCIM)
SAML gestiona el proceso de autenticación, lo que permite usar Okta para administrar el acceso a Command, igual que cualquier otra aplicación de Software como Servicio (SaaS) ya integrada en su tenant de Okta. Esto significa que Command puede incorporarse a su marco de identidad existente y que el acceso puede controlarse según sus políticas actuales.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Okta y sincronizarlos con Command. Esto le permite conservar el proveedor de identidades central actual y configurar el acceso usando sus usuarios y grupos existentes mediante Command para controlar el acceso a la plataforma.
Verkada recomienda OIDC en lugar de SAML para mejorar la seguridad y facilitar la configuración. OIDC también permite Cifrado controlado por la empresa.
SSO basado en OIDC para Okta
Verkada Command admite inicio de sesión único (SSO) mediante OpenID Connect (OIDC) con Okta. Esta integración permite a nuestros usuarios autenticarse de forma segura y sin complicaciones usando sus credenciales existentes de Okta, lo que agiliza el acceso a Command y mejora la seguridad general.
OIDC no es compatible con las aplicaciones Desk Station.
Habilitar Cifrado controlado por la empresa (ECE) para mejorar la seguridad.
Configuración de OIDC
Vaya a su instancia de Okta para crear una nueva aplicación y administrar su configuración de OIDC. Haga clic en Applications en la opción de barra lateral Applications y haga clic en Create App Integration.
En Create a new app integration, seleccione OIDC - OpenID Connect como su método de inicio de sesión y Single-Page Application como su tipo de aplicación.
En Sign-in redirect URIs, asigne a su aplicación un nombre identificable y agregue los siguientes enlaces a la lista de URI de redirección de inicio de sesión:
a. https://command.verkada.com/oidc/okta/callback b. https://<org-short-name>.command.verkada.com/oidc/okta/callback, donde en la URL aparece el nombre corto de su organización de Command.
(Opcional) En Sign-out redirect URIs agregue https://command.verkada.com/.
En Assignments, seleccione Skip Group Assignment por ahora y haga clic en Save.
En Assignments, haga clic en el menú desplegable Assign para asignar esta aplicación a su perfil de usuario (y a otros perfiles de usuario relevantes).
En General, copie el Client ID que se muestra en Client Credentials.
Configuración de Command
En Verkada Command, vaya a All Products > Admin.
En la navegación izquierda, seleccione Login & Access.
Seleccione Single Sign-On Configuration.
En OIDC Configuration, haga clic en Add New.
a. Active Enable. b. (Opcional) Active Require OIDC SSO. c. En Select Provider, seleccione Okta. d. En Add Client and Tenant, haga clic en :plus:.
En el campo Client ID pegue el Client ID que copió de Okta.
En el campo Tenant ID en el campo ingrese la primera parte de la URL de su instancia de Okta. Debe verse así: https://yourinstancename.okta.com.
Haga clic en Done.
h. Dominios de correo electrónico, haga clic en :plus:.
Ingrese el nombre de su dominio correspondiente (p. ej., @verkada.com).
Haga clic en Done.
En Login Test, haga clic en Run Login Test.
Una prueba de inicio de sesión correcta debería redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita incluir en la lista de permitidos.
Una vez agregado su dominio, ejecute nuevamente la prueba de inicio de sesión. El SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.
Una vez que su dominio esté verificado, debería verlo validado correctamente.
Integración SAML de Okta
Antes de comenzar
Para que la integración sea exitosa, elija la mejor ruta para su región:
Para organizaciones de EE. UU., usará una aplicación existente de Verkada siguiendo los pasos que se indican directamente a continuación.
Para organizaciones de la UE y AUS, siga los pasos de la siguiente sección para configurar una nueva integración de aplicación en Okta.
Cree una aplicación de Verkada en Okta (regiones de EE. UU.)
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en Browse App Catalog.
En la barra de búsqueda, escriba Verkada.
Haga clic en Add Integration.
Haga clic en Done.
En Okta, seleccione la pestaña Sign On para la aplicación de Verkada y haga clic en Edit.
Desplácese hacia abajo hasta Advanced Sign-On Settings e ingrese el Client ID de su cuenta de Command.
Seleccione Save.
Configure una nueva integración de aplicación desde Okta (regiones UE y AUS)
Vaya a Applications y seleccione Create App Integration.
Cree una nueva integración de aplicación, seleccione SAML 2.0 y haga clic en Next.
En la página "Create a SAML integration", en General Settings, ingrese un nombre para la aplicación, agregue opcionalmente un logotipo de la aplicación y luego haga clic en Next.
En la página de configuración de SAML, complete la Single Sign-On URL y la Audience URI (SP Entity ID) con estos enlaces:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<client-ID>
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Marque la casilla Use esto para la URL de destinatario y la URL de destino .
Client ID debe extraerse de la configuración de Command y reemplazarse en los enlaces insertados en la aplicación de Okta.
El nombre de usuario de la aplicación es el Okta Username.
Haga clic en Next. En la página de comentarios, marque la casilla "This is an internal app that we have created". Haga clic en Finish.
En la sección de declaraciones de atributos, configure el mapeo de atributos de la siguiente manera:
email>user.emailfirstName>user.firstNamelastName>user.lastName
Configuración
En Okta, seleccione la pestaña Assignments de la aplicación. Haga clic en Assign y seleccione People o Groups para habilitar SSO para estos usuarios.
Seleccione la pestaña Sign On de la aplicación.
Desplácese hacia abajo hasta SAML Signing Certificates y haga clic en Generate new certificate si no existe un certificado nuevo.
A la derecha del certificado, seleccione el menú desplegable Actions y haga clic en View IdP metadata.
Haga clic con el botón derecho en los metadatos, seleccione "Save As" y descárguelos como un archivo XML.
Después de descargar el archivo XML, cárguelo en Command.
En la sección Verify Metadata, haga clic en Run Login Test.
Resolución de problemas
La actualización de nombres de usuario (correos electrónicos) no se aplica automáticamente en Command. Si necesita cambiar un nombre de usuario, quite la asignación del usuario de la aplicación SAML y luego vuelva a agregarlo a la aplicación para que el cambio surta efecto.
Si un usuario nuevo no puede iniciar sesión mediante SSO, podría deberse a que el dominio de correo electrónico no se está agregando a la configuración de SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios de correo configurados cuando se configuró SSO, el usuario no podrá usar SSO. Si esta es la causa del problema, debe editar la configuración de SSO y agregar este dominio para solucionar el problema.
Si experimenta cualquier otro problema al configurar SSO, contacte con equipo de soporte de Verkada.
Integración SCIM de Okta
Antes de comenzar
Necesita un token de API para conectarse al endpoint SCIM de Verkada. Este token es único para cada organización de Verkada. Obtenga información sobre cómo obtener un token de API de SCIM.
Para que la integración sea exitosa, elija la mejor ruta para su región:
Para organizaciones de EE. UU., siga los pasos en Cree una aplicación de Verkada en Okta.
Para organizaciones de la UE y AUS, siga los pasos en Habilite el aprovisionamiento SCIM en la aplicación de Okta.
Para confirmar en qué región se encuentra, consulte dónde se creó su organización en Verkada.
Cree una aplicación de Verkada en Okta
Región de EE. UU.
Inicie sesión en Okta.
En el panel de navegación izquierdo, haga clic en Applications.
En la parte superior, haga clic en Browse App Catalog.
4. En la barra de búsqueda, escriba Verkada, haga clic en la aplicación y luego haga clic en Add Integration.
5. En Application label, escriba Verkada (o cualquier nombre único que prefiera) y haga clic en Done.
Región UE y AUS
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en Create App Integration.
En Create a new app integration, seleccione SAML 2.0 y haga clic en Next.
En el campo App name, introduzca un nombre y haga clic en Next.
En Create SAML Integration:
Para Single sign-on URL:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de su organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de su organización.
Para Audience URI (SP Entity ID):
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de su organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de su organización.
Desplácese hacia abajo y haga clic en Next.
Seleccione el botón de opción I’m an Okta customer adding an internal app y haga clic en Finish (opcionalmente, puede omitir las preguntas adicionales de Okta).
En la navegación izquierda, haga clic en Applications y luego en la aplicación que acaba de crear (si no se le redirige automáticamente a su aplicación).
En la parte superior, seleccione la pestaña General:
En la parte superior derecha, haga clic en Edit para la App Settings de su aplicación.
Marque la casilla Enable SCIM provisioning.
Haga clic en Save.
En SCIM Connection:
En la parte superior de su aplicación recién creada, seleccione la pestaña Provisioning.
Haga clic en Edit para la configuración de SCIM Connection.
Para SCIM connector base URL
Para organizaciones de la UE, https://scim.prod2.verkada.com/scim
Para organizaciones de AUS, https://scim.ap-syd.verkada.com/scim
Para Unique identifier field for users, escriba userName.
Marque las casillas Push New Users, Push Profile Updates y Push Groups.
Haga clic en el menú desplegable Authentication Mode y seleccione HTTP Header.
Copie y pegue el token SCIM de Command en el campo Authorization.
Haga clic en Save.
Configure la aplicación de Verkada en Okta
Región de EE. UU.
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y luego en la aplicación de Verkada.
A la izquierda, seleccione la pestaña Provisioning.
En la pestaña Provisioning > Integration:
Haga clic en Configure API Integration.
Marque la casilla Enable API integration.
En el campo API Token, copie y pegue el token de API generado por Command.
Haga clic en Save.
En la pestaña Provisioning > Settings:
Seleccione To App y haga clic en Edit.
Marque la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haga clic en Save.
En la pestaña Provisioning > sección To App > Verkada Attribute Mappings, haga clic en Go to Profile Editor.
Asegúrese de que los atributos coincidan, como se muestra en el ejemplo a continuación. Puede agregar más atributos de los mostrados. Consulte Agregar atributos a usuarios gestionados por SCIM.
Región UE y AUS
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y luego en la aplicación de Verkada.
En la pestaña Provisioning > Settings:
Seleccione To App y haga clic en Edit.
Marque la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haga clic en Save. Puede agregar más atributos de los mostrados. Consulte Agregar atributos a usuarios gestionados por SCIM.
Atributos adicionales para usuarios gestionados por SCIM
Agregar atributos a usuarios gestionados por SCIM (opcional)
Verkada y Okta admiten estos atributos: userName (predeterminado), givenName (predeterminado), familyName (predeterminado), title, employeeNumber, primaryPhone, department, organization.
También puede sincronizar un identificador único con Command asignándolo al campo externalId campo. Esto habilita casos de uso avanzados, como distinguir usuarios entre sistemas o sincronizar credenciales de acceso con una referencia única de usuario. Este valor se almacena en la base de datos y puede consultarse mediante API, pero no aparece en la interfaz de usuario de Command.
Para aprovisionar números de teléfono fuera de EE. UU. en Command, incluya el código de país en el número de teléfono del usuario en el perfil de Okta.
Por ejemplo:
EE. UU.: 123-456-7890 → +1 123-456-7890
Reino Unido: 07123 456789 → +44 7123 456789
Usar el formato internacional garantiza que el número se importe correctamente a Command.
Inicie sesión en Okta.
Cree el atributo en el perfil de la aplicación SCIM.
En Okta, vaya a Directory > Profile Editor.
Seleccione su usuario de la aplicación gestionada por SCIM de Verkada.
Haga clic en Agregar atributo y agregue los detalles del atributo como se indica en la tabla a continuación.
Haga clic en Guardar.
Asignar el atributo
Aún en Profile Editor, haga clic en Mappings.
Elija Okta User to [Your SCIM App].
Haga clic en el menú desplegable y busque el campo de origen que desea asignar (p. ej., user.nickName, employeeNumber u otro campo personalizado) y asígnelo al atributo
appuser.Haga clic en la flecha entre campos y seleccione Apply mapping on user create and update.
Haga clic en Guardar asignaciones.
Confirmar que el atributo esté rellenado
Vaya a Directory > People.
Abra un perfil de usuario y asegúrese de que el campo de origen desde el que está asignando (p. ej., Nickname) tenga un valor.
Desde la SCIM App > pestaña Provisioning, use Force Sync para enviar actualizaciones si es necesario.
Consulte esta lista de credenciales para ver la lista de formatos de tarjeta aceptables.
Agregar credenciales de acceso a usuarios gestionados por SCIM (opcional)
Inicie sesión en Okta.
En la navegación izquierda, seleccione Directory > Profile Editor.
Seleccione User (default) como el tipo de usuario.
Haga clic en Agregar atributo y agregue los atributos personalizados de la tabla a continuación.
En la navegación izquierda, seleccione Applications y abra su aplicación gestionada por SCIM de Verkada.
En la pestaña Provisioning, seleccione To App > Go to Profile Editor.
Haga clic en Add Attribute para crear los atributos indicados arriba usando exactamente el mismo Data Type, Display Name, Variable Name, Description y valores ENUM.
Establezca el valor de External namespace para todos los atributos en:
Establezca Attribute type en Personal.
Haga clic en Guardar para agregar el atributo.
Haga clic en Mappings para asignar los atributos de la aplicación Okta User a su aplicación SCIM.
Seleccione Okta User to YourSCIMApp en la parte superior y asigne los atributos personalizados creados para Okta Default User a los creados en su aplicación SCIM.
Haga clic en Guardar asignaciones y Aplicar actualizaciones ahora para aplicar los cambios.
Los atributos ahora deberían estar disponibles para usarse en los perfiles de usuario de todos los usuarios de su aplicación de Okta. Una vez sincronizados, puede ver las credenciales en Command en Access > Access Users > User Profile > Credentials.
Tabla de atributos
Consulte esta lista de credenciales para ver la lista de formatos de tarjeta aceptables. El tipo de datos de todos los atributos será string.
Nombre para mostrar
Nombre de variable / Nombre externo
Espacio de nombres externo
Descripción
ENUM
Formato de tarjeta
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Formato de tarjeta para la credencial de acceso
Dejar sin marcar
Número de tarjeta
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Número de tarjeta para la credencial de acceso
Dejar sin marcar
Número de tarjeta hexadecimal
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Representación hexadecimal del número de tarjeta
Dejar sin marcar
Estado de la credencial
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Estado de la credencial de la tarjeta
Casilla de verificación: active → active, deactivated → deactivated, deleted → deleted
Código de instalación
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Código de instalación asociado con la tarjeta
Dejar sin marcar
ID externo
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID único definido por el cliente, no expuesto en la IU
Dejar sin marcar
ID del departamento
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identificador utilizado para asignar el departamento del usuario en Command
Dejar sin marcar
Cargo
title
urn:ietf:params:scim:schemas:core:2.0:User
Cargo o función del usuario
Dejar sin marcar
Número de empleado
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
ID del empleado
Dejar sin marcar
Número de teléfono
Nombre de variable: phoneNumber
Nombre externo: phoneNumbers.^[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
Número de teléfono laboral
Dejar sin marcar
Departamento
department
urn:ietf:params:scim:schemas:core:2.0:User
Departamento del usuario
Dejar sin marcar
Organización
organization
urn:ietf:params:scim:schemas:core:2.0:User
Empresa u organización
Dejar sin marcar
Aprovisionar usuarios y grupos
Los usuarios añadidos a la aplicación se envían automáticamente; los grupos deben enviarse manualmente.
Usuarios en Okta
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y luego en la aplicación de Verkada.
Haga clic en la pestaña Asignaciones.
Haga clic en el desplegable Asignar y seleccione Asignar a personas.
Haga clic en Asignar para las personas que desea aprovisionar en la aplicación.
Verá la información de ese usuario. En la parte inferior, haga clic en Guardar y volver.
Cuando se le redirija a la página de Asignar, haga clic en Listo.
Grupos en Okta
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y luego en la aplicación de Verkada.
Haga clic en el desplegable Asignar y seleccione Asignar a grupos.
Haga clic en Asignar para los grupos que desea aprovisionar en la aplicación.
Verá la información de ese grupo. En la parte inferior, haga clic en Guardar y volver.
Cuando se le redirija a la página de Asignar, haga clic en Listo.
En la parte superior, seleccione la pestaña Grupos de envío.
Haga clic en el desplegable Grupos de envío para encontrar grupos (por nombre o por regla).
Busque el grupo que desea enviar y haga clic en Guardar. Si se realiza correctamente, el estado de envío muestra Activo.
Entonces Command etiqueta a los usuarios y grupos como administrados por SCIM, si se importan mediante SCIM.
Eliminar usuarios administrados por SCIM de Command
Cuando un usuario administrado por SCIM se desactiva en su proveedor de identidades, puede quitar al usuario de Command de dos maneras:
Eliminar al usuario – La cuenta se mueve a la página Usuarios eliminados, pero conserva registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Se borran todos los roles, credenciales, registros de acceso y datos asociados. Si el usuario se vuelve a aprovisionar mediante SCIM, Command crea un nuevo grabar de usuario.
Debe desactivar al usuario en su proveedor de identidades (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
Problemas conocidos
La actualización de nombres de usuario (correos electrónicos) no se aplica automáticamente en Command. Si necesita cambiar un nombre de usuario, quite la asignación del usuario de la aplicación SAML y luego vuelva a agregarlo a la aplicación para que el cambio surta efecto.
Si un usuario nuevo no puede iniciar sesión mediante SSO, podría deberse a que el dominio de correo electrónico no se está agregando a la configuración de SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios de correo electrónico proporcionados cuando se configuró el SSO, esto provoca que el usuario no pueda usar SSO. Si esta es la causa del problema, debe editar la configuración de SSO y agregar este dominio para solucionar el problema.
Si encuentra este error al aprovisionar usuarios, "Error al intentar enviar la actualización del perfil del usuario: Solicitud incorrecta. Errores informados por el servidor remoto: Solicitud no válida", consulte este artículo de Okta para obtener pasos de solución de problemas.
Si experimenta cualquier otro problema al configurar SSO, contacte con equipo de soporte de Verkada.
¿Prefiere verlo en acción? Consulte el videotutorial.
Última actualización
¿Te fue útil?