Google Workspace
Configurez le SSO et le provisioning des utilisateurs avec Google Workspace
Verkada Command a la capacité de s’intégrer à Google Workspace (parmi d’autres fournisseurs d’identité [IdP]) pour des scénarios d’authentification unique (SSO). Security Assertion Markup Language (SAML) gère l’aspect authentification afin de permettre à Google Workspace d’être utilisé pour gérer l’accès à Command.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple.
SSO basé sur OIDC pour Google Workspace
Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Google Workspace. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée en utilisant leurs identifiants Google existants, simplifiant l’accès à Command et améliorant la sécurité globale.
OIDC n’est pas pris en charge dans l’application Pass ni dans les applications Desk Station.
Activer Cryptage contrôlé par l’entreprise (ECE) pour une sécurité renforcée.
Configuration OIDC
Connectez-vous à votre console Google Cloud.
Cliquez sur Nouveau projet pour créer un nouveau projet sous votre organisation Google Workspace.
Dans votre nouveau projet, accédez à API et services > Bibliothèque.
a. Activez les APIs suivantes :
Identity and Access Management (IAM) API
Admin SDK API
Accédez à API et services > Écran de consentement OAuth. Sélectionnez Interne pour le type d’utilisateur et cliquez sur Créer.
Cliquez sur Modifier l’application.
Configurez votre écran de consentement OAuth. Donnez à votre application un nom identifiable (par exemple, Verkada SSO OIDC), et indiquez l’email de l’entité qui gère le Google Workspace de votre organisation (par exemple, l’équipe IT) comme email de support utilisateur de votre application. Cliquez sur Enregistrer et continuer.
Configurez vos étendues OAuth.
Sélectionnez les étendues suivantes :
userinfo.email
userinfo.profile
openid
Cliquez sur Mettre à jour.
Si vous ne voyez pas la dernière option, il se peut que vous deviez Ajouter au tableau sous Ajouter manuellement des étendues.
Cliquez sur Enregistrer et continuer et revenez au tableau de bord de votre application.
Accédez à Identifiants. Cliquez sur Créer des identifiants et créez un ID client OAuth.
Sélectionnez Application Web comme type d’application. Donnez à votre client un nom identifiable, et ajoutez ce qui suit à la liste des URI de redirection autorisés :
https://org-short-name.command.verkada.com/oidc/google/callback (où org-short-name est le nom court de votre organisation Command)
Cliquez sur Créer.
Copiez votre ID client. Notez que nous n’utiliserons pas le secret client.
Configuration de Verkada Command
Dans Verkada Command, allez à Tous les produits > Admin.
Dans la navigation de gauche, sélectionnez Connexion et accès.
Sélectionnez Configuration de l’authentification unique.
Sous Configuration OIDC, cliquez sur Ajouter nouveau.
a. Activez le bascule Activer. b. (Optionnel) Activez le bascule Exiger OIDC SSO. c. Sous Sélectionner le fournisseur, sélectionnez Google. d. Sous Ajouter client et locataire, cliquez sur :plus:.
Dans le ID client champ, collez l’ID client que vous avez copié depuis la console Google Cloud.
Dans le ID locataire champ, saisissez le domaine utilisé par le Google Workspace de votre organisation (si votre email Google est [email protected], saisissez your-domain.com).
Cliquez sur Terminé pour compléter la configuration.
h. Domaines de messagerie, cliquez sur :plus:.
Saisissez le nom de domaine présent (par ex. @verkada.com).
Cliquez sur Terminé.
Sous Test de connexion cliquez sur Exécuter le test de connexion.
Un test de connexion réussi devrait rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche sous Domaines associés.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion n’aura pas réussi.
Une fois votre domaine vérifié, vous devriez voir sa validation réussie.
Intégration SAML de Google Workspace
Verkada Command a la capacité de s’intégrer à Google Workspace (parmi d’autres fournisseurs d’identité [IdP]) pour des scénarios d’authentification unique (SSO). Security Assertion Markup Language (SAML) gère l’aspect authentification afin de permettre à Google Workspace d’être utilisé pour gérer l’accès à Command.
Avant de commencer
Assurez-vous que vous êtes déjà inscrit sur Verkada Command et qu’un compte existe pour l’utilisateur dans le même domaine personnalisé. Vous pouvez ajouter Command en tant qu’application personnalisée.
Familiarisez-vous avec ces termes pour optimiser votre intégration :
ID client—ID client. Pour le localiser, allez à Admin > Confidentialité et sécurité > Configuration de l’authentification unique > Ajouter nouveau.
Données de fédération XML—Les informations uniques provenant de votre instance Google Workspace qui permettent à Verkada de configurer la fédération entre Google Workspace et votre instance Command (les étapes pour télécharger ceci sont fournies plus loin).
Configuration de Google Workspace
Allez sur Google Workspace > Tableau de bord de l’administrateur Google et sélectionnez Applications web et mobiles.
Sélectionnez le menu déroulant Ajouter une application et choisissez Ajouter une application SAML personnalisée.
Remplissez les informations de l’application ; vous pouvez utiliser n’importe quel nom et description.
Obtenez le logo Verkada Command à ajouter à votre application Google Workspace.
Cliquez sur Continuer.
Utilisez l’option 1 pour télécharger les métadonnées IdP qui correspondent au format XML des métadonnées de fédération et cliquez sur Continuer.
Ce fichier permet à Verkada de configurer le SSO dans Command. Enregistrez-le dans un emplacement pratique pour une utilisation ultérieure.
Saisissez les détails du fournisseur de service (comme indiqué) pour configurer le SSO ou, vous pouvez copier les détails depuis la page Nouvelle configuration SSO (dans Verkada Command), puis cliquez sur Continuer.
a. Pour URL ACS: Pour les organisations américaines : https://vauth.command.verkada.com/saml/sso/ Pour les organisations européennes : https://saml.prod2.verkada.com/saml/sso/Pour les organisations australiennes : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Pour ID d’entité: Pour les organisations américaines : https://vauth.command.verkada.com/saml/sso/ Pour les organisations européennes : https://saml.prod2.verkada.com/saml/sso/Pour les organisations australiennes : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Pour URL de démarrage: Pour les organisations américaines : https://vauth.command.verkada.com/saml/login/ Pour les organisations européennes : https://saml.prod2.verkada.com/saml/login/Pour les organisations australiennes : https://saml.prod-ap-syd.verkada.com/saml/login/
Reportez-vous à l’endroit où votre organisation a été créée pour confirmer dans quelle région se trouve votre organisation.
Remplissez les mappages d’attributs (comme indiqué ci-dessous) et cliquez sur Terminer. Cela garantit que Command reçoit les informations correctes concernant l’utilisateur. Vous devriez être redirigé vers la page de configuration de l’application.
Configuration de Command
Dans Verkada Command, allez à Tous les produits > Admin .
Sélectionnez Connexion et accès > Authentification unique (SSO).
Cliquez sur Ajouter pour démarrer une nouvelle configuration ou pour modifier une configuration existante.
Sous Métadonnées XML du fournisseur d’identité, téléversez votre fichier de métadonnées.
Sous Domaines de messagerie, ajoutez les domaines de messagerie qui seront utilisés pour se connecter à votre organisation.
Vérifiez que vous pouvez accéder à Command à l’une de ces URL (remplacez le client-id par celui utilisé lors de la configuration).
Pour les organisations américaines : https://vauth.command.verkada.com/saml/login/
Pour les organisations européennes : https://saml.prod2.verkada.com/saml/login/
Pour les organisations australiennes : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Voir Admin > Confidentialité des données > Résidence des données > Emplacement du traitement des données pour confirmer où se trouve votre région.
Vous serez redirigé vers la page de configuration de l’application Google Workspace pour terminer la connexion.
Connexion via l’application mobile
Command sur Android et iOS prend en charge la connexion via SAML.
Dans le champ d’adresse e-mail, tapez l’email de l’utilisateur et cliquez sur Suivant.
Vous devriez être redirigé vers votre IdP (Google Workspace) pour terminer le processus de connexion.
Provisionnement des utilisateurs Google Workspace
L’intégration native Google Workspace permet aux organisations de synchroniser automatiquement les utilisateurs et groupes depuis Google Workspace vers Verkada Command. Cela simplifie la gestion des identités et l’intégration générale des utilisateurs.
Contrairement aux intégrations SCIM de Verkada avec Okta ou Azure, cette intégration utilise l’Admin SDK et l’API Reports de Google Workspace, authentifiés via un compte de service Google avec délégation sur l’ensemble du domaine.
Avec l’intégration activée, Command peut :
Importer des utilisateurs et des groupes depuis des Groupes Google Workspace ou des unités organisationnelles (OU) sélectionnées
Les synchroniser dans Command en tant qu’utilisateurs et groupes gérés
Maintenir l’exactitude de l’annuaire avec des synchronisations en arrière-plan planifiées et des synchronisations à la demande depuis l’interface d’administration
Créer un compte de service Google
Pour permettre à Command de lire les données des utilisateurs et des groupes depuis votre domaine Google Workspace, il doit s’authentifier auprès des APIs de Google en utilisant un compte de service. Ce type de compte est conçu pour l’accès programmatique et doit être configuré avec les bonnes étendues API et la délégation de domaine. Ces paramètres sont configurés dans votre console Google Cloud compte.
Vérifier les stratégies et rôles
Vous devez d’abord vérifier si votre utilisateur dispose des autorisations pour créer un compte de service et générer la clé JSON du compte de service. Pour vous assurer de ne pas être bloqué par des stratégies de sécurité dans votre locataire :
Accédez au console Google Cloud et connectez-vous avec vos identifiants Super Admin.
Dans le coin supérieur gauche, ouvrez le menu déroulant Sélecteur de projet et choisissez votre ressource de niveau supérieur (Type : Organisation).
Dans le panneau de gauche, accédez à IAM et Admin → IAM.
Cliquez sur Accorder l’accès sous Afficher par principaux.
a. Sous Ajouter des principaux, saisissez l’adresse e-mail de l’utilisateur. b. Sous Attribuer des rôles, recherchez et sélectionnez Administrateur de la stratégie d’organisation. c. Cliquez sur Enregistrer.
Dans le panneau de gauche, sélectionnez Stratégies d’organisation.
Dans la liste des stratégies, recherchez et désactivez les éléments suivants :
Créer un compte de service
Dans le console Google Cloud, en haut à gauche, ouvrez le menu déroulant Sélecteur de projet.
Cliquez sur Nouveau projet.
Saisissez un nom de projet (par exemple, Verkada User Sync) et créez le projet.
Une fois le projet créé, confirmez qu’il est sélectionné dans la barre de navigation en haut à gauche.
Dans la barre latérale gauche, allez à IAM et Admin → Comptes de service.
Cliquez sur + Créer un compte de service.
Remplissez les champs suivants :
Nom : Saisissez un nom descriptif (par ex., Verkada User Provisioning)
ID : Laissez tel quel ou personnalisez (optionnel)
Description : Ajoutez une note, telle que Utilisé par Verkada pour lire les données de l’annuaire Workspace (optionnel)
Cliquez sur Créer et continuer.
Passez l’étape Accorder l’accès au projet — aucun rôle n’est requis ici.
Cliquez sur Continuer → Terminé.
Dans la liste des comptes de service, copiez l’ID client OAuth 2 du compte nouvellement créé. Vous aurez besoin de cet ID plus tard pour compléter votre configuration.
Générer une clé JSON
Dans la liste des comptes de service, cliquez sur le nom du compte ou sélectionnez les trois points à côté de votre nouveau compte de service et choisissez Gérer les clés.
Sous l’onglet Clés, cliquez sur Ajouter une clé → Créer une nouvelle clé.
Sélectionnez JSON et cliquez sur Créer.
Un .json fichier sera téléchargé sur votre ordinateur. Enregistrez-le dans un emplacement sécurisé pour l’utiliser plus tard lors de la configuration de l’intégration dans Verkada Command.
Ce fichier JSON contient les identifiants que l’intégration Google Workspace dans Command utilise pour s’authentifier auprès des APIs Google via OAuth 2.0. Gardez ce fichier sécurisé, car il donne accès aux données de votre Workspace et ne doit jamais être partagé ni rendu public.
Activer les APIs Google requises
Verkada Command nécessite l’accès à des APIs Google Workspace spécifiques pour lire les utilisateurs, groupes, domaines et journaux d’audit. Ces APIs doivent être activées dans votre projet Google Cloud avant que l’intégration puisse fonctionner.
Accédez au console Google Cloud, et connectez-vous avec vos identifiants Super Admin.
Dans la barre latérale gauche, allez à API et services → Bibliothèque d’API.
Dans la barre de recherche, trouvez et sélectionnez Admin SDK API, puis cliquez sur Activer.
Cette API est requise pour lire les utilisateurs, groupes et métadonnées de domaine.
(Optionnel) Recherchez et activez l’API Reports pour permettre la surveillance des journaux d’audit et détecter les modifications de l’annuaire.
Activer la délégation sur l’ensemble du domaine
Pour permettre au compte de service d’usurper un administrateur et d’accéder aux données des utilisateurs et des groupes dans tout votre domaine, vous devez lui accorder la délégation sur l’ensemble du domaine. Cela permet au compte de service d’exécuter des opérations de lecture au nom d’un administrateur sans nécessiter une ré-authentification manuelle.
Accédez à la Console d’administration Google et connectez-vous avec vos identifiants de super administrateur pour votre locataire Google Workspace.
Depuis la page d’accueil de la Console d’administration, allez à Sécurité → Accès et contrôle des données → Contrôles API.
Sur la page Contrôles API, faites défiler jusqu’à la section Délégation sur l’ensemble du domaine et cliquez sur Gérer la délégation sur l’ensemble du domaine.
Cliquez sur Ajouter nouveau et saisissez les détails suivants :
ID client : Collez l’ID client OAuth 2 pour le fichier de clé de votre compte de service (le champ
client_iddans le JSON).Étendues OAuth (séparées par des virgules) :
Cliquez sur Autoriser.
La nouvelle entrée de délégation apparaîtra sur la page, confirmant que le compte de service peut désormais être utilisé par Verkada Command pour interroger les données des utilisateurs, des groupes et des audits.
Définir les valeurs des attributs utilisateur
Avant de synchroniser les utilisateurs vers Verkada Command, confirmez que les attributs clés (comme le prénom, le nom, l’email et l’identifiant employé) sont correctement renseignés dans Google Workspace.
Connectez-vous au Console d’administration Google en utilisant votre compte Super Admin.
Allez dans Annuaire → Utilisateurs.
Sélectionnez le profil utilisateur que vous souhaitez mettre à jour.
Cliquez sur Informations utilisateur, puis développez les sections pertinentes (par exemple, Informations de base ou Informations sur l’employé).
Mettez à jour les champs suivants si nécessaire :
Adresse e-mail principale
Prénom et Nom de famille
Identifiant employé (sous Informations sur l’employé)
Numéro de téléphone (sous Informations de contact)
Cliquez sur Enregistrer pour appliquer vos modifications.
Les attributs suivants peuvent être synchronisés de Google Workspace vers Verkada Command :
Nom d’attribut Google Workspace
Champ Command
Prénom
Prénom
Nom de famille
Nom de famille
Département
Département
Centre de coûts
ID du département
Identifiant employé
Identifiant employé
Intitulé du poste
Titre de l’employé
Numéro de téléphone (Domicile/Travail/Mobile principal)
Numéro de téléphone
Les utilisateurs et groupes synchronisés depuis Google Workspace sont gérés exclusivement dans Workspace et ne peuvent pas être modifiés manuellement dans Verkada Command.
Pour garantir que les numéros de téléphone des utilisateurs se synchronisent correctement vers Verkada Command, saisissez-les au format international, incluant l’indicatif du pays et sans espaces ni traits d’union.
Exemple : +14155552671
Activer l’intégration dans Command
Vous avez besoin des permissions Admin org pour configurer cette intégration.
Dans Verkada Command, allez à Tous les produits > Admin.
Dans Paramètres de l’organisation, sélectionnez Connexion et accès → Provisionnement des utilisateurs → Google Workspace.
a. Saisissez l’adresse e-mail de votre Super Admin Google Workspace. Pour la sécurité et la continuité, Verkada recommande d’utiliser un compte de service dédié disposant d’autorisations d’admin équivalentes, plutôt qu’un compte utilisateur personnel. a. Téléversez la clé JSON que vous avez générée dans votre projet Google Cloud Console. b. Une fois l’authentification réussie, cliquez sur Ajouter pour sélectionner les Groupes et/ou les unités organisationnelles que vous souhaitez synchroniser vers Command. c. Cliquez sur Activer.
Une fois la première synchronisation terminée avec succès, un bouton Synchroniser maintenant sera disponible pour des mises à jour à la demande à tout moment.
FAQ
Mis à jour
Ce contenu vous a-t-il été utile ?