Microsoft Entra ID
Configurez le SSO et le provisioning des utilisateurs avec Microsoft Entra ID (Azure AD)
Selon votre cas d'utilisation, Verkada Command a la capacité de s'intégrer à Microsoft Entra ID, parmi d'autres fournisseurs d'identité [IdP], dans les capacités suivantes :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère la partie authentification permettant d'utiliser Microsoft Entra ID pour gérer l'accès à Command, de la même manière que toute autre application Software as a Service (SaaS) s'intègre déjà dans votre locataire Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command dans votre cadre d'identité existant et autoriser les utilisateurs en fonction de vos politiques actuelles.
SCIM vous permet de tirer parti des utilisateurs et groupes existants déjà présents dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l'IdP central actuel et de configurer les autorisations dans Command en utilisant vos utilisateurs et groupes existants.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également Enterprise Controlled Encryption.
SSO basé sur OIDC pour Azure Entra
Verkada Command prend en charge le Single Sign-On (SSO) via OpenID Connect (OIDC) avec Azure Entra. Cette intégration permet à nos utilisateurs de s'authentifier de manière transparente et sécurisée en utilisant leurs identifiants Azure Entra existants, simplifiant l'accès à Command et renforçant la sécurité globale.
OIDC n'est pas pris en charge sur l'application Pass ni sur les applications Desk Station.
Activer Enterprise Controlled Encryption (ECE) pour une sécurité renforcée.
Configuration Azure Entra
Connectez-vous à votre portail Azure Entra.
Recherchez et sélectionnez Enregistrements d’application.
Cliquez sur Nouvel enregistrement.
a. Nommez l'application Verkada SSO OIDC. b. Sous Types de comptes pris en charge, sélectionnez Comptes de cet annuaire organisationnel uniquement (uniquement - Locataire unique). c. Sous URI de redirection, sélectionnez Application monopage (SPA) comme plateforme et ajoutez les URL de rappel suivantes :
https://org-short-name.command.verkada.com/oidc/aad/callback (remplacez org-short-name dans l'URI par le short-name de votre organisation Command.)
Vérifiez qu'il n'y a pas de barre oblique finale dans l'URI de rappel.
Cliquez sur Enregistrer.
Copiez et conservez votre ID d'application (client) et votre ID d'annuaire (locataire) en lieu sûr. Vous en aurez besoin pour terminer la configuration dans Verkada Command.
À gauche, cliquez sur Gérer > Exposer une API.
a. Cliquez sur Ajouter une portée. b. Cliquez sur Enregistrer et continuer. c. Entrez verkada_ece pour les champs suivants :
Nom de la portée
Nom d'affichage du consentement administrateur
Description du consentement administrateur
Nom d'affichage du consentement utilisateur
Description du consentement utilisateur
d. Définissez Qui peut donner son consentement ? sur Administrateurs et utilisateurs. e. Cliquez sur Ajouter la portée.
Configuration de Verkada Command
Dans Verkada Command, allez dans Tous les produits > Admin.
Dans la navigation de gauche, sélectionnez Connexion et Accès.
Sélectionnez Configuration Single Sign-On.
Sous Configuration OIDC, cliquez sur Ajouter nouveau.
a. Activez le bouton Activer. b. (Facultatif) Activez le bouton Exiger OIDC SSO. c. Sous Sélectionnez Fournisseur, sélectionnez Azure Entra. d. Sous Ajouter Client et Locataire, cliquez sur :plus:.
Dans le champ Client ID , collez l'ID client que vous avez copié depuis Azure Entra.
Dans le champ Tenant ID , collez l'ID locataire que vous avez copié depuis Azure Entra.
Cliquez sur Terminé.
e. Sous Domaines de messagerie, cliquez sur :plus:.
Entrez votre nom de domaine présent (par ex., @verkada.com).
Cliquez sur Terminé.
Cliquez sur Exécuter le test de connexion.
Un test de connexion réussi devrait rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce second test de connexion n'aura pas réussi.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
Intégration SAML de Microsoft Entra ID
Selon votre cas d'utilisation, Verkada Command a la capacité de s'intégrer à Microsoft Entra ID, parmi d'autres fournisseurs d'identité [IdP], dans les capacités suivantes :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère la partie authentification permettant d'utiliser Microsoft Entra ID pour gérer l'accès à Command, de la même manière que toute autre application Software as a Service (SaaS) s'intègre déjà dans votre locataire Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command dans votre cadre d'identité existant et autoriser les utilisateurs en fonction de vos politiques actuelles.
SCIM vous permet de tirer parti des utilisateurs et groupes existants déjà présents dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l'IdP central actuel et de configurer les autorisations dans Command en utilisant vos utilisateurs et groupes existants.
Configurer SAML dans Microsoft Entra ID
Verkada Command est enregistré en tant qu'application de galerie et peut être trouvé dans la place de marché Microsoft Entra ID ; en d'autres termes, vous pouvez l'utiliser avec les licences Microsoft Entra ID Free, Microsoft Entra ID P1 et Microsoft Entra ID P2.
Pour commencer, vous avez besoin de votre client-ID. Apprenez comment le générer et configurer vos domaines de messagerie, puis revenez à cet article pour compléter le reste du processus.
Ajoutez Verkada Command en tant qu'application d'entreprise dans votre annuaire Microsoft Entra ID : Rendez-vous sur votre page d'aperçu Microsoft Entra ID et sélectionnez Applications d'entreprise.
En haut de la page, sélectionnez Nouvelle application et recherchez Verkada Command.
Sélectionnez Verkada Command et cliquez sur Créer. Soyez patient car l'ajout de l'application à votre locataire Microsoft Entra ID peut prendre quelques minutes..
Une fois la page actualisée, vous devriez voir un menu similaire (comme illustré ci-dessous).
Sur Configurer l'authentification unique, cliquez sur Commencer.
Choisissez SAML comme méthode d'authentification unique.
Si nécessaire, cliquez sur Modifier pour configurer davantage votre connexion SAML.
Configurez les champs suivants. Vous devez ajouter votre ID client à la fin de chaque URL avant de les ajouter à Microsoft Entra ID. Voir l'exemple sous la note.
a. Pour Identifiant: Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU : https://saml.prod2.verkada.com/saml/ssoPour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
b. Pour URL de réponse: Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
c. Pour URL de connexion: Pour les organisations US : https://vauth.command.verkada.com/saml/login Pour les organisations EU : https://saml.prod2.verkada.com/saml/login Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
Pour confirmer dans quelle région vous vous trouvez, veuillez vous référer à l'endroit où votre organisation a été créée pour Verkada.
Cliquez sur Enregistrer.
Sur Attributs et revendications, cliquez sur Modifier pour être cohérent avec ces attributs :
Sur Certificat de signature SAML, importez ce Federation Metadata XML dans Command.
Cliquez sur Télécharger pour enregistrer pour plus tard.
Si vous utilisez des attributs source différents pour l'e-mail, configurez les attributs selon l'attribut source que vous souhaitez utiliser.
Les dialogues suivants affichés contiennent des outils que vous pourrez utiliser après que l'intégration ait été finalisée.
Téléchargez votre Federation Metadata XML dans Command
Après avoir terminé les étapes dans Microsoft Entra ID et téléchargé les métadonnées, téléchargez le fichier de métadonnées XML dans Command.
Tester la connexion SAML dans Microsoft Entra ID
Une fois le fichier téléchargé, dans votre Microsoft Entra ID, cliquez sur Tester pour tester l'intégration. Une notification sera envoyée à tous les utilisateurs qui ont un compte Command (invitation à l'organisation).
Connectez-vous avec Se connecter en tant qu'utilisateur actuel. Si tout est configuré correctement, vous devriez être redirigé vers la plateforme Command.
Connectez-vous avec l'authentification unique pour vérifier l'accès à Command.
Microsoft Entra ID ne prend pas en charge les groupes imbriqués pour l'accès aux applications pour le moment. Tous les utilisateurs doivent être membres directs des groupes pour l'affectation.
Se connecter via l'application mobile
Android et iOS sur Command prennent en charge la connexion via SAML.
Dans le adresse e-mail champ, saisissez votre e-mail et cliquez sur Suivant. Vous devriez être redirigé vers votre IdP (Microsoft Entra ID) pour terminer le processus de connexion.
Intégration SCIM de Microsoft Entra ID
Verkada Command s'intègre à Microsoft Entra ID en utilisant System for Cross-Domain Identity Management (SCIM) pour le provisionnement automatisé des utilisateurs et des groupes.
SCIM synchronise les utilisateurs et les groupes de Microsoft Entra ID directement dans Command. Cela vous permet de :
Conserver Microsoft Entra ID comme votre IdP central.
Mettre automatiquement à jour les utilisateurs et les groupes dans Command lorsque des modifications surviennent dans Entra ID.
Attribuer et gérer les autorisations dans Command en utilisant votre structure d'identité existante.
Si votre organisation utilise SCIM, les numéros de téléphone ne peuvent être provisionnés que via SCIM. Vous ne pourrez pas modifier votre numéro de téléphone directement dans Command.
Configuration SCIM dans Microsoft Entra ID
Avant de configurer SCIM dans Microsoft Entra ID, vous devez générer votre jeton secret dans Command.
Dans Verkada Command, allez dans Tous les produits > Admin.
Sous Paramètres de l'organisation, sélectionnez Connexion & Accès & Journaux > Provisionnement des utilisateurs SCIM.
Cliquez sur Ajouter un domaine, et saisissez tous les domaines de messagerie pertinents que vous prévoyez d'utiliser avec SCIM.
Cela génère un jeton SCIM, qui n'est visible qu'une seule fois.
a. Cliquez sur Copiez et conservez le jeton en lieu sûr pour l'utiliser plus tard dans la configuration. b. Cliquez sur Rafraîchir pour générer un nouveau jeton si vous n'avez pas copié votre jeton ou s'il n'est pas visible.
Depuis la page d'accueil Microsoft Entra ID, sélectionnez Applications d'entreprise > Nouvelle application > Créer votre propre application.
Dans le panneau latéral Créer votre propre application, tapez le nom de l'application, sélectionnez l'application non-galerie, et cliquez sur Créer.
Sous Provisionner des comptes d'utilisateurs, cliquez sur Commencer.
Sélectionnez Gérer > Provisionnement.
Sur la page de provisionnement :
a. Définissez le mode de provisionnement sur Automatique. b. Définissez l'URL du locataire comme :
Pour les organisations US : https://api.command.verkada.com/scim
Pour les organisations EU : https://scim.prod2.verkada.com/scim
Pour les organisations AUS : https://scim.prod-ap-syd.verkada.com/scim
Pour confirmer dans quelle région vous vous trouvez, référez-vous à l'endroit où votre organisation a été créée pour Verkada.
f. Remplissez le jeton SCIM généré dans Verkada Command (étape 2) comme jeton secret.
Cliquez sur Tester la connexion. Vous devriez voir une confirmation que la connexion SCIM a réussi.
Cliquez sur Enregistrer.
Configurer les attributs pour les groupes Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappages, et sélectionnez Provisionner les groupes Microsoft Entra ID.
Configurez vos mappages pour correspondre à cette capture d'écran du tableau de données :
L' attribut externalId est ajouté par défaut. Supprimez cet attribut pour éviter des problèmes avec la configuration.
(Facultatif) Si vous devez ajouter un mappage :
a. Cliquez sur Ajouter un nouveau mappage > sélectionnez le Attribut source pour correspondre à l'attribut Microsoft Entra ID ci-dessus. b. Définissez le Attribut cible pour correspondre à customappsso l'attribut ci-dessus. c. Cliquez sur OK.
Cliquez sur Enregistrer et confirmez les modifications, si nécessaire.
En haut de la page, sélectionnez Provisionnement pour revenir à la page de Provisionnement.
Configurer les attributs pour les utilisateurs Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappages, puis sélectionnez Provisionner les utilisateurs Microsoft Entra ID pour modifier les mappages d'utilisateurs.
Mettez à jour vos mappages pour correspondre au tableau d'attributs ci-dessous.
L' Basculer attribut sous Attribut Microsoft Entra ID est ajouté en tant que Expression type de mappage.
Switch([IsSoftDeleted], , "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
L'attribut Source est l'attribut Microsoft Entra ID et l'attribut Cible est l'attribut customerappsso. Si l'un des customappsso attributs n'est pas disponible en tant qu' Attribut cible, vous devrez peut-être les ajouter à votre plateforme Microsoft Entra ID comme option. Pour ce faire, cochez la case Afficher les options avancées et cliquez sur Modifier la liste d'attributs pour customappsso.
Les utilisateurs gérés par SCIM n'ont plus la possibilité de modifier leur numéro de téléphone dans Command ; à la place, ils ne peuvent être provisionnés que via SCIM. Du côté de l'IdP, vous pouvez configurer le mappage d'attributs de sorte que n'importe quel champ dans votre instance d'IdP corresponde au champ numéro de téléphone dans Command. Vous pouvez également le configurer de sorte que le champ no dans l'IdP corresponde au champ numéro de téléphone champ dans Command. Cependant, même dans ce cas, les numéros de téléphone restent un champ verrouillé dans Command et ne peuvent être modifiés que via SCIM.
Cliquez sur Enregistrer pour confirmer les modifications.
En haut, sélectionnez Provisionnement et activez l'état de Provisionnement.
En fonction des exigences, ajustez la portée sur l'une des options requises :
Synchroniser tous les utilisateurs et groupes.
Synchroniser uniquement les utilisateurs et groupes affectés.
Assurez-vous que les utilisateurs et groupes sont affectés à l'application d'entreprise sous Utilisateurs et groupes. Ceux qui sont affectés sont ceux qui sont provisionnés et présents dans Command.
Vérifiez que les utilisateurs sont affectés à l'application. Une fois le cycle de provisionnement initial écoulé :
a. Vous devriez voir le nombre total d'utilisateurs et de groupes qui ont été provisionnés avec succès sous Aperçu. b. Dans Command, vous devriez voir ces utilisateurs et groupes peuplés avec le tag Géré SCIM . Ces utilisateurs et groupes synchronisés peuvent désormais être utilisés dans Command et se voir attribuer des autorisations pour contrôler l'accès à la plateforme Command.
Supprimer les utilisateurs gérés par SCIM de Command
Lorsqu'un utilisateur géré par SCIM est désactivé dans votre fournisseur d'identité, vous pouvez supprimer l'utilisateur de Command de deux manières :
Supprimer l'utilisateur – Le compte est déplacé vers la page Utilisateurs supprimés mais conserve les enregistrements historiques, les rôles et les autorisations.
Supprimer définitivement l'utilisateur – Tous les rôles, identifiants, journaux d'accès et données associées sont effacés. Si l'utilisateur est reprovisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l'utilisateur dans votre fournisseur d'identité (IdP) avant que l'une ou l'autre option de suppression soit disponible dans Command.
(Facultatif) Ajouter des identifiants d'accès aux utilisateurs SCIM
Connectez-vous à votre Portail Azure.
Dans la barre de recherche, saisissez et sélectionnez Applications d'entreprise.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Gérer > Provisionnement.
Développez le sous-menu Mappages et sélectionnez Provisionner les utilisateurs Microsoft Entra ID.
En bas, cliquez sur Afficher les options avancées > Modifier la liste d'attributs pour customappsso.
a. Ajoutez les attributs du tableau ci-dessous. b. Cliquez sur Enregistrer.
Retournez à Provisionner les utilisateurs Microsoft Entra ID et sélectionnez Ajouter un nouveau mappage.
a. Utilisez extensionAttributes 1-5 comme Attributs source et mappez-les vers les nouveaux attributs que nous avons créés en utilisant Format de carte, Numéro de carte, Numéro de carte Hex, Statut des identifiants, et Code d'installation comme attributs cibles.
Référence Formats de carte acceptables pour les formats de carte acceptés et leurs longueurs associées de code d'installation, numéro de carte et/ou numéro de carte hexadécimal.
Statut des identifiants peut être "active", "deactivated" ou "deleted"
d. Cliquez sur Enregistrer.
Tableau des attributs
Nom
Type
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Chaîne
Modifier l'enregistrement d'application
Chaque application d'entreprise activée pour SCIM créée sur Entra AD nécessite généralement son propre enregistrement d'application.
Dans la barre de recherche, saisissez et sélectionnez Enregistrements d’application.
Passez à l'onglet Toutes les applications et recherchez le nom de votre application Verkada SCIM.
Sur l'Aperçu, notez l'ID d'application (client) et l'ID d'annuaire (locataire) de votre enregistrement d'application. Vous en aurez besoin plus tard pour configurer les identifiants pour votre application Command depuis votre enregistrement d'application.
Dans la navigation de gauche, cliquez sur Gérer.
a. Sous Certificats et secrets :
Cliquez sur Nouveau secret client.
Définissez la Description sur "Verkada SCIM Credentials" et définissez votre date d'expiration de certificat préférée.
Copiez et conservez la valeur affichée dans le Champ Valeur du nouveau secret client créé. Ceci ne sera affiché qu'une seule fois.
e. Sous Autorisations API:
Cliquez sur Ajouter des autorisations > Microsoft Graph.
Sélectionnez Autorisations d'application et recherchez "User.ReadWrite.All".
Cochez la case pour attribuer les autorisations.
Cliquez sur Ajouter des autorisations.
Pour éviter d'avoir à examiner et approuver manuellement tous les changements d'étape communiqués entre Azure Entra et votre application Command, sélectionnez Accorder le consentement administrateur pour l'annuaire par défaut.
Reportez-vous à cette liste d'identifiants pour formats de carte acceptables.
Accéder et mettre à jour vos identifiants
Pour définir les attributs d'extension et les informations d'identifiants pour un utilisateur particulier, utilisez les instructions de l'API Graph à : https://learn.microsoft.com/en-us/graph/extensibility-overview.
Définir l'attribut credentialStatus sur active lors de la configuration d'un identifiant pour un utilisateur est nécessaire pour synchroniser avec succès les identifiants avec Command. Où le statut des identifiants (credentialStatus) est extensionAttribute4.
Exemple :
Synchroniser l'ID externe vers Verkada
Le champ externalId vous permet d'attribuer un identifiant persistant et globalement unique à vos utilisateurs via Microsoft Entra que Verkada peut référencer dans différentes intégrations. Ceci est particulièrement utile pour les environnements d'entreprise de grande taille où les utilisateurs doivent être désambiguïsés entre les systèmes, ou lorsque la synchronisation des identifiants (par ex., cartes d'accès) doit être liée à une clé d'identité unique. Verkada prend en charge la réception et le stockage de cette valeur dans le cadre de son schéma utilisateur SCIM. Le champ est sensible à la casse et est typiquement configuré pour accepter une valeur chaîne provenant d'un attribut désigné dans votre instance Microsoft Entra. Cette fonctionnalité prend en charge des flux de travail avancés tels que la gestion personnalisée des identifiants, l'automatisation du cycle de vie des employés et un mappage utilisateur cohérent entre les organisations.
Mapper externalId d'Azure vers Verkada
Pour synchroniser une valeur externalId personnalisée depuis Microsoft Entra ID (Azure) vers Verkada, suivez ces étapes :
Connectez-vous à votre portail Azure.
Dans la barre de recherche, saisissez et sélectionnez Applications d'entreprise.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Gérer > Provisionnement.
Développez le sous-menu Mappages et sélectionnez Provisionner les utilisateurs Microsoft Entra ID.
Faites défiler jusqu'en bas et cliquez sur Afficher les options avancées > Modifier la liste d'attributs pour customappsso.
Ajoutez le nouvel attribut suivant :
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Type : Chaîne
Sensible à la casse : Oui
Cliquez sur Enregistrer.
Retournez à Provisionner les utilisateurs Microsoft Entra ID et cliquez sur Ajouter un nouveau mappage.
Pour Attribut source, sélectionnez le champ d'Azure AD où votre ID externe est stocké (par ex., extensionAttribute1, employeeId, etc.).
Pour Attribut cible, utilisez : urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Cliquez sur OK puis sur Enregistrer.
Une fois provisionnée, la valeur external_id sera stockée dans l'enregistrement SCIM de l'utilisateur au sein de Verkada. Cela fournit aux utilisateurs un ID flexible consultable via API qui reste unique pour leur organisation et entièrement sous leur contrôle, sans être lié aux identifiants internes de Verkada ni exposé dans l'interface utilisateur.
Vous préférez le voir en action ? Consultez la tutoriel vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?