Google Workspace

Configurez l’authentification unique (SSO) et le provisionnement des utilisateurs avec Google Workspace

Verkada Command a la capacité de s’intégrer à Google Workspace (entre autres fournisseurs d’identité [IdP]) pour des scénarios d’authentification unique (SSO). Le langage de balisage des assertions de sécurité (SAML) gère l’aspect authentification afin de permettre à Google Workspace d’être utilisé pour gérer l’accès à Command.

Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple.

SSO basé sur OIDC pour Google Workspace

Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Google Workspace. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée à l’aide de leurs identifiants Google existants, simplifiant ainsi l’accès à Command et renforçant la sécurité globale.

OIDC n’est pas pris en charge sur les applications Desk Station.

Activer Chiffrement contrôlé par l’entreprise (ECE) pour une sécurité renforcée.

Configuration OIDC

Connectez-vous à votre console Google Cloud.

Cliquez sur Nouveau projet pour créer un nouveau projet au sein de votre organisation Google Workspace.

Dans votre nouveau projet, accédez à APIs et services > Bibliothèque.

a. Activez les API suivantes :

API de gestion des identités et des accès (IAM)
API Admin SDK

Accédez à APIs et services > Écran de consentement OAuth. Sélectionnez Interne pour le type d’utilisateur, puis cliquez sur Créer.

Cliquez sur Modifier l’application.

Configurez votre écran de consentement OAuth. Donnez à votre application un nom identifiable (par ex. Verkada SSO OIDC), et indiquez l’adresse e-mail de l’entité qui gère Google Workspace de votre organisation (par ex. IT) comme e-mail d’assistance utilisateur de votre application. Cliquez sur Enregistrer et continuer.

Configurez vos périmètres OAuth.

Sélectionnez les périmètres suivants :

userinfo.email
userinfo.profile
openid
https://www.googleapis.com/auth/admin.directory.user.readonly

Cliquez sur Mettre à jour.

Si vous ne voyez pas la dernière option, vous devrez peut-être Ajouter au tableau sous Ajouter manuellement des périmètres.

Cliquez sur Enregistrer et continuer, puis revenez au tableau de bord de votre application.

Accédez à Identifiants. Cliquez sur Créer des identifiants et créez un ID client OAuth.

Sélectionnez Application Web comme type d’application. Donnez à votre client un nom identifiable et ajoutez ce qui suit à la liste des URI de redirection autorisés :

https://command.verkada.com/oidc/google/callback
https://org-short-name.command.verkada.com/oidc/google/callback (où org-short-name est le nom court de votre organisation Command)

Cliquez sur Créer.

Copiez votre ID client. Notez que nous n’utiliserons pas le secret client.

Configuration de Verkada Command

Dans Verkada Command, accédez à Tous les produits > Admin.

Dans la navigation de gauche, sélectionnez Connexion et accès.

Sélectionnez Configuration de l’authentification unique.

Sous Configuration OIDC, cliquez sur Ajouter nouveau.

a. Activez Activer. b. (Facultatif) Activez Exiger le SSO OIDC. c. Sous Sélectionner le fournisseur, sélectionnez Google. d. Sous Ajouter client et locataire, cliquez sur :plus: .

Dans le champ ID client , collez l’ID client que vous avez copié depuis la console Google Cloud.
Dans le champ ID du locataire champ, saisissez le domaine utilisé par Google Workspace de votre organisation (si votre e-mail Google est example@your-domain.com, saisissez your-domain.com).
Cliquez sur Terminé pour terminer la configuration.

h. Domaines de messagerie, cliquez sur :plus:.

Saisissez le nom de domaine présent (par ex. @verkada.com).
Cliquez sur Terminé.

Sous Test de connexion, cliquez sur Exécuter le test de connexion.

Un test de connexion réussi doit rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez autoriser dans Domaines associés.

Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion n’aura pas été terminé avec succès.

Une fois votre domaine vérifié, vous devriez le voir validé avec succès.

Intégration SAML Google Workspace

Avant de commencer

Assurez-vous d’être déjà inscrit sur Verkada Command et qu’un compte existe pour l’utilisateur dans le même domaine personnalisé. Vous pouvez ajouter Command en tant qu’application personnalisée.

Familiarisez-vous avec ces termes pour optimiser votre intégration :

ID client—ID client. Pour le localiser, allez à Admin > Confidentialité et sécurité > Configuration de l’authentification unique > Ajouter nouveau.
XML des données de fédération—Les informations uniques de votre instance Google Workspace qui permettent à Verkada de configurer la fédération entre Google Workspace et votre instance Command (les étapes pour le télécharger sont fournies plus loin).

Configuration de Google Workspace

Allez dans Google Workspace > tableau de bord Google Admin et sélectionnez Applications Web et mobiles.

Sélectionnez le menu déroulant Ajouter une application, puis Ajouter une application SAML personnalisée.

Renseignez les informations de l’application ; vous pouvez utiliser n’importe quel nom et description.

Obtenez le logo Verkada Command à ajouter à votre application Google Workspace.

Cliquez sur Continuer.

Utilisez l’option 1 pour télécharger les métadonnées IdP correspondant au langage de balisage extensible des métadonnées de fédération (XML) et cliquez sur Continuer.

Ce fichier permet à Verkada de configurer le SSO dans Command. Enregistrez-le dans un emplacement pratique pour une utilisation ultérieure.

Saisissez les détails du fournisseur de services (comme indiqué) pour configurer le SSO ou copiez les détails depuis la page Nouvelle configuration SSO (dans Verkada Command), puis cliquez sur Continuer.

a. Pour URL ACS: Pour les organisations US : https://vauth.command.verkada.com/saml/sso/ Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/sso/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Pour ID d’entité: Pour les organisations US : https://vauth.command.verkada.com/saml/sso/ Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/sso/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Pour URL de démarrage: Pour les organisations US : https://vauth.command.verkada.com/saml/login/ Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/login/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/login/

Reportez-vous à l’endroit où votre organisation a été créée pour confirmer dans quelle région se trouve votre organisation.

Renseignez les mappages d’attributs (comme indiqué ci-dessous), puis cliquez sur Terminer. Cela garantit que Command reçoit les informations correctes sur l’utilisateur. Vous devriez être redirigé vers la page de configuration de l’application.

Configuration de Command

Dans Verkada Command, accédez à Tous les produits > Admin.

Sélectionnez Connexion et accès > Authentification unique (SSO).

Cliquez sur Ajouter pour démarrer une nouvelle configuration ou modifier une configuration existante.

Sous Métadonnées XML du fournisseur d’identité, téléversez votre fichier de métadonnées.

Sous Domaines de messagerie, ajoutez les domaines e-mail qui seront utilisés pour se connecter à votre organisation.

Vérifiez que vous pouvez accéder à Command à l’une de ces URL (remplacez le client-id par celui utilisé lors de la configuration).

Pour les organisations aux États-Unis : https://vauth.command.verkada.com/saml/login/
Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/login/
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E

Voir Admin > Confidentialité des données > Résidence des données > Emplacement du traitement des données pour confirmer dans quelle région se trouve votre région.

Vous serez redirigé vers la page de configuration de l’application Google Workspace pour terminer la connexion.

Se connecter via l’application mobile

Command sur Android et iOS prend en charge la connexion via SAML.

Dans le champ d’adresse e-mail, saisissez l’e-mail de l’utilisateur puis cliquez sur Suivant.

Vous devriez être redirigé vers votre fournisseur d’identité (Google Workspace) pour terminer le processus de connexion.

Provisionnement des utilisateurs Google Workspace

L’intégration native Google Workspace permet aux organisations de synchroniser automatiquement les utilisateurs et les groupes de Google Workspace vers Verkada Command. Cela simplifie la gestion des identités et l’intégration générale des utilisateurs.

Contrairement aux intégrations SCIM de Verkada avec Okta ou Azure, cette intégration utilise l’API Admin SDK et l’API Reports de Google Workspace, authentifiées via un compte de service Google avec délégation à l’échelle du domaine.

Une fois l’intégration activée, Command peut :

Importer des utilisateurs et des groupes à partir de groupes Google Workspace ou d’unités organisationnelles (OU) sélectionnés
Les synchroniser dans Command en tant qu’utilisateurs et groupes gérés
Maintenir l’exactitude de l’annuaire grâce à des synchronisations d’arrière-plan programmées et des synchronisations à la demande depuis l’interface d’administration

Créer un compte de service Google

Pour permettre à Command de lire les données des utilisateurs et des groupes depuis votre domaine Google Workspace, il doit s’authentifier auprès des API Google à l’aide d’un compte de service. Ce type de compte est conçu pour un accès programmatique et doit être configuré avec les périmètres d’API corrects et la délégation à l’échelle du domaine. Ces paramètres sont configurés dans votre console Google Cloud compte.

Vérifier les stratégies et les rôles

Vous devez d’abord vérifier si votre utilisateur dispose des autorisations nécessaires pour créer un compte de service et générer la clé JSON du compte de service. Pour vous assurer de ne pas être bloqué par les politiques de sécurité de votre locataire :

Accédez à la console Google Cloud et connectez-vous avec vos identifiants Super Admin.

Dans le coin supérieur gauche, ouvrez le menu déroulant Sélecteur de projet et choisissez votre ressource de niveau supérieur (Type : Organisation).

Dans le panneau de gauche, accédez à IAM et Admin → IAM.

Cliquez sur Accorder l’accès sous Affichage par principaux.

a. Sous Ajouter des principaux, saisissez l’adresse e-mail de l’utilisateur. b. Sous Attribuer des rôles, recherchez et sélectionnez Administrateur des stratégies de l’organisation. c. Cliquez sur Enregistrer.

Dans le panneau de gauche, sélectionnez Stratégies de l’organisation.

Dans la liste des stratégies, recherchez et désactivez les éléments suivants :

Désactiver la création de comptes de service | Géré
Désactiver la création de comptes de service | Géré (hérité)
Désactiver la création de clés de compte de service | Géré
Désactiver la création de clés de compte de service | Géré (hérité)

Créer un compte de service

Dans le champ console Google Cloud, dans le coin supérieur gauche, ouvrez le menu déroulant Sélecteur de projet.

Cliquez sur Nouveau projet.

Saisissez un nom de projet (par exemple, Verkada User Sync) et créez le projet.

Une fois le projet créé, vérifiez qu’il est sélectionné dans la barre de navigation en haut à gauche.

Dans la barre latérale gauche, allez dans IAM et Admin → Comptes de service.

Cliquez sur + Créer un compte de service.

Renseignez les champs suivants :

Nom : Saisissez un nom descriptif (par ex. Provisionnement des utilisateurs Verkada)
ID : Laissez tel quel ou personnalisez-le (facultatif)
Description : Ajoutez une note, telle que Utilisé par Verkada pour lire les données de l’annuaire Workspace (facultatif)

Cliquez sur Créer et continuer.

Ignorez l’étape Accorder l’accès au projet — aucun rôle n’est requis ici.

Cliquez sur Continuer → Terminé.

Dans la liste des comptes de service, copiez l’ID client OAuth 2 du compte nouvellement créé. Vous aurez besoin de cet ID plus tard pour terminer la configuration.

Générer une clé JSON

Dans la liste des comptes de service, cliquez sur le nom du compte ou sélectionnez les trois points à côté de votre nouveau compte de service, puis choisissez Gérer les clés.

Sous l’onglet Clés, cliquez sur Ajouter une clé → Créer une nouvelle clé.

Sélectionnez JSON puis cliquez sur Créer.

Un .json fichier sera téléchargé sur votre ordinateur. Enregistrez-le dans un emplacement sécurisé pour l’utiliser plus tard lors de la configuration de l’intégration dans Verkada Command.

Ce fichier JSON contient les identifiants que l’intégration Google Workspace dans Command utilise pour s’authentifier auprès des API Google via OAuth 2.0. Conservez ce fichier en sécurité, car il donne accès à vos données Workspace et ne doit jamais être partagé ni rendu सार्वजनिक.

Activer les API Google requises

Verkada Command nécessite l’accès à des API Google Workspace spécifiques pour lire les utilisateurs, les groupes, les domaines et les journaux d’audit. Ces API doivent être activées dans votre projet Google Cloud avant que l’intégration puisse fonctionner.

Accédez à la console Google Cloud, et connectez-vous avec vos identifiants Super Admin.

Dans la barre latérale gauche, allez dans APIs et services → Bibliothèque d’API.

Dans la barre de recherche, recherchez et sélectionnez Admin SDK API, puis cliquez sur Activer.

Cette API est requise pour lire les utilisateurs, les groupes et les métadonnées de domaine.

(Facultatif) Recherchez et activez l’API Reports pour permettre la surveillance des journaux d’audit et détecter les modifications de l’annuaire.

Activer la délégation à l’échelle du domaine

Pour permettre au compte de service d’usurper un administrateur et d’accéder aux données des utilisateurs et des groupes dans l’ensemble de votre domaine, vous devez lui accorder une délégation à l’échelle du domaine. Cela permet au compte de service d’effectuer des opérations de lecture au nom d’un administrateur sans nécessiter de nouvelle authentification manuelle.

Accédez à la console d’administration Google et connectez-vous avec vos identifiants Super Administrator pour votre locataire Google Workspace.

Depuis la page d’accueil de la console d’administration, allez dans Sécurité → Contrôle des accès et des données → Contrôles des API.

Sur la page Contrôles des API, faites défiler jusqu’à la section Délégation à l’échelle du domaine et cliquez sur Gérer la délégation à l’échelle du domaine.

Cliquez sur Ajouter nouveau et saisissez les détails suivants :

ID client : Collez l’ID client OAuth 2 pour le fichier de clé de votre compte de service (le client_id champ dans le JSON).

Périmètres OAuth (séparés par des virgules) :

https://www.googleapis.com/auth/admin.directory.user.readonly,
https://www.googleapis.com/auth/admin.directory.group.readonly,
https://www.googleapis.com/auth/admin.directory.orgunit.readonly

Cliquez sur Autoriser.

La nouvelle entrée de délégation apparaîtra sur la page, confirmant que le compte de service peut désormais être utilisé par Verkada Command pour interroger les données des utilisateurs, des groupes et des audits.

Définir les valeurs des attributs utilisateur

Avant de synchroniser les utilisateurs vers Verkada Command, confirmez que les attributs clés (tels que le prénom, le nom, l’e-mail et l’identifiant employé) sont correctement renseignés dans Google Workspace.

Connectez-vous à la console d’administration Google en utilisant votre compte Super Admin.

Allez dans Annuaire → Utilisateurs.

Sélectionnez le profil utilisateur que vous souhaitez mettre à jour.

Cliquez sur Informations de l’utilisateur, puis développez les sections pertinentes (par exemple, Informations de base ou Informations sur l’employé).

Mettez à jour les champs suivants si nécessaire :

Adresse e-mail principale
Prénom et Nom
ID employé (sous Informations sur l’employé)
Numéro de téléphone (sous Informations de contact)

Cliquez sur Enregistrer pour appliquer vos modifications.

Les attributs suivants peuvent être synchronisés depuis Google Workspace vers Verkada Command :

Nom de l’attribut Google Workspace

Champ Command

E-mail

Prénom

Nom

Département

Centre de coûts

ID du département

ID employé

Intitulé du poste

Titre de l’employé

Numéro de téléphone (principal domicile/travail/mobile)

Numéro de téléphone

Les utilisateurs et les groupes synchronisés depuis Google Workspace sont gérés exclusivement dans Workspace et ne peuvent pas être modifiés dans Verkada Command. Les utilisateurs doivent avoir un prénom, un nom et une adresse e-mail pour être synchronisés correctement avec Command.

Pour garantir la bonne synchronisation des numéros de téléphone des utilisateurs vers Verkada Command, saisissez-les au format international, avec l’indicatif du pays et sans espaces ni tirets.

Exemple : +14155552671

Activer l’intégration dans Command

Vous avez besoin des autorisations Administrateur d’organisation pour configurer cette intégration.

Dans Verkada Command, accédez à Tous les produits > Admin.

Dans les paramètres de l’organisation, sélectionnez Connexion et accès → Provisionnement des utilisateurs → Google Workspace.

a. Saisissez l’adresse e-mail de votre Super Admin Google Workspace. Pour des raisons de sécurité et de continuité, Verkada recommande d’utiliser un compte de service dédié disposant d’autorisations d’administration équivalentes, plutôt qu’un compte utilisateur personnel. a. Téléversez la clé JSON que vous avez générée dans votre projet Google Cloud Console. b. Une fois l’authentification réussie, cliquez sur Ajouter pour sélectionner les groupes et/ou unités organisationnelles que vous souhaitez synchroniser avec Command. c. Cliquez sur Activer.

Une fois la première synchronisation terminée avec succès, un bouton Synchroniser maintenant sera disponible pour des mises à jour à la demande à tout moment.

FAQ

Les utilisateurs se synchronisent-ils automatiquement selon un calendrier régulier ?

Oui, les utilisateurs sont synchronisés automatiquement depuis votre compte Google Workspace vers Verkada Command toutes les 40 minutes.

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?