Google Workspace
Configurez le SSO et le provisionnement des utilisateurs avec Google Workspace
Verkada Command a la capacité de s’intégrer à Google Workspace (parmi d’autres fournisseurs d’identité [IdP]) pour les scénarios d’authentification unique (SSO). Security Assertion Markup Language (SAML) gère l’aspect authentification afin de permettre à Google Workspace d’être utilisé pour gérer l’accès à Command.
SSO basé sur OIDC pour Google Workspace
Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Google Workspace. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée en utilisant leurs identifiants Google existants, simplifiant l’accès à Command et renforçant la sécurité globale.
OIDC n’est pas pris en charge sur l’application Pass ni sur les applications Desk Station.
Configuration OIDC
Connectez-vous à votre console Google Cloud.
Cliquez sur Nouveau projet pour créer un nouveau projet sous votre organisation Google Workspace.
Dans votre nouveau projet, accédez à APIs & Services > Library.
a. Activez les API suivantes :
Identity and Access Management (IAM) API
Admin SDK API
Accédez à APIs & Services > OAuth Consent Screen. Sélectionnez Interne pour le type d’utilisateur et cliquez sur Créer.
Cliquez sur Modifier l’application.
Configurez votre écran de consentement OAuth. Donnez à votre application un nom identifiable (par ex., Verkada SSO OIDC), et indiquez l’e-mail de l’entité qui gère Google Workspace de votre organisation (par ex., IT) comme e-mail de support utilisateur de votre application. Cliquez sur Enregistrer et continuer.
Configurez vos étendues OAuth.
Sélectionnez les étendues suivantes :
userinfo.email
userinfo.profile
openid
Cliquez sur Mettre à jour.
Si vous ne voyez pas la dernière option, vous devrez peut-être Ajouter au tableau sous Ajouter manuellement des étendues.
Cliquez sur Enregistrer et continuer et revenez au tableau de bord de votre application.
Accédez à Identifiants. Cliquez sur Créer des identifiants et créez un ID client OAuth.
Sélectionnez Application Web comme type d’application. Donnez à votre client un nom identifiable, et ajoutez ce qui suit à la liste des URI de redirection autorisés :
https://org-short-name.command.verkada.com/oidc/google/callback (où org-short-name est le nom court de votre organisation Command)
Cliquez sur Créer.
Copiez votre ID client. Notez que nous n’utiliserons pas le secret client.
Configuration de Verkada Command
Dans Verkada Command, allez à Tous les produits > Admin.
Dans la navigation de gauche, sélectionnez Connexion et accès.
Sélectionnez Configuration de l’authentification unique.
Sous Configuration OIDC, cliquez sur Ajouter nouveau.
a. Activez Activer. b. (Optionnel) Activez Exiger OIDC SSO. c. Sous Sélectionner le fournisseur, sélectionnez Google. d. Sous Ajouter un client et un locataire, cliquez sur :plus:.
Dans le champ ID client , collez l’ID client que vous avez copié depuis la console Google Cloud.
Dans le Champ ID locataire , saisissez le domaine utilisé par Google Workspace de votre organisation (si votre e-mail Google est [email protected], saisissez votre-domaine.com).
Cliquez sur Terminé pour compléter la configuration.
h. Domaines e-mail, cliquez sur :plus:.
Saisissez le nom de domaine présent (par ex. @verkada.com).
Cliquez sur Terminé.
Sous Test de connexion, cliquez sur Exécuter le test de connexion.
Un test de connexion réussi devrait rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche sous Domaines associés.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce second test de connexion n’aura pas réussi.
Une fois votre domaine vérifié, vous devriez voir sa validation réussie.
Intégration SAML Google Workspace
Verkada Command a la capacité de s’intégrer à Google Workspace (parmi d’autres fournisseurs d’identité [IdP]) pour les scénarios d’authentification unique (SSO). Security Assertion Markup Language (SAML) gère l’aspect authentification afin de permettre à Google Workspace d’être utilisé pour gérer l’accès à Command.
Avant de commencer
Assurez-vous d’être déjà inscrit sur Verkada Command et qu’un compte existe pour l’utilisateur dans le même domaine personnalisé. Vous pouvez ajouter Command en tant qu’application personnalisée.
Familiarisez-vous avec ces termes pour optimiser votre intégration :
champ ID client—ID client. Pour le localiser, allez à Admin > Confidentialité et sécurité > Configuration de l’authentification unique > Ajouter nouveau.
Données de fédération XML—Les informations uniques provenant de votre instance Google Workspace qui permettent à Verkada de configurer la fédération entre Google Workspace et votre instance Command (les étapes pour télécharger cela sont fournies plus loin).
Configuration de Google Workspace
Allez à Google Workspace > tableau de bord Google Admin et sélectionnez Applications Web et mobiles.
Sélectionnez le menu déroulant Ajouter une application et choisissez Ajouter une application SAML personnalisée.
Remplissez les informations de l’application ; vous pouvez utiliser n’importe quel nom et description.
Obtenez le logo Verkada Command à ajouter à votre application Google Workspace.
Cliquez sur Continuer.
Utilisez l’option 1 pour télécharger les métadonnées IdP correspondant aux métadonnées de fédération Extensible Markup Language (XML) et cliquez sur Continuer.
Ce fichier permet à Verkada de configurer le SSO dans Command. Enregistrez-le dans un emplacement pratique pour une utilisation ultérieure.
Saisissez les détails du fournisseur de services (comme indiqué) pour configurer le SSO ou, vous pouvez copier les détails depuis la page Nouvelle configuration SSO (dans Verkada Command), puis cliquez sur Continuer.
a. Pour URL ACS: Pour les organisations US : https://vauth.command.verkada.com/saml/sso/ Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Pour ID d’entité: Pour les organisations US : https://vauth.command.verkada.com/saml/sso/ Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Pour URL de démarrage: Pour les organisations US : https://vauth.command.verkada.com/saml/login/ Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/login/
Reportez-vous à l’endroit où votre organisation a été créée pour confirmer dans quelle région se trouve votre organisation.
Remplissez les correspondances d’attributs (comme indiqué ci‑dessous) et cliquez sur Terminer. Cela garantit que Command reçoit les informations correctes concernant l’utilisateur. Vous devriez être redirigé vers la page de configuration de l’application.
Configuration de Command
Dans Verkada Command, allez à Tous les produits > Admin .
Sélectionnez Connexion et accès > Authentification unique (SSO).
Cliquez sur Ajouter pour démarrer une nouvelle configuration ou pour modifier une configuration existante.
Sous Métadonnées XML du fournisseur d’identité, téléversez votre fichier de métadonnées.
Sous Domaines e-mail, ajoutez les domaines e-mail qui seront utilisés pour se connecter à votre organisation.
Vérifiez que vous pouvez accéder à Command via l’une de ces URL (remplacez le client-id par celui utilisé lors de la configuration).
Pour les organisations US : https://vauth.command.verkada.com/saml/login/
Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Consultez Admin > Confidentialité des données > Résidence des données > Emplacement de traitement des données pour confirmer où se situe votre région.
Vous serez redirigé vers la page de configuration de l’application Google Workspace pour compléter la connexion.
Connexion via l’application mobile
Dans le champ adresse e-mail, saisissez l’e-mail de l’utilisateur et cliquez sur Suivant.
Vous devriez être redirigé vers votre IdP (Google Workspace) pour terminer le processus de connexion.
Provisionnement des utilisateurs Google Workspace
L’intégration native Google Workspace permet aux organisations de synchroniser automatiquement les utilisateurs et les groupes depuis Google Workspace vers Verkada Command. Cela simplifie la gestion des identités et l’intégration générale des utilisateurs.
Contrairement aux intégrations SCIM de Verkada avec Okta ou Azure, cette intégration utilise l’Admin SDK et l’API Reports de Google Workspace, authentifiés via un compte de service Google avec délégation à l’échelle du domaine.
Avec l’intégration activée, Command peut :
Importer des utilisateurs et des groupes depuis des groupes Google Workspace sélectionnés ou des unités organisationnelles (OU)
Les synchroniser dans Command en tant qu’utilisateurs et groupes gérés
Maintenir l’exactitude de l’annuaire grâce à des synchronisations planifiées en arrière‑plan et des synchronisations à la demande depuis l’interface d’administration
Créer un compte de service Google
Pour permettre à Command de lire les données utilisateur et de groupe de votre domaine Google Workspace, il doit s’authentifier auprès des API Google à l’aide d’un compte de service. Ce type de compte est conçu pour un accès programmatique et doit être configuré avec les bonnes étendues API et la délégation à l’échelle du domaine. Ces paramètres sont configurés dans votre console Google Cloud compte.
Vérifier les politiques et rôles
Vous devez d’abord vérifier si votre utilisateur a les autorisations pour créer un compte de service et générer la clé JSON du compte de service. Pour vous assurer de ne pas être bloqué par les politiques de sécurité de votre locataire :
Allez à la console Google Cloud et connectez-vous avec vos identifiants Super Admin.
Dans le coin supérieur gauche, ouvrez le sélecteur de projet et choisissez votre ressource de niveau supérieur (Type : Organisation).
Dans le panneau de gauche, accédez à IAM & Admin → IAM.
Cliquez sur Accorder l’accès sous Afficher par principaux.
a. Sous Ajouter des principaux, saisissez l’adresse e-mail de l’utilisateur. b. Sous Attribuer des rôles, recherchez et sélectionnez Administrateur de la stratégie d’organisation. c. Cliquez sur Enregistrer.
Dans le panneau de gauche, sélectionnez Politiques de l’organisation.
Dans la liste des politiques, recherchez et désactivez les éléments suivants :
Créer un compte de service
Dans le console Google Cloud, en haut à gauche, ouvrez le sélecteur de projet.
Cliquez sur Nouveau projet.
Saisissez un nom de projet (par exemple, Verkada User Sync) et créez le projet.
Une fois le projet créé, confirmez qu’il est sélectionné dans la barre de navigation en haut à gauche.
Dans la barre latérale gauche, allez à IAM & Admin → Comptes de service.
Cliquez sur + Créer un compte de service.
Remplissez les champs suivants :
Nom : Saisissez un nom descriptif (par ex., Verkada User Provisioning)
ID : Laissez tel quel ou personnalisez (optionnel)
Description : Ajoutez une note, telle que Utilisé par Verkada pour lire les données de l’annuaire Workspace (optionnel)
Cliquez sur Créer et continuer.
Passez l’étape Accorder l’accès au projet — aucun rôle n’est requis ici.
Cliquez sur Continuer → Terminé.
Dans la liste des comptes de service, copiez l’ID client OAuth 2 du compte nouvellement créé. Vous aurez besoin de cet ID plus tard pour compléter votre configuration.
Générer une clé JSON
Dans la liste des comptes de service, cliquez sur le nom du compte ou sélectionnez les trois points à côté de votre nouveau compte de service et choisissez Gérer les clés.
Sous l’onglet Clés, cliquez sur Ajouter une clé → Créer une nouvelle clé.
Sélectionnez JSON et cliquez sur Créer.
Un .json fichier sera téléchargé sur votre ordinateur. Enregistrez-le dans un emplacement sécurisé pour l’utiliser plus tard lors de la configuration de l’intégration dans Verkada Command.
Ce fichier JSON contient les informations d’identification que l’intégration Google Workspace dans Command utilise pour s’authentifier auprès des API Google via OAuth 2.0. Conservez ce fichier en lieu sûr, car il donne accès aux données de votre Workspace et ne doit jamais être partagé ni rendu public.
Activer les API Google requises
Verkada Command nécessite l’accès à des API Google Workspace spécifiques pour lire les utilisateurs, les groupes, les domaines et les journaux d’audit. Ces API doivent être activées dans votre projet Google Cloud avant que l’intégration puisse fonctionner.
Allez à la console Google Cloud, et connectez-vous avec vos identifiants Super Admin.
Dans la barre latérale gauche, allez à APIs & Services → Bibliothèque d’API.
Dans la barre de recherche, trouvez et sélectionnez Admin SDK API, puis cliquez sur Activer.
Cette API est requise pour lire les utilisateurs, les groupes et les métadonnées du domaine.
(Optionnel) Recherchez et activez l’API Reports pour permettre la surveillance des journaux d’audit et détecter les modifications de l’annuaire.
Activer la délégation à l’échelle du domaine
Pour permettre au compte de service d’usurper l’identité d’un administrateur et d’accéder aux données utilisateur et groupe de votre domaine, vous devez lui accorder la délégation à l’échelle du domaine. Cela permet au compte de service d’effectuer des opérations de lecture au nom d’un administrateur sans nécessiter une réauthentification manuelle.
Accédez à la Console d’administration Google et connectez-vous avec vos identifiants de super administrateur pour votre locataire Google Workspace.
Depuis la page d’accueil de la console d’administration, allez à Sécurité → Contrôle d’accès et des données → Contrôles API.
Sur la page Contrôles API, faites défiler jusqu’à la section Délégation à l’échelle du domaine et cliquez sur Gérer la délégation à l’échelle du domaine.
Cliquez sur Ajouter nouveau et saisissez les détails suivants :
ID client : Collez l’ID client OAuth 2 pour le fichier de clé de votre compte de service (le
client_iddu champ dans le JSON).Étendues OAuth (séparées par des virgules) :
Cliquez sur Autoriser.
La nouvelle entrée de délégation apparaîtra sur la page, confirmant que le compte de service peut désormais être utilisé par Verkada Command pour interroger les données utilisateur, groupe et d’audit.
Définir les valeurs des attributs utilisateur
Avant de synchroniser les utilisateurs vers Verkada Command, confirmez que les attributs clés (tels que le prénom, le nom, l’e-mail et l’identifiant employé) sont correctement renseignés dans Google Workspace.
Connectez-vous au Console d’administration Google en utilisant votre compte Super Admin.
Allez dans Annuaire → Utilisateurs.
Sélectionnez le profil utilisateur que vous souhaitez mettre à jour.
Cliquez sur Informations utilisateur, puis développez les sections pertinentes (par exemple, Informations de base ou Informations sur l’employé).
Mettez à jour les champs suivants selon les besoins :
Adresse e-mail principale
Prénom et Nom de famille
ID employé (sous Informations sur l’employé)
Numéro de téléphone (sous Informations de contact)
Cliquez sur Enregistrer pour appliquer vos modifications.
Les attributs suivants peuvent être synchronisés de Google Workspace vers Verkada Command :
Nom de l’attribut Google Workspace
Champ Command
Prénom
Prénom
Nom de famille
Nom
Département
Département
Centre de coûts
ID de département
ID employé
ID employé
Intitulé du poste
Titre de l’employé
Numéro de téléphone (principal domicile/travail/mobile)
Numéro de téléphone
Les utilisateurs et groupes synchronisés depuis Google Workspace sont gérés exclusivement dans Workspace et ne peuvent pas être modifiés manuellement dans Verkada Command.
Activer l’intégration dans Command
Vous avez besoin des autorisations Administrateur d’organisation pour configurer cette intégration.
Dans Verkada Command, allez à Tous les produits > Admin.
Dans Paramètres de l’organisation, sélectionnez Connexion et accès → Provisionnement des utilisateurs → Google Workspace.
a. Saisissez l’adresse e‑mail de votre super administrateur Google Workspace. Pour la sécurité et la continuité, Verkada recommande d’utiliser un compte de service dédié qui possède des autorisations administratives équivalentes, plutôt qu’un compte utilisateur personnel. a. Téléversez la clé JSON que vous avez générée dans votre projet Google Cloud Console. b. Une fois l’authentification réussie, cliquez sur Ajouter pour sélectionner les groupes et/ou unités organisationnelles que vous souhaitez synchroniser vers Command. c. Cliquez sur Activer.
Une fois la première synchronisation effectuée avec succès, un bouton Synchroniser maintenant sera disponible pour des mises à jour à la demande à tout moment.
Questions fréquentes
Mis à jour
Ce contenu vous a-t-il été utile ?