Okta
Configure SSO y el aprovisionamiento de usuarios con Okta
Verkada Command tiene la capacidad de integrarse con Okta (entre otros proveedores de identidad [IdP]) en 2 funciones, según el caso de uso:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el proceso de autenticación, permitiendo que Okta se utilice para gestionar el acceso a Command, igual que cualquier otra aplicación de Software como Servicio (SaaS) ya integrada en tu tenant de Okta. Esto significa que Command puede incorporarse a tu marco de identidad existente y controlarse el acceso según las políticas actuales que tengas implementadas.
SCIM te permite aprovechar los usuarios y grupos existentes ya presentes en Okta y sincronizarlos con Command. Esto te permite conservar el proveedor de identidad central actual y configurar el acceso usando tus usuarios y grupos existentes a través de Command para controlar el acceso a la plataforma.
Verkada recomienda OIDC sobre SAML para mayor seguridad y una configuración más sencilla. OIDC también habilita Enterprise Controlled Encryption.
SSO basado en OIDC para Okta
Verkada Command admite Single Sign-On (SSO) a través de OpenID Connect (OIDC) con Okta. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura utilizando sus credenciales de Okta existentes, agilizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la aplicación Pass ni con las aplicaciones Desk Station.
Habilitar Enterprise Controlled Encryption (ECE) para mayor seguridad.
configuración de OIDC
Navega a tu instancia de Okta para crear una nueva aplicación para gestionar tu configuración de OIDC. Haz clic en Applications desde la opción de la barra lateral Applications y haz clic en Create App Integration.
En Create a new app integration, selecciona OIDC - OpenID Connect como tu método de inicio de sesión y Single-Page Application como el tipo de aplicación.
En Sign-in redirect URIs asigna a tu aplicación un nombre identificable y añade los siguientes enlaces a la lista de Sign-in redirect URIs:
a. https://command.verkada.com/oidc/okta/callback b. https://.command.verkada.com/oidc/okta/callback donde en la URL está el nombre corto de tu organización de Command.
(Opcional) En Sign-out redirect URIs añade https://command.verkada.com/.
En Assignments, selecciona Skip Group Assignment por ahora y haz clic en Save.
En Assignments, haz clic en el desplegable Assign para asignar esta aplicación a tus perfiles de usuario (y a otros relevantes).
En General, copia el Client ID que aparece bajo Client Credentials.
Configuración en Command
En Verkada Command, ve a All Products > Admin.
En la navegación izquierda, selecciona Login & Access.
Selecciona Single Sign-On Configuration.
En OIDC Configuration, haz clic en Add New.
a. Activa el interruptor Habilitar. b. (Opcional) Activa el interruptor Requerir OIDC SSO. c. Bajo Seleccionar proveedor, selecciona Okta. d. Bajo Agregar Cliente y Tenant, haz clic en :plus:.
En el Client ID campo pega el Client ID que copiaste de Okta.
En el Tenant ID campo ingresa la primera parte de la URL de tu instancia de Okta. Debería verse así: https://yourinstancename.okta.com.
Haz clic Done.
h. Email Domains, haz clic en :plus:.
Introduce el nombre de dominio presente (p. ej., @verkada.com).
Haz clic Done.
En Login Test haz clic en Run Login Test.
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración de OIDC. Una vez que hayas iniciado sesión, añade el dominio que necesitas poner en la lista blanca.
Una vez que tu dominio esté agregado, ejecuta la prueba de inicio de sesión nuevamente. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete con éxito.
Una vez que tu dominio esté verificado, deberías verlo validado con éxito.
Integración Okta SAML
Antes de empezar
Para una integración exitosa, elige la mejor ruta para tu región:
Para organizaciones de EE. UU., usarás una aplicación Verkada existente siguiendo los pasos directamente abajo.
Para organizaciones de la UE y AUS, sigue los pasos de la siguiente sección para configurar una nueva integración de aplicación en Okta.
Crear una app Verkada en Okta (organizaciones US)
Inicia sesión en Okta.
Ve a la página Applications y haz clic en Browse App Catalog.
En la barra de búsqueda, escribe Verkada.
Haz clic en Add.
Haz clic en Done.
Configurar una nueva integración de aplicación desde Okta (organizaciones EU)
Ve a Applications y selecciona Create App Integration.
Crea una nueva integración de aplicación, selecciona SAML 2.0 y haz clic en Next.
En la página "Create a SAML integration", bajo General Settings, ingresa un nombre de aplicación, opcionalmente añade un logo de la aplicación y luego haz clic en Next.
En la página configure SAML, completa el Single sign-on URL y el Entity ID. Single sign-on URL para organizaciones EU:
Para organizaciones EU: https://saml.prod2.verkada.com/saml/sso/<client-ID>
Para organizaciones AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID> Audience URI (SP Entity ID) para organizaciones EU:
Para organizaciones EU: https://saml.prod2.verkada.com/saml/sso/<client-ID>
Para organizaciones AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Nota: client-ID debe obtenerse de la configuración de Command y reemplazarse en los enlaces insertados en la aplicación de Okta.
El nombre de usuario de la aplicación es el Okta Username.
En la sección attribute statements, configura el mapeo de atributos como sigue:
email>user.emailfirstName>user.firstNamelastName>user.lastName
En la página de feedback, marca la casilla etiquetada "This is an internal app that we have created".
Mapeos de atributos
Navega a Directory > Profile Editor > elige la app Verkada > verifica los atributos
Haz clic en Mappings and Verify App to Okta user mappings
Mapeos de Usuario a App:
Configuración
En Okta, selecciona la pestaña Sign On para la app Verkada y haz clic en Edit.
Desplázate hacia abajo hasta Advanced Sign-On Settings y ingresa el Client ID desde tu cuenta de Command.
Selecciona Save.
Desplázate más abajo hasta SAML Signing Certificates y haz clic en Generate new certificate, si no existe un certificado nuevo.
A la derecha del certificado, selecciona el desplegable Actions y haz clic en View IdP metadata
Haz clic derecho en los metadatos y selecciona guardar como y descarga en formato de archivo XML.
Después de descargar el archivo XML, necesitas subirlo a Command.
En la sección Verify Metadata, haz clic en Run Login Test.
Solución de problemas
La actualización de nombres de usuario (correos) no surte efecto automáticamente en Command. Si necesitas cambiar un nombre de usuario, desasigna el usuario de la app SAML y luego vuelve a añadir el usuario a la app para que el cambio surta efecto.
Si un usuario nuevo no puede iniciar sesión a través de SSO, podría ser porque el dominio de correo electrónico no se está agregando a la configuración de SSO en el backend de Verkada. Si el correo del usuario está fuera de los dominios de correo proporcionados cuando se configuró SSO, esto hace que el usuario no pueda usar SSO. Si esta es la causa del problema, debes editar la configuración de SSO y agregar este dominio para solucionar el problema.
Si experimentas cualquier otro problema al configurar SSO, contacta con Verkada Support.
Integración Okta SCIM
Antes de empezar
Necesitas un token de API para conectarte al endpoint SCIM de Verkada. Este token es único por organización de Verkada. Aprende cómo obtener un token API SCIM.
Para una integración exitosa, elige la mejor ruta para tu región:
Para organizaciones de EE. UU., sigue los pasos en Create a Verkada Okta app.
Para organizaciones de la UE y AUS, sigue los pasos en Enable SCIM provisioning in Okta app.
Para confirmar en qué región te encuentras, consulta dónde se creó tu organización para Verkada.
Crear una app Verkada en Okta
Región US
Inicia sesión en Okta.
En el panel de navegación izquierdo, haz clic en Applications.
En la parte superior, haz clic en Browse App Catalog.
En la barra de búsqueda, escribe Verkada, haz clic en la app y luego haz clic en Add Integration.
En Application label, escribe Verkada (o cualquier nombre único que prefieras) y haz clic en Done.
Región EU y AUS
Inicia sesión en Okta.
Ve a la página Applications y haz clic en Create App Integration.
En Create a new app integration, selecciona SAML 2.0 y haz clic en Next.
En el campo App name, ingresa un nombre y haz clic en Next.
En Create SAML Integration:
Para Single sign-on URL:
Para organizaciones EU: https://saml.prod2.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de tu organización.
Para organizaciones AUS: https://saml.ap-syd.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de tu organización.
Para Audience URI (SP Entity ID):
Para organizaciones EU: https://saml.prod2.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de tu organización.
Para organizaciones AUS: https://saml.ap-syd.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de tu organización.
Desplázate hacia abajo y haz clic en Next.
Selecciona el botón de opción I’m an Okta customer adding an internal app y haz clic en Finish (opcionalmente, puedes omitir las preguntas adicionales de Okta).
En la navegación izquierda, haz clic en Applications y abre tu app recién creada (si no eres redirigido automáticamente a tu app).
En la parte superior, selecciona la pestaña General:
En la esquina superior derecha, haz clic en Edit para la configuración de la app.
Marca la casilla Enable SCIM provisioning.
Haz clic en Save.
En SCIM Connection:
En la parte superior de tu app recién creada, selecciona la pestaña Provisioning.
Haz clic en Edit para la configuración de SCIM Connection.
Para SCIM connector base URL
Para organizaciones EU, https://scim.prod2.verkada.com/scim
Para organizaciones AUS, https://scim.ap-syd.verkada.com/scim
Para Unique identifier field for users, ingresa userName.
Marca las casillas Push New Users, Push Profile Updates y Push Groups.
Haz clic en el desplegable Authentication Mode y selecciona HTTP Header.
Copia y pega el token SCIM desde Command en el campo Authorization.
Haz clic en Save.
Configurar la app Verkada en Okta
Región US
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la app Verkada.
A la izquierda, selecciona la pestaña Provisioning.
Bajo la pestaña Provisioning > Integration:
Haz clic en Configure API Integration.
Marca la casilla Enable API integration.
En el campo API Token, copia y pega tu token API generado por Command.
Haz clic en Save.
Bajo la pestaña Provisioning > Settings:
Selecciona To App y haz clic en Edit.
Marca la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haz clic en Save.
Bajo la pestaña Provisioning > sección To App > Verkada Attribute Mappings, haz clic en Go to Profile Editor.
Asegúrate de que los atributos coincidan, como se muestra en el ejemplo abajo. Puedes añadir más atributos de los que se muestran. Consulta Agregar atributos a usuarios gestionados por SCIM.
Región EU y AUS
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la app Verkada.
Bajo la pestaña Provisioning > Settings:
Selecciona To App y haz clic en Edit.
Marca la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haz clic en Save. Puedes añadir más atributos de los que se muestran. Consulta Agregar atributos a usuarios gestionados por SCIM.
Provisionar usuarios y grupos
Los usuarios añadidos a la app se envían automáticamente; los grupos necesitan ser enviados manualmente.
Usuarios dentro de Okta
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la app Verkada.
Haz clic en la pestaña Assignments.
Haz clic en el desplegable Assign y selecciona Assign to People.
Haz clic en Assign para las personas que quieres provisionar a la app.
Verás la información de ese usuario. En la parte inferior, haz clic en Save and Go Back.
Cuando seas redirigido a la página Assign, haz clic en Done.
Grupos dentro de Okta
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la app Verkada.
En la parte superior, selecciona la pestaña Push Groups.
Haz clic en el desplegable Push Groups para encontrar grupos (por nombre o por regla).
Encuentra el grupo que deseas enviar y haz clic en Save. Si tiene éxito, el Push Status mostrará Active.
Command entonces etiqueta usuarios y grupos como SCIM Managed, si son importados vía SCIM.
A la izquierda, haz clic en Applications, luego selecciona la app Verkada.
Haz clic en la pestaña Assignments.
Haz clic en el desplegable Assign y selecciona Assign to Groups.
Haz clic en Assign para los grupos que deseas provisionar a la app.
Verás la información de ese grupo. En la parte inferior, haz clic en Save and Go Back.
Cuando seas redirigido a la página Assign, haz clic en Done.
Agregar atributos a usuarios gestionados por SCIM (opcional)
Región US
Verkada y Okta admiten estos atributos: userName (predeterminado), givenName (predeterminado), familyName (predeterminado), title, employeeNumber, primaryPhone, department, organization
Cómo funciona
Inicia sesión en Okta.
Ve a la página Applications y haz clic en la app Verkada.
Selecciona la pestaña Provisioning.
Bajo Verkada Attribute Mappings, haz clic en Go to Profile Editor.
En Attributes, haz clic en Add Attribute.
En los campos Display name, Variable name y External name, escribe el nombre del atributo. El nombre externo de un número de teléfono principal debe escribirse como phoneNumbers.^[type==work].value
En el campo external namespace, escribe urn:ietf:params:scim:schemas:core:2.0:User
Bajo User Permission, selecciona el botón de opción Read-Write y haz clic en Save.
Región EU y AUS
Verkada y Okta admiten estos atributos: userName (predeterminado), givenName (predeterminado), familyName (predeterminado), title, employeeNumber, primaryPhone, department, organization
Para provisionar números de teléfono fuera de EE. UU. en Command, el número de teléfono del usuario en el perfil en Okta requiere el código de país. Por ejemplo, 0123 456 789 debe ingresarse en Okta como +61 123 456 789 para que se importe correctamente en Command.
Cómo funciona
Inicia sesión en Okta.
Ve a la página Applications y haz clic en la app Verkada.
Ve a la pestaña Provisioning > Go to Profile Editor.
Haz clic en Add Attribute.
En la ventana emergente:
Introduce un nombre de visualización único.
Introduce el nombre variable. Deberás recordarlo para uso futuro.
Introduce un nombre externo. Debe ser uno de los atributos compatibles.
Para external namespace, ingresa urn:ietf:params:scim:schemas:core:2.0:User
Selecciona el botón de opción Read-Write.
Haz clic en Save.
En Profile Editor, haz clic en Mappings.
Haz clic en Okta User to [nombre de tu app verkada].
Encuentra tu atributo recién creado y sin mapear.
Introduce el atributo de usuario apropiado para que el usuario de Okta mapee el atributo recién creado.
Haz clic en Save Mappings.
Eliminar usuarios gestionados por SCIM de Command
Cuando un usuario gestionado por SCIM se desactiva en tu proveedor de identidad, puedes eliminar al usuario de Command de dos maneras:
Eliminar al usuario – La cuenta se mueve a la página Deleted Users pero conserva registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Todos los roles, credenciales, registros de acceso y datos asociados se borran. Si el usuario se reprovisiona vía SCIM, Command crea un nuevo registro de usuario.
Debes desactivar al usuario en tu proveedor de identidad (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
Agregar credenciales de acceso a usuarios gestionados por SCIM (opcional)
Inicia sesión en Okta.
En la navegación izquierda, selecciona Directory > Profile Editor.
a. Selecciona User (predeterminado) como el tipo de usuario. b. Haz clic en Add Attribute y añade los atributos personalizados desde la tabla a continuación.
En la navegación izquierda, selecciona Applications y abre tu aplicación gestionada por SCIM de Verkada.
En la pestaña Provisioning, selecciona To App > Go to Profile Editor.
Haz clic en Add Attribute para crear los atributos listados arriba usando exactamente el mismo Data Type, Display Name, Variable Name, Description y valores ENUM.
a. Establece el External namespace valor para todos los atributos a:
b. Establece Attritbute type a Personal*.* c. Haz clic en Save para añadir el atributo.
Haz clic en Mappings para mapear los atributos de la aplicación Okta User a tu aplicación SCIM.
a. Selecciona Okta User a YourSCIMApp en la parte superior y mapea los atributos personalizados creados para el Okta Default User a los creados en tu aplicación SCIM. b. Haz clic en Save Mappings y Apply updates now para aplicar los cambios.
Los atributos ahora deberían estar disponibles para usar en los perfiles de todos los usuarios de tu aplicación de Okta. Una vez sincronizados, puedes ver las credenciales en Command bajo Access > Access Users> User Profile > Credentials.
Tabla de atributos
Consulta esta lista de credenciales para la lista de formatos de tarjeta aceptables.
Tipo de dato
Nombre para mostrar
Nombre externo
Espacio de nombres externo
Descripción
ENUM
cadena
Formato de tarjeta
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Formato de tarjeta para la credencial de acceso
Dejar sin marcar
cadena
Número de tarjeta
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Número de tarjeta para la credencial de acceso
Dejar sin marcar
cadena
Número de tarjeta Hex
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Representación hexadecimal del número de tarjeta
Dejar sin marcar
cadena
Estado de la credencial
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Estado de la credencial de la tarjeta
Casilla: active → activo, deactivated → desactivado, deleted → eliminado
cadena
Facility Code
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Código de instalación asociado con la tarjeta
Dejar sin marcar
cadena
ID externo
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID único definido por el cliente, no expuesto en la UI
Dejar sin marcar
cadena
ID de departamento
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identificador utilizado para mapear el departamento del usuario en Command
Dejar sin marcar
cadena
Título
title
urn:ietf:params:scim:schemas:core:2.0:User
Título o rol del usuario
Dejar sin marcar
cadena
Número de empleado
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
Employee ID
Dejar sin marcar
cadena
Número de teléfono
phoneNumbers[type eq "work"].value
urn:ietf:params:scim:schemas:core:2.0:User
Número de teléfono del trabajo
Dejar sin marcar
cadena
Departamento
department
urn:ietf:params:scim:schemas:core:2.0:User
Departamento del usuario
Dejar sin marcar
cadena
Organización
organization
urn:ietf:params:scim:schemas:core:2.0:User
Empresa u organización
Dejar sin marcar
Agregar externalId a usuarios gestionados por SCIM (opcional)
Puedes sincronizar un identificador único de tu elección con Command mapeándolo al campo externalId. Esto permite casos de uso avanzados como desambiguar usuarios entre sistemas o sincronizar credenciales de acceso a una referencia única de usuario. Este valor no se muestra en la UI de Command pero se almacena en la base de datos y se puede consultar mediante la API.
Para agregar el atributo externalId y mapearlo desde Okta:
Crear el atributo en el perfil de la app SCIM
En Okta, ve a Directory > Profile Editor
Selecciona tu aplicación gestionada por SCIM de Verkada
Haz clic Add Attribute y añade los detalles del atributo como se indican en la tabla arriba.
Haz clic Save\
Mapear el atributo
Aún en Profile Editor, haz clic en Mappings
Elige Okta User to [Your SCIM App]
Encuentra el campo fuente que quieras mapear (p. ej., user.nickName, employeeNumber u otro campo personalizado)
Mapéalo a verkadaExternalId
Haz clic en la flecha entre campos y selecciona Apply mapping on user create and update
Haz clic Save Mappings
Confirmar que el atributo está poblado
Navega a Directory > People
Abre un perfil de usuario y asegúrate de que el campo fuente desde el que estás mapeando (p. ej., Nickname) tenga un valor
Desde la SCIM App > pestaña Provisioning, usa Force Sync para forzar la sincronización si es necesario\
Consulta esta lista de credenciales para la lista de formatos de tarjeta aceptables.
Problemas conocidos
La actualización de nombres de usuario (correos) no surte efecto automáticamente en Command. Si necesitas cambiar un nombre de usuario, desasigna el usuario de la app SAML y luego vuelve a añadir el usuario a la app para que el cambio surta efecto.
Si un usuario nuevo no puede iniciar sesión a través de SSO, podría ser porque el dominio de correo electrónico no se está agregando a la configuración de SSO en el backend de Verkada. Si el correo del usuario está fuera de los dominios de correo proporcionados cuando se configuró SSO, esto hace que el usuario no pueda usar SSO. Si esta es la causa del problema, debes editar la configuración de SSO y agregar este dominio para solucionar el problema.
Si te encuentras con este error al aprovisionar usuarios "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", consulta este artículo de Okta para pasos de solución de problemas.
Si experimentas cualquier otro problema al configurar SSO, contacta con Verkada Support.
¿Prefieres verlo en acción? Consulta el tutorial en video.
Última actualización
¿Te fue útil?