Okta
Configura SSO y aprovisionamiento de usuarios con Okta
Verkada Command tiene la capacidad de integrarse con Okta (entre otros proveedores de identidad [IdP]) en 2 funciones, dependiendo del caso de uso:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML maneja el proceso de autenticación, permitiendo que Okta se utilice para gestionar el acceso a Command, igual que cualquier otra aplicación de Software como Servicio (SaaS) ya integrada en su tenant de Okta. Esto significa que Command puede incorporarse en su marco de identidad existente y ser controlado por acceso en función de las políticas actuales que tenga implementadas.
SCIM le permite aprovechar sus usuarios y grupos existentes ya presentes en Okta y sincronizarlos con Command. Esto le permite mantener el proveedor de identidad central actual y configurar el acceso usando sus usuarios y grupos existentes a través de Command para controlar el acceso a la plataforma.
Verkada recomienda OIDC sobre SAML para mayor seguridad y una configuración más sencilla. OIDC también habilita Cifrado controlado por la empresa.
SSO basado en OIDC para Okta
Verkada Command admite Single Sign-On (SSO) a través de OpenID Connect (OIDC) con Okta. Esta integración permite a nuestros usuarios autenticarse de forma fluida y segura usando sus credenciales de Okta existentes, optimizando el acceso a Command y mejorando la seguridad general.
OIDC no es compatible con la aplicación Pass ni con las aplicaciones Desk Station.
Habilitar Cifrado controlado por la empresa (ECE) para mayor seguridad.
Configuración de OIDC
Vaya a su instancia de Okta para crear una nueva aplicación que gestione su configuración OIDC. Haga clic en Applications desde la barra lateral de Applications y haga clic en Create App Integration.
En Create a new app integration, seleccione OIDC - OpenID Connect como su Sign-in method y Single-Page Application como su Application type.
En Sign-in redirect URIs dé a su aplicación un nombre identificable y agregue los siguientes enlaces a la lista de Sign-in redirect URIs:
a. https://command.verkada.com/oidc/okta/callback b. https://.command.verkada.com/oidc/okta/callback donde en la URL está el nombre corto de su organización de Command.
(Opcional) En Sign-out redirect URIs agregue https://command.verkada.com/.
En Assignments, seleccione Skip Group Assignment por ahora y haga clic en Save.
En Assignments, haga clic en el desplegable Assign para asignar esta aplicación a sus perfiles de usuario (y a otros relevantes).
En General, copie el Client ID que se muestra en Client Credentials.
Configuración en Command
En Verkada Command, ve a Todos los Productos > Admin.
En la navegación izquierda, seleccione Login & Access.
Seleccione Single Sign-On Configuration.
En OIDC Configuration, haga clic en Add New.
a. Active el interruptor Habilitar. b. (Opcional) Active el interruptor Requerir OIDC SSO. c. Bajo Seleccionar proveedor, seleccione Okta. d. Bajo Agregar cliente y tenant, haga clic :plus:.
En el Client ID campo pegue el Client ID que copió desde Okta.
En el Tenant ID campo ingrese la primera parte de la URL de su instancia de Okta. Debería verse así: https://yourinstancename.okta.com.
Haz clic Hecho.
h. Email Domains, haga clic :plus:.
Ingrese el nombre de dominio presente (por ejemplo, @verkada.com).
Haz clic Hecho.
En Login Test haga clic en Run Login Test.
Una prueba de inicio de sesión exitosa debería redirigir a la página de configuración de OIDC. Una vez que haya iniciado sesión, agregue el dominio que necesita poner en la lista blanca.
Una vez que su dominio esté agregado, ejecute la prueba de inicio de sesión nuevamente. SSO no se habilitará hasta que esta segunda prueba de inicio de sesión se complete correctamente.
Una vez que su dominio esté verificado, debería verlo validado con éxito.
Integración SAML de Okta
Antes de comenzar
Para una integración exitosa, elija la mejor ruta para su región:
Para organizaciones de EE. UU., utilizará una aplicación Verkada existente siguiendo los pasos directamente abajo.
Para organizaciones de la UE y AUS, siga los pasos de la siguiente sección para configurar una nueva integración de aplicación en Okta.
Crear una aplicación Verkada en Okta (organizaciones de EE. UU.)
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en Browse App Catalog.
En la barra de búsqueda, escriba Verkada.
Haga clic en Add.
Haga clic en Done.
Configurar una nueva integración de aplicación desde Okta (organizaciones de la UE)
Vaya a Applications y seleccione Create App Integration.
Cree una nueva integración de aplicación, seleccione SAML 2.0 y haga clic en Next.
En la página "Create a SAML integration", en General Settings, ingrese un nombre para la aplicación, opcionalmente agregue un logo de la aplicación y luego haga clic en Next.
En la página de configurar SAML, complete el Single sign-on- URL & Entity ID. Single sign-on URL para organizaciones de la UE:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<client-ID>
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID> Audience URI (SP Entity ID) para organizaciones de la UE:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<client-ID>
Para organizaciones de AUS: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Nota: client-ID debe extraerse de la configuración de Command y reemplazarse en los enlaces insertados en la aplicación Okta.
El nombre de usuario de la aplicación es el Okta Username.
En la sección de attribute statements, configure el mapeo de atributos como sigue:
email>user.emailfirstName>user.firstNamelastName>user.lastName
En la página de feedback, marque la casilla etiquetada "This is an internal app that we have created".
Mapeos de atributos
Vaya a Directory > Profile Editor > elija la aplicación Verkada > verifique los atributos
Haga clic en Mappings and Verify App to Okta user mappings
Mapeos de usuario a aplicación:
Configuración
En Okta, seleccione la pestaña Sign On para la aplicación Verkada y haga clic en Edit.
Desplácese hacia abajo hasta Advanced Sign-On Settings e ingrese el Client ID desde su cuenta de Command.
Seleccione Save.
Desplácese más abajo hasta SAML Signing Certificates y haga clic en Generate new certificate, si no existe un certificado nuevo.
A la derecha del certificado, seleccione el desplegable Actions y haga clic en View IdP metadata
Haga clic derecho en los metadatos y seleccione guardar como y descargue como tipo de archivo XML.
Después de descargar el archivo XML, necesita subirlo a Command.
En la sección Verify Metadata, haga clic en Run Login Test.
Solución de problemas
La actualización de nombres de usuario (correos electrónicos) no surte efecto automáticamente en Command. Si necesita cambiar un nombre de usuario, desasigne el usuario de la aplicación SAML y luego vuelva a agregar el usuario a la aplicación para que el cambio surta efecto.
Si un usuario nuevo no puede iniciar sesión vía SSO, podría ser porque el dominio de correo electrónico no se está agregando a la configuración SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios proporcionados cuando se configuró SSO, esto hace que el usuario no pueda usar SSO. Si esta es la causa del problema, debe editar la configuración SSO y agregar ese dominio para resolver el problema.
Si experimenta cualquier otro problema al configurar SSO, contacte a Soporte de Verkada.
Integración SCIM de Okta
Antes de comenzar
Necesita un token de API para conectarse al endpoint SCIM de Verkada. Este token es único por organización de Verkada. Aprenda cómo adquirir un token de API SCIM.
Para una integración exitosa, elija la mejor ruta para su región:
Para organizaciones de EE. UU., siga los pasos en Create a Verkada Okta app.
Para organizaciones de la UE y AUS, siga los pasos en Enable SCIM provisioning in Okta app.
Para confirmar en qué región se encuentra, consulte dónde se creó su organización para Verkada.
Crear una aplicación Verkada en Okta
Región de EE. UU.
Inicie sesión en Okta.
En el panel de navegación izquierdo, haga clic en Applications.
En la parte superior, haga clic en Browse App Catalog.
En la barra de búsqueda, escriba Verkada, haga clic en la aplicación y luego haga clic en Add Integration.
Para Application label, escriba Verkada (o cualquier nombre único que prefiera) y haga clic en Done.
Región de la UE y AUS
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en Create App Integration.
En Create a new app integration, seleccione SAML 2.0 y haga clic en Next.
En el campo App name, ingrese un nombre y haga clic en Next.
En Create SAML Integration:
Para Single sign-on URL:
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de su organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/login/<org short name> donde <org short name> es el nombre corto de su organización.
Para Audience URI (SP Entity ID):
Para organizaciones de la UE: https://saml.prod2.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de su organización.
Para organizaciones de AUS: https://saml.ap-syd.verkada.com/saml/sso/<org short name> donde <org short name> es el nombre corto de su organización.
Desplácese hacia abajo y haga clic en Next.
Seleccione el botón de opción I’m an Okta customer adding an internal app y haga clic en Finish (opcionalmente, puede omitir las preguntas adicionales de Okta).
En la navegación izquierda, haga clic en Applications y abra la aplicación que creó recientemente (si no se le redirige automáticamente a su aplicación).
En la parte superior, seleccione la pestaña General:
En la parte superior derecha, haga clic en Edit para la App Settings de su aplicación.
Marque la casilla Enable SCIM provisioning.
Haga clic en Save.
En SCIM Connection:
En la parte superior de su aplicación recién creada, seleccione la pestaña Provisioning.
Haga clic en Edit para la configuración de SCIM Connection.
Para SCIM connector base URL
Para organizaciones de la UE, https://scim.prod2.verkada.com/scim
Para organizaciones de AUS, https://scim.ap-syd.verkada.com/scim
Para Unique identifier field for users, ingrese userName.
Marque las casillas Push New Users, Push Profile Updates y Push Groups.
Haga clic en el desplegable Authentication Mode y seleccione HTTP Header.
Copie y pegue el token SCIM desde Command en el campo Authorization.
Haga clic en Save.
Configurar la aplicación Verkada en Okta
Región de EE. UU.
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
A la izquierda, seleccione la pestaña Provisioning.
Bajo la pestaña Provisioning > Integration:
Haga clic en Configure API Integration.
Marque la casilla Enable API integration.
En el campo API Token, copie y pegue su token API generado por Command.
Haga clic en Save.
Bajo la pestaña Provisioning > Settings:
Seleccione To App y haga clic en Edit.
Marque la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haga clic en Save.
Bajo la pestaña Provisioning > sección To App > Verkada Attribute Mappings, haga clic en Go to Profile Editor.
Asegúrese de que los atributos coincidan, como se muestra en el ejemplo a continuación. Puede agregar más atributos de los que se muestran. Vea Agregar atributos a usuarios gestionados por SCIM.
Región de la UE y AUS
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
Bajo la pestaña Provisioning > Settings:
Seleccione To App y haga clic en Edit.
Marque la casilla Enable para Create Users, Update User Attributes y Deactivate Users.
Haga clic en Save. Puede agregar más atributos de los que se muestran. Vea Agregar atributos a usuarios gestionados por SCIM.
Provisionar usuarios y grupos
Los usuarios agregados a la aplicación se envían automáticamente; los grupos deben enviarse manualmente.
Usuarios dentro de Okta
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
Haga clic en la pestaña Assignments.
Haga clic en el desplegable Assign y seleccione Assign to People.
Haga clic en Assign para las personas que desea provisionar en la aplicación.
Verá la información de ese usuario. En la parte inferior, haga clic en Save and Go Back.
Cuando sea redirigido a la página Assign, haga clic en Done.
Grupos dentro de Okta
Inicie sesión en Okta.
A la izquierda, haga clic en Applications y haga clic en la aplicación Verkada.
En la parte superior, seleccione la pestaña Push Groups.
Haga clic en el desplegable Push Groups para encontrar grupos (por nombre o por regla).
Encuentre el grupo que desea enviar y haga clic en Save. Si tiene éxito, el Push Status mostrará Active.
Command luego etiqueta a los usuarios y grupos como SCIM Managed, si se importan vía SCIM.
A la izquierda, haga clic en Applications, luego seleccione la aplicación Verkada.
Haga clic en la pestaña Assignments.
Haga clic en el desplegable Assign y seleccione Assign to Groups.
Haga clic en Assign para los grupos que desea provisionar en la aplicación.
Verá la información de ese grupo. En la parte inferior, haga clic en Save and Go Back.
Cuando sea redirigido a la página Assign, haga clic en Done.
Agregar atributos a usuarios gestionados por SCIM (opcional)
Región de EE. UU.
Verkada y Okta admiten estos atributos: userName (predeterminado), givenName (predeterminado), familyName (predeterminado), title, employeeNumber, primaryPhone, department, organization
Cómo funciona
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en la aplicación Verkada.
Seleccione la pestaña Provisioning.
En Verkada Attribute Mappings, haga clic en Go to Profile Editor.
En Attributes, haga clic en Add Attribute.
En los campos Display name, Variable name y External name, escriba el nombre del atributo. El nombre externo de un número de teléfono primario debe escribirse como phoneNumbers.^[type==work].value
En el campo external namespace, escriba urn:ietf:params:scim:schemas:core:2.0:User
En User Permission, seleccione el botón de opción Read-Write y haga clic en Save.
Región de la UE y AUS
Verkada y Okta admiten estos atributos: userName (predeterminado), givenName (predeterminado), familyName (predeterminado), title, employeeNumber, primaryPhone, department, organization
Para provisionar números de teléfono fuera de EE. UU. en Command, el número de teléfono del usuario en el perfil de Okta requiere el código de país. Por ejemplo, 0123 456 789 debe ingresarse en Okta como +61 123 456 789 para que se importe correctamente a Command.
Cómo funciona
Inicie sesión en Okta.
Vaya a la página Applications y haga clic en la aplicación Verkada.
Vaya a Provisioning tab > Go to Profile Editor.
Haga clic en Add Attribute.
En la ventana emergente:
Ingrese un nombre para mostrar único.
Ingrese el nombre de variable. Deberá recordarlo para uso futuro.
Ingrese un nombre externo. Debe ser uno de los atributos compatibles.
Para external namespace, ingrese urn:ietf:params:scim:schemas:core:2.0:User
Seleccione el botón de opción Read-Write.
Haga clic en Save.
En Profile Editor, haga clic en Mappings.
Haga clic en Okta User to [nombre de su aplicación verkada].
Busque su nuevo atributo creado y sin asignar.
Ingrese el atributo de usuario apropiado para el usuario de Okta para mapear el atributo recién creado.
Haga clic en Save Mappings.
Eliminar usuarios gestionados por SCIM de Command
Cuando un usuario gestionado por SCIM se desactiva en su proveedor de identidad, puede eliminar al usuario de Command de dos maneras:
Eliminar el usuario – La cuenta se mueve a la página Deleted Users pero conserva registros históricos, roles y permisos.
Eliminar permanentemente al usuario – Todos los roles, credenciales, registros de acceso y datos asociados se borran. Si el usuario vuelve a aprovisionarse vía SCIM, Command crea un nuevo registro de usuario.
Debe desactivar al usuario en su proveedor de identidad (IdP) antes de que cualquiera de las opciones de eliminación esté disponible en Command.
Agregar credenciales de acceso a usuarios gestionados por SCIM (opcional)
Inicie sesión en Okta.
En la navegación izquierda, seleccione Directory > Profile Editor.
a. Seleccione User (predeterminado) como el tipo de usuario. b. Haga clic en Add Attribute y agregue los atributos personalizados de la tabla a continuación.
En la navegación izquierda, seleccione Applications y abra su aplicación administrada por SCIM de Verkada.
En la pestaña Provisioning, seleccione To App > Go to Profile Editor.
Haga clic en Add Attribute para crear los atributos listados arriba usando exactamente el mismo Data Type, Display Name, Variable Name, Description y valores ENUM.
a. Establezca el External namespace valor para todos los atributos en:
b. Establezca Tipo de atributo a Personal*.* c. Haga clic en Save para agregar el atributo.
Haga clic en Mappings para mapear los atributos desde la aplicación Okta User a su aplicación SCIM.
a. Seleccione Okta User a YourSCIMApp en la parte superior y mapee los atributos personalizados creados para el Okta Default User a los creados en su aplicación SCIM. b. Haga clic en Save Mappings y Apply updates now para aplicar los cambios.
Los atributos ahora deberían estar disponibles para usar en los perfiles de todos los usuarios de su aplicación Okta. Una vez sincronizados, puede ver las credenciales en Command bajo Access > Access Users> User Profile > Credentials.
Tabla de atributos
Consulte esta lista de credenciales para la lista de formatos de tarjeta aceptables.
Tipo de datos
Nombre para mostrar
Nombre externo
Namespace externo
Descripción
ENUM
cadena
Formato de tarjeta
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Formato de tarjeta para la credencial de acceso
Dejar sin marcar
cadena
Número de tarjeta
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Número de tarjeta para la credencial de acceso
Dejar sin marcar
cadena
Número de tarjeta en hexadecimal
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Representación hexadecimal del número de tarjeta
Dejar sin marcar
cadena
Estado de la credencial
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Estado de la credencial de la tarjeta
Casilla: active → active, deactivated → deactivated, deleted → deleted
cadena
Código de instalación
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Código de instalación asociado con la tarjeta
Dejar sin marcar
cadena
ID externo
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID único definido por el cliente, no expuesto en la UI
Dejar sin marcar
cadena
ID de departamento
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identificador usado para mapear el departamento del usuario en Command
Dejar sin marcar
cadena
Título
title
urn:ietf:params:scim:schemas:core:2.0:User
Título o rol del usuario
Dejar sin marcar
cadena
Número de empleado
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
Employee ID
Dejar sin marcar
cadena
Número de teléfono
phoneNumbers[type eq "work"].value
urn:ietf:params:scim:schemas:core:2.0:User
Número de teléfono del trabajo
Dejar sin marcar
cadena
Departamento
department
urn:ietf:params:scim:schemas:core:2.0:User
Departamento del usuario
Dejar sin marcar
cadena
Organización
organization
urn:ietf:params:scim:schemas:core:2.0:User
Empresa u organización
Dejar sin marcar
Agregar externalId a usuarios gestionados por SCIM (opcional)
Puede sincronizar un identificador único de su elección con Command mapeándolo al campo externalId. Esto permite casos de uso avanzados como desambiguar usuarios entre sistemas o sincronizar credenciales de acceso a una referencia única de usuario. Este valor no se muestra en la UI de Command pero se almacena en la base de datos y puede consultarse vía API.
Para agregar el atributo externalId y mapearlo desde Okta:
Crear el atributo en el perfil de la aplicación SCIM
En Okta, vaya a Directory > Profile Editor
Seleccione su aplicación Verkada administrada por SCIM
Haz clic Add Attribute y agregue los detalles del atributo como se indican en la tabla anterior.
Haz clic Save\
Mapear el atributo
Aún en Profile Editor, haga clic en Mappings
Elija Okta User to [Your SCIM App]
Encuentre el campo de origen que desea mapear (por ejemplo, user.nickName, employeeNumber u otro campo personalizado)
Mapéelo a verkadaExternalId
Haga clic en la flecha entre campos y seleccione Apply mapping on user create and update
Haz clic Save Mappings
Confirmar que el atributo está poblado
Vaya a Directory > People
Abra un perfil de usuario y asegúrese de que el campo de origen del que está mapeando (por ejemplo, Nickname) tenga un valor
Desde la SCIM App > pestaña Provisioning, use Force Sync para enviar las actualizaciones si es necesario\
Consulte esta lista de credenciales para la lista de formatos de tarjeta aceptables.
Problemas conocidos
La actualización de nombres de usuario (correos electrónicos) no surte efecto automáticamente en Command. Si necesita cambiar un nombre de usuario, desasigne el usuario de la aplicación SAML y luego vuelva a agregar el usuario a la aplicación para que el cambio surta efecto.
Si un usuario nuevo no puede iniciar sesión vía SSO, podría ser porque el dominio de correo electrónico no se está agregando a la configuración SSO en el backend de Verkada. Si el correo electrónico del usuario está fuera de los dominios proporcionados cuando se configuró SSO, esto hace que el usuario no pueda usar SSO. Si esta es la causa del problema, debe editar la configuración SSO y agregar ese dominio para resolver el problema.
Si encuentra este error mientras aprovisiona usuarios "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", vea este artículo de Okta para pasos de solución de problemas.
Si experimenta cualquier otro problema al configurar SSO, contacte a Soporte de Verkada.
¿Prefiere verlo en acción? Consulte el tutorial en video.
Última actualización
¿Te fue útil?