Okta
Configura el SSO y el aprovisionamiento de usuarios con Okta
Verkada Command tiene la capacidad de integrarse con Okta (entre otros proveedores de identidad [IdP]) en 2 modalidades, según el caso de uso:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gestiona el proceso de autenticación, lo que permite usar Okta para administrar el acceso a Command, igual que cualquier otra aplicación de Software como Servicio (SaaS) ya integrada en tu tenant de Okta. Esto significa que Command puede incorporarse a tu marco de identidad existente y controlar el acceso según las políticas actuales que tengas implementadas.
SCIM te permite aprovechar tus usuarios y grupos existentes ya presentes en Okta y sincronizarlos con Command. Esto te permite mantener el proveedor de identidad central actual y configurar el acceso usando tus usuarios y grupos existentes a través de Command para controlar el acceso a la plataforma.
Verkada recomienda OIDC sobre SAML para una mayor seguridad y una configuración más sencilla. OIDC también habilita Cifrado controlado por la empresa.
SSO basado en OIDC para Okta
Verkada Command admite inicio de sesión único (SSO) mediante OpenID Connect (OIDC) con Okta. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales existentes de Okta, simplificando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con las aplicaciones de Desk Station.
Habilitar Cifrado controlado por la empresa (ECE) para una mayor seguridad.
Configuración de OIDC
Ve a tu instancia de Okta para crear una nueva aplicación y administrar tu configuración de OIDC. Haz clic en Applications en la opción lateral Applications y luego en Create App Integration.
En Create a new app integration, selecciona OIDC - OpenID Connect como método de inicio de sesión y Single-Page Application como tipo de aplicación.
En Sign-in redirect URIs, asigna a tu aplicación un nombre identificable y añade los siguientes enlaces a la lista de Sign-in redirect URIs:
a. https://command.verkada.com/oidc/okta/callback b. http://<org-short-name>.command.verkada.com/oidc/okta/callback donde en la URL está el nombre corto de tu organización de Command.
(Opcional) En Sign-out redirect URIs, añade https://command.verkada.com/.
En Assignments, selecciona Skip Group Assignment por ahora y haz clic en Save.
En Assignments, haz clic en el menú desplegable Assign para asignar esta aplicación a tu perfil de usuario (y al de otros usuarios relevantes).
En General, copia el Client ID que aparece en Client Credentials.
Configuración de Command
En Verkada Command, ve a All Products > Admin.
En la navegación izquierda, selecciona Login & Access.
Selecciona Single Sign-On Configuration.
En OIDC Configuration, haz clic en Add New.
a. Activa Enable. b. (Opcional) Activa Require OIDC SSO. c. En Select Provider, selecciona Okta. d. En Add Client and Tenant, haz clic en :plus:.
En el Client ID campo pega el Client ID que copiaste de Okta.
En el Tenant ID campo introduce la primera parte de la URL de tu instancia de Okta. Debe verse así: https://yourinstancename.okta.com.
Haz clic en Done.
h. Email Domains, haz clic en :plus:.
Introduce el nombre de tu dominio presente (por ejemplo, @verkada.com).
Haz clic en Done.
En Login Test, haz clic en Run Login Test.
Una prueba de inicio de sesión exitosa debería redirigirte a la página de configuración de OIDC. Una vez que hayas iniciado sesión, añade el dominio que necesitas incluir en la lista blanca.
Una vez añadido tu dominio, vuelve a ejecutar la prueba de inicio de sesión. El SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.
Una vez verificado tu dominio, deberías verlo validado correctamente.
Integración SAML de Okta
Antes de empezar
Para una integración exitosa, elige la mejor ruta para tu región:
Para organizaciones de EE. UU., usarás una aplicación de Verkada existente siguiendo los pasos que se indican directamente a continuación.
Para organizaciones de la UE y AUS, sigue los pasos de la siguiente sección para configurar una nueva integración de aplicación en Okta.
Crear una aplicación de Verkada en Okta (regiones de EE. UU.)
Inicia sesión en Okta.
Ve a la página Applications y haz clic en Browse App Catalog.
En la barra de búsqueda, escribe Verkada.
Haz clic en Add Integration.
Haz clic en Done.
En Okta, selecciona la pestaña Sign On de la aplicación Verkada y haz clic en Edit.
Desplázate hacia abajo hasta Advanced Sign-On Settings e introduce el Client ID de tu cuenta de Command.
Selecciona Save.
Configurar una nueva integración de aplicación desde Okta (regiones UE y AUS)
Ve a Applications y selecciona Create App Integration.
Crea una nueva integración de aplicación, selecciona SAML 2.0 y haz clic en Next.
En la página "Create a SAML integration", en General Settings, introduce un nombre de aplicación, opcionalmente añade un logotipo de aplicación y luego haz clic en Next.
En la página de configuración de SAML, completa Single Sign-On URL y Audience URI (SP Entity ID) con estos enlaces:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<client-ID>
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Marca la casilla Use this for Recipient URL and Destination URL .
Client ID debe obtenerse de la configuración de Command y reemplazarse en los enlaces insertados en la aplicación de Okta.
El nombre de usuario de la aplicación es el nombre de usuario de Okta.
Haz clic en Next. En la página de comentarios, marca la casilla "This is an internal app that we have created". Haz clic en Finish.
En la sección de declaraciones de atributos, configura el mapeo de atributos de la siguiente manera:
email>user.emailfirstName>user.firstNamelastName>user.lastName
Configuración
En Okta, selecciona la pestaña Assignments de la aplicación. Haz clic en Assign y selecciona People o Groups para habilitar SSO para estos usuarios.
Selecciona la pestaña Sign On de la aplicación.
Desplázate hacia abajo hasta SAML Signing Certificates y haz clic en Generate new certificate si no existe un certificado nuevo.
A la derecha del certificado, selecciona el menú desplegable Actions y haz clic en View IdP metadata.
Haz clic con el botón derecho en los metadatos, selecciona "Save As" y descárgalos como archivo XML.
Después de descargar el archivo XML, súbelo a Command.
En la sección Verify Metadata, haz clic en Run Login Test.
Solución de problemas
Actualizar nombres de usuario (correos electrónicos) no surte efecto automáticamente en Command. Si necesitas cambiar un nombre de usuario, desasigna al usuario de la aplicación SAML y luego vuelve a añadir al usuario a la aplicación para que el cambio surta efecto.
Si un nuevo usuario no puede iniciar sesión a través de SSO, podría ser porque el dominio de correo electrónico no se está añadiendo a la configuración de SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios de correo configurados cuando se configuró SSO, el usuario no puede usar SSO. Si esta es la causa del problema, debes editar la configuración de SSO y añadir este dominio para resolverlo.
Si experimentas cualquier otro problema al configurar SSO, contacta con el equipo de soporte de Verkada.
Integración SCIM de Okta
Antes de empezar
Necesitas un token de API para conectarte al endpoint SCIM de Verkada. Este token es único por organización de Verkada. Aprende cómo obtener un token de API SCIM.
Para una integración exitosa, elige la mejor ruta para tu región:
Para organizaciones de EE. UU., sigue los pasos en Create a Verkada Okta app.
Para organizaciones de la UE y AUS, sigue los pasos en Enable SCIM provisioning in Okta app.
Para confirmar en qué región te encuentras, consulta dónde se creó tu organización de Verkada.
Crear una aplicación de Verkada en Okta
Región de EE. UU.
Inicia sesión en Okta.
En el panel de navegación izquierdo, haz clic en Applications.
En la parte superior, haz clic en Browse App Catalog.
4. En la barra de búsqueda, escribe Verkada, haz clic en la aplicación y luego en Add Integration.
5. En Application label, escribe Verkada (o cualquier otro nombre único que prefieras) y haz clic en Done.
Región de la UE y AUS
Inicia sesión en Okta.
Ve a la página Applications y haz clic en Create App Integration.
En Create a new app integration, selecciona SAML 2.0 y haz clic en Next.
En el campo App name, introduce un nombre y haz clic en Next.
En Create SAML Integration:
Para Single sign-on URL:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de tu organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de tu organización.
Para Audience URI (SP Entity ID):
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de tu organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de tu organización.
Desplázate hacia abajo y haz clic en Next.
Selecciona el botón de opción I’m an Okta customer adding an internal app y haz clic en Finish (opcionalmente, puedes omitir las preguntas adicionales de Okta).
En la navegación izquierda, haz clic en Applications y haz clic en tu aplicación recién creada (si no se te redirige automáticamente a tu aplicación).
En la parte superior, selecciona la pestaña General:
En la esquina superior derecha, haz clic en Edit para App Settings de tu aplicación.
Marca la casilla Enable SCIM provisioning.
Haz clic en Save.
En SCIM Connection:
En la parte superior de tu aplicación recién creada, selecciona la pestaña Provisioning.
Haz clic en Edit para la configuración de SCIM Connection.
Para SCIM connector base URL
Para organizaciones de la UE, https://scim.prod2.verkada.com/scim
Para organizaciones de AUS, https://scim.ap-syd.verkada.com/scim
Para Unique identifier field for users, introduce userName.
Marca las casillas Push New Users, Push Profile Updates y Push Groups.
Haz clic en el menú desplegable Authentication Mode y selecciona HTTP Header.
Copia y pega el token SCIM de Command en el campo Authorization.
Haz clic en Save.
Configurar la aplicación Verkada en Okta
Región de EE. UU.
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la aplicación Verkada.
A la izquierda, selecciona la pestaña Provisioning.
En la pestaña Provisioning > Integration:
Haz clic en Configure API Integration.
Marca la casilla Enable API integration.
En el campo API Token, copia y pega tu token de API generado por Command.
Haz clic en Save.
En la pestaña Provisioning > Settings:
Selecciona To App y haz clic en Edit.
Marca la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haz clic en Save.
En la pestaña Provisioning > sección To App > Verkada Attribute Mappings, haz clic en Go to Profile Editor.
Asegúrate de que los atributos coincidan, como se muestra en el ejemplo a continuación. Puedes añadir más atributos de los que se muestran. Consulta Añadir atributos a usuarios gestionados por SCIM.
Región de la UE y AUS
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la aplicación Verkada.
En la pestaña Provisioning > Settings:
Selecciona To App y haz clic en Edit.
Marca la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haz clic en Save. Puedes añadir más atributos de los que se muestran. Consulta Añadir atributos a usuarios gestionados por SCIM.
Atributos adicionales para usuarios gestionados por SCIM
Añadir atributos a usuarios gestionados por SCIM (opcional)
Verkada y Okta admiten estos atributos: userName (predeterminado), givenName (predeterminado), familyName (predeterminado), title, employeeNumber, primaryPhone, department, organization.
También puedes sincronizar un identificador único con Command asignándolo al campo externalId . Esto habilita casos de uso avanzados, como desambiguar usuarios entre sistemas o sincronizar credenciales de acceso con una referencia única de usuario. Este valor se almacena en la base de datos y puede consultarse mediante API, pero no aparece en la interfaz de usuario de Command.
Para aprovisionar números de teléfono fuera de EE. UU. en Command, incluye el código de país en el número de teléfono del usuario en el perfil de Okta.
Por ejemplo:
EE. UU.: 123-456-7890 → +1 123-456-7890
Reino Unido: 07123 456789 → +44 7123 456789
Usar el formato internacional garantiza que el número se importe correctamente a Command.
Inicia sesión en Okta.
Crea el atributo en el perfil de la app SCIM.
En Okta, ve a Directory > Profile Editor.
Selecciona el User de Verkada gestionado por SCIM.
Haz clic en Add Attribute y añade los detalles del atributo como se enumeran en la tabla a continuación.
Haz clic en Guardar.
Mapear el atributo
Aún en Profile Editor, haz clic en Mappings.
Elige Okta User to [Tu app SCIM].
Haz clic en el menú desplegable y busca el campo de origen que deseas mapear (por ejemplo, user.nickName, employeeNumber u otro campo personalizado) y asígnalo al atributo
appuser.Haz clic en la flecha entre los campos y selecciona Apply mapping on user create and update.
Haz clic en Save Mappings.
Confirmar que el atributo esté poblado
Ve a Directory > People.
Abre el perfil de un usuario y asegúrate de que el campo de origen desde el que estás mapeando (por ejemplo, Nickname) tenga un valor.
Desde la pestaña SCIM App > Provisioning, usa Force Sync para enviar actualizaciones si es necesario.
Consulta esta lista de credenciales para ver la lista de formatos de tarjeta aceptables.
Añadir credenciales de acceso a usuarios gestionados por SCIM (opcional)
Inicia sesión en Okta.
En la navegación izquierda, selecciona Directory > Profile Editor.
Selecciona User (default) como tipo de usuario.
Haz clic en Add Attribute y añade los atributos personalizados de la tabla a continuación.
En la navegación izquierda, selecciona Applications y abre tu aplicación de Verkada gestionada por SCIM.
En la pestaña Provisioning, selecciona To App > Go to Profile Editor.
Haz clic en Add Attribute para crear los atributos enumerados arriba usando exactamente el mismo Data Type, Display Name, Variable Name, Description y valores ENUM.
Establece el valor de External namespace para todos los atributos en:
Establece Attribute type en Personal.
Haz clic en Save para añadir el atributo.
Haz clic en Mappings para asignar los atributos de la aplicación Okta User a tu aplicación SCIM.
Selecciona Okta User a TuAppSCIM en la parte superior y asigna los atributos personalizados creados para Okta Default User a los creados en tu aplicación SCIM.
Haz clic en Save Mappings y Apply updates now para aplicar los cambios.
Los atributos ahora deberían estar disponibles para usarse en los perfiles de todos los usuarios de tu aplicación de Okta. Una vez sincronizados, puedes ver las credenciales en Command en Access > Access Users > User Profile > Credentials.
Tabla de atributos
Consulta esta lista de credenciales para ver la lista de formatos de tarjeta aceptables. El tipo de datos de todos los atributos será string.
Nombre para mostrar
Nombre variable / nombre externo
Espacio de nombres externo
Descripción
ENUM
Formato de tarjeta
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Formato de tarjeta para la credencial de acceso
Dejar sin marcar
Número de tarjeta
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Número de tarjeta para la credencial de acceso
Dejar sin marcar
Número de tarjeta hexadecimal
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Representación hexadecimal del número de tarjeta
Dejar sin marcar
Estado de la credencial
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Estado de la credencial de la tarjeta
Casilla: active → active, deactivated → deactivated, deleted → deleted
Código de instalación
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Código de instalación asociado con la tarjeta
Dejar sin marcar
ID externo
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID único definido por el cliente, no visible en la interfaz de usuario
Dejar sin marcar
ID de departamento
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identificador utilizado para mapear el departamento del usuario en Command
Dejar sin marcar
Título
title
urn:ietf:params:scim:schemas:core:2.0:User
Título o cargo del usuario
Dejar sin marcar
Número de empleado
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
ID de empleado
Dejar sin marcar
Número de teléfono
Nombre variable: phoneNumber
Nombre externo: phoneNumbers[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
Número de teléfono del trabajo
Dejar sin marcar
Departamento
department
urn:ietf:params:scim:schemas:core:2.0:User
Departamento del usuario
Dejar sin marcar
Organización
organization
urn:ietf:params:scim:schemas:core:2.0:User
Empresa u organización
Dejar sin marcar
Aprovisionar usuarios y grupos
Los usuarios añadidos a la aplicación se envían automáticamente; los grupos deben enviarse manualmente.
Usuarios dentro de Okta
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la aplicación Verkada.
Haz clic en la pestaña Assignments.
Haz clic en el menú desplegable Assign y selecciona Assign to People.
Haz clic en Assign para las personas que deseas aprovisionar a la aplicación.
Verás la información de ese usuario. En la parte inferior, haz clic en Save and Go Back.
Cuando se te redirija a la página Assign, haz clic en Done.
Grupos dentro de Okta
Inicia sesión en Okta.
A la izquierda, haz clic en Applications y haz clic en la aplicación Verkada.
Haz clic en el menú desplegable Assign y selecciona Assign to Groups.
Haz clic en Assign para los grupos que deseas aprovisionar a la aplicación.
Verás la información de ese grupo. En la parte inferior, haz clic en Save and Go Back.
Cuando se te redirija a la página Assign, haz clic en Done.
En la parte superior, selecciona la pestaña Push Groups.
Haz clic en el menú desplegable Push Groups para buscar grupos (por nombre o por regla).
Busca el grupo que deseas enviar y haz clic en Save. Si tiene éxito, Push Status muestra Active.
A continuación, Command etiqueta a los usuarios y grupos como SCIM Managed, si se importan mediante SCIM.
Eliminar usuarios gestionados por SCIM de Command
Cuando un usuario gestionado por SCIM se desactiva en tu proveedor de identidad, puedes eliminar al usuario de Command de dos maneras:
Eliminar al usuario – La cuenta pasa a la página Deleted Users, pero conserva los registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Se borran todos los roles, credenciales, registros de acceso y datos asociados. Si el usuario se vuelve a aprovisionar mediante SCIM, Command crea un nuevo registro de usuario.
Debes desactivar al usuario en tu proveedor de identidad (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
Problemas conocidos
Actualizar nombres de usuario (correos electrónicos) no surte efecto automáticamente en Command. Si necesitas cambiar un nombre de usuario, desasigna al usuario de la aplicación SAML y luego vuelve a añadir al usuario a la aplicación para que el cambio surta efecto.
Si un nuevo usuario no puede iniciar sesión a través de SSO, podría ser porque el dominio de correo electrónico no se está añadiendo a la configuración de SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios de correo proporcionados cuando se configuró SSO, esto provoca que el usuario no pueda usar SSO. Si esta es la causa del problema, debes editar la configuración de SSO y añadir este dominio para resolverlo.
Si te encuentras con este error al aprovisionar usuarios, "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", consulta este artículo de Okta para ver los pasos de solución de problemas.
Si experimentas cualquier otro problema al configurar SSO, contacta con el equipo de soporte de Verkada.
¿Prefieres verlo en acción? Consulta el tutorial en video.
Última actualización
¿Te fue útil?