Microsoft Entra ID
Configurez le SSO et le provisionnement des utilisateurs avec Microsoft Entra ID (Azure AD)
Selon votre cas d’utilisation, Verkada Command a la capacité de s’intégrer avec Microsoft Entra ID, parmi d’autres fournisseurs d’identité [IdP], dans les cas d’utilisation suivants :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère la partie authentification, ce qui permet à Microsoft Entra ID d’être utilisé pour gérer l’accès à Command, de la même manière que toute autre application Software as a Service (SaaS) déjà intégrée à votre tenant Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command à votre cadre d’identité existant et autoriser les utilisateurs selon vos politiques actuelles.
SCIM vous permet d’exploiter vos utilisateurs et groupes existants déjà présents dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l’IdP central actuel et de configurer les autorisations dans Command à l’aide de vos utilisateurs et groupes existants.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également Chiffrement contrôlé par l’entreprise.
SSO basé sur OIDC pour Azure Entra
Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Azure Entra. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée à l’aide de leurs identifiants Azure Entra existants, simplifiant ainsi l’accès à Command et renforçant la sécurité globale.
OIDC n’est pas pris en charge dans les applications Desk Station.
Activer le Chiffrement contrôlé par l’entreprise (ECE) pour une sécurité renforcée.
Configuration Azure Entra
Connectez-vous à votre portail Azure Entra.
Recherchez et sélectionnez App registrations.
Cliquez sur New Registration.
a. Nommez l’application Verkada SSO OIDC. b. Sous Supported account types, sélectionnez Accounts in this organizational directory only ( only - Single tenant). c. Sous Redirect URI, sélectionnez Single-page application (SPA) comme plateforme et ajoutez les URL de rappel suivantes :
https://org-short-name.command.verkada.com/oidc/aad/callback (remplacez org-short-name dans l’URI par le nom court de votre organisation Command.)
Vérifiez qu’il n’y a pas de barre oblique finale dans l’URI de rappel.
Cliquez sur Register.
Copiez et stockez votre Application (Client) ID et votre Directory (Tenant) ID dans un endroit sûr. Vous en aurez besoin pour terminer la configuration dans Verkada Command.
À gauche, cliquez sur Manage > Expose an API.
a. Cliquez sur Add a scope. b. Cliquez sur Save and continue. c. Saisissez verkada_ece pour les champs suivants :
Scope name
Admin consent display name
Admin consent description
User consent display name
User consent description
d. Définissez Who can consent? sur Admins and users. e. Cliquez sur Add scope.
Configuration de Verkada Command
Dans Verkada Command, allez dans All Products > Admin.
Dans la navigation de gauche, sélectionnez Login & Access.
Sélectionnez Single Sign-On Configuration.
Sous OIDC Configuration, cliquez sur Add New.
a. Activez Enable. b. (Facultatif) Activez Require OIDC SSO. c. Sous Sélectionnez Provider, sélectionnez Azure Entra. d. Sous Add Client and Tenant, cliquez sur :plus:.
Dans le champ Client ID , collez l’ID client copié depuis Azure Entra.
Dans le champ Tenant ID collez l’ID du locataire copié depuis Azure Entra.
Cliquez sur Done.
e. Sous Email Domains, cliquez sur :plus:.
Saisissez le nom de domaine présent (par ex. @verkada.com).
Cliquez sur Done.
Cliquez sur Run Login Test.
Un test de connexion réussi doit vous rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez autoriser.
Une fois votre domaine ajouté, relancez le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion n’aura pas abouti avec succès.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
Intégration SAML Microsoft Entra ID
Selon votre cas d’utilisation, Verkada Command a la capacité de s’intégrer avec Microsoft Entra ID, parmi d’autres fournisseurs d’identité [IdP], dans les cas d’utilisation suivants :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère la partie authentification, ce qui permet à Microsoft Entra ID d’être utilisé pour gérer l’accès à Command, de la même manière que toute autre application Software as a Service (SaaS) déjà intégrée à votre tenant Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command à votre cadre d’identité existant et autoriser les utilisateurs selon vos politiques actuelles.
SCIM vous permet d’exploiter vos utilisateurs et groupes existants déjà présents dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l’IdP central actuel et de configurer les autorisations dans Command à l’aide de vos utilisateurs et groupes existants.
Configurer SAML dans Microsoft Entra ID
Verkada Command est enregistré comme application de galerie et se trouve dans la place de marché Microsoft Entra ID ; autrement dit, vous pouvez l’utiliser avec les licences Microsoft Entra ID Free, Microsoft Entra ID P1 et Microsoft Entra ID P2.
Pour commencer, vous avez besoin de votre client-ID. Découvrez comment le générer et configurer vos domaines e-mail, puis revenez à cet article pour terminer le reste de ce processus.
Ajoutez Verkada Command en tant qu’application d’entreprise dans votre annuaire Microsoft Entra ID : allez sur votre page de synthèse Microsoft Entra ID et sélectionnez Enterprise applications.
En haut de la page, sélectionnez New Application et recherchez Verkada Command.
Sélectionnez Verkada Command et cliquez sur Create. Soyez patient, car l’ajout de l’application à votre Microsoft Entra ID tenant.
Une fois la page actualisée, vous devriez voir un menu similaire (comme illustré ci-dessous).
Dans Set up single sign-on, cliquez sur Get started.
Choisissez SAML comme méthode d’authentification unique.
Si nécessaire, cliquez sur Edit pour configurer davantage votre connexion SAML.
Configurez les champs suivants. Vous devez ajouter votre ID client à la fin de chaque URL avant de les ajouter à Microsoft Entra ID. Voir l’exemple sous la note.
a. Pour Identifier: Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU : https://saml.prod2.verkada.com/saml/ssoPour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
b. Pour Reply URL: Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
c. Pour Sign on URL: Pour les organisations US : https://vauth.command.verkada.com/saml/login Pour les organisations EU : https://saml.prod2.verkada.com/saml/login Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
Pour confirmer la région dans laquelle vous vous trouvez, veuillez vous référer à l’endroit où votre organisation a été créée pour Verkada.
Cliquez sur Save.
Dans Attributes & Claims, cliquez sur Edit pour les rendre conformes à ces attributs :
Si vous utilisez un autre attribut source pour l’e-mail, configurez les attributs en fonction de l’attribut source que vous souhaitez utiliser.
Dans SAML Signing Certificate, importez ce Federation Metadata XML dans Command.
Cliquez sur Download pour l’enregistrer pour plus tard.
Les prochaines boîtes de dialogue qui apparaîtront contiendront des outils que vous pourrez utiliser une fois l’intégration finalisée.
Continuez vers Verkada Command pour terminer la configuration.
Tester la connexion SAML dans Microsoft Entra ID
Une fois le fichier téléchargé, dans votre Microsoft Entra ID, cliquez sur Test pour tester l’intégration. Une notification sera envoyée à tous les utilisateurs disposant d’un compte Command (invitation à l’organisation).
Connectez-vous avec Sign in as current user. Si tout est correctement configuré, vous devriez être redirigé vers la plateforme Command.
Connectez-vous avec l’authentification unique pour vérifier l’accès à Command.
Microsoft Entra ID ne prend pas actuellement en charge les groupes imbriqués pour l’accès aux applications. Tous les utilisateurs doivent être membres directs des groupes pour pouvoir être attribués.
Connexion via l’application mobile
Les applications Command pour Android et iOS prennent en charge la connexion basée sur SAML.
Ouvrez votre application Command.
Dans le champ de l’adresse e-mail, saisissez votre e-mail et cliquez sur Next.
Vous devriez être redirigé vers votre IdP (Microsoft Entra ID) pour terminer le processus de connexion.
Intégration SCIM Microsoft Entra ID
Verkada Command s’intègre à Microsoft Entra ID en utilisant System for Cross-Domain Identity Management (SCIM) pour le provisionnement automatisé des utilisateurs et des groupes.
SCIM synchronise les utilisateurs et les groupes de Microsoft Entra ID directement dans Command. Cela vous permet de :
Conserver Microsoft Entra ID comme IdP central.
Mettre automatiquement à jour les utilisateurs et les groupes dans Command au fur et à mesure des changements dans Entra ID.
Attribuer et gérer les autorisations dans Command à l’aide de votre structure d’identité existante.
Si votre organisation utilise SCIM, les numéros de téléphone ne peuvent être provisionnés que via SCIM. Vous ne pourrez pas modifier votre numéro de téléphone directement dans Command.
Configuration SCIM dans Microsoft Entra ID
Avant de configurer SCIM dans Microsoft Entra ID, vous devez générer votre jeton secret dans Command.
Dans Verkada Command, allez dans All Products > Admin.
Sous Org Settings, sélectionnez Login & Access & Logs > SCIM Users Provisioning.
Cliquez sur Add Domain et saisissez tous les domaines e-mail pertinents que vous prévoyez d’utiliser avec SCIM.
Cela génère un jeton SCIM, qui n’est visible qu’une seule fois.
a. Cliquez sur Copiez et stockez le jeton dans un emplacement sécurisé pour l’utiliser plus tard dans la configuration. b. Cliquez sur Refresh pour générer un nouveau jeton si vous ne l’avez pas copié ou s’il n’est pas visible.
Depuis la page d’accueil de Microsoft Entra ID, sélectionnez Enterprise applications > New application > Create your own application.
Dans le panneau latéral Create your own application, saisissez le nom de l’application, sélectionnez l’application non galerie, puis cliquez sur Create.
Sous Provision User Accounts, cliquez sur Get started.
Sélectionnez Manage > Provisioning.
Sur la page de provisionnement :
a. Définissez Provisioning Mode sur Automatic. b. Définissez Tenant URL comme suit :
Pour les organisations US : https://api.command.verkada.com/scim
Pour les organisations EU : https://scim.prod2.verkada.com/scim
Pour les organisations AUS : https://scim.prod-ap-syd.verkada.com/scim
Pour confirmer la région dans laquelle vous vous trouvez, reportez-vous à l’endroit où votre organisation a été créée pour Verkada.
f. Renseignez le SCIM jeton généré dans Verkada Command (étape 2) comme jeton secret.
Cliquez sur Test Connection. Vous devriez voir une confirmation indiquant que la connexion SCIM a réussi.
Cliquez sur Save.
Configurer les attributs pour les groupes Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappings, puis sélectionnez Provision Microsoft Entra ID Groups.
Configurez vos mappages pour correspondre à cette capture d’écran du tableau de données :
L’attribut externalId est ajouté par défaut. Supprimez cet attribut pour éviter des problèmes de configuration.
(Facultatif) Si vous devez ajouter un mappage :
a. Cliquez sur Add New Mapping > sélectionnez le Source attribute pour qu’il corresponde à l’attribut Microsoft Entra ID ci-dessus. b. Définissez le Target attribute pour qu’il corresponde à l’attribut customappsso ci-dessus. c. Cliquez sur OK.
Cliquez sur Save et confirmez les modifications, si nécessaire.
En haut de la page, sélectionnez Provisioning pour revenir à la page de provisionnement.
Configurer les attributs pour les utilisateurs Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappings, puis sélectionnez Provision Microsoft Entra ID Users pour modifier les mappages des utilisateurs.
Mettez à jour vos mappages pour qu’ils correspondent au tableau d’attributs ci-dessous.
L’attribut Basculez l’attribut sous Microsoft Entra ID Attribute est ajouté comme Expression type de mappage.
Switch([IsSoftDeleted], , "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
costCenter
Source Attribute est l’attribut Microsoft Entra ID et Target Attribute est l’attribut customerappsso. Si l’un des customappsso attributs n’est pas disponible comme Target Attribute, vous devrez peut-être l’ajouter à votre plateforme Microsoft Entra ID comme option. Pour ce faire, cochez la case Show advanced options et cliquez sur Edit attribute list for customappsso.
Les utilisateurs gérés par SCIM n’ont plus la possibilité de modifier leur numéro de téléphone dans Command ; ils ne peuvent désormais être provisionnés que via SCIM. Du côté du fournisseur d’identité, vous pouvez configurer votre mappage d’attributs de sorte que tout champ de votre instance IdP soit mappé vers le numéro de téléphone champ dans Command. Vous pouvez également configurer cela de sorte que le champ no dans l’IdP soit mappé vers le numéro de téléphone champ dans Command. Toutefois, même dans ce cas, les numéros de téléphone restent un champ verrouillé dans Command et ne peuvent être modifiés que via SCIM.
Cliquez sur Save pour confirmer les modifications.
En haut, sélectionnez Provisioning et activez Provisioning Status.
Selon les exigences, ajustez la portée à l’une des options requises :
Synchroniser tous les utilisateurs et groupes.
Synchroniser uniquement les utilisateurs et groupes assignés.
Assurez-vous que des utilisateurs et groupes sont assignés à l’application d’entreprise sous Users and Groups. Ceux qui sont assignés sont ceux qui sont provisionnés et présents dans Command.
Vérifiez que des utilisateurs sont assignés à l’application. Une fois le cycle initial de provisionnement terminé :
a. Vous devriez voir le nombre total d’utilisateurs et de groupes qui ont été provisionnés avec succès sous Overview. b. Dans Command, vous devriez voir ces utilisateurs et groupes renseignés avec l’étiquette associée SCIM Managed . Ces utilisateurs et groupes synchronisés peuvent désormais être utilisés dans Command et se voir attribuer des autorisations pour contrôler l’accès à la plateforme Command.
Supprimer les utilisateurs gérés par SCIM de Command
Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez le supprimer de Command de deux façons :
Supprimer l’utilisateur – Le compte est déplacé vers la page Deleted Users mais conserve les enregistrements historiques, les rôles et les autorisations.
Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est à nouveau provisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.
(Facultatif) Ajouter des identifiants d’accès aux utilisateurs SCIM
Connectez-vous à votre Portail Azure.
Dans la barre de recherche, saisissez et sélectionnez Enterprise Applications.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Manage > Provisioning.
Développez le sous-menu Mappings et sélectionnez Provision Microsoft Entra ID Users.
En bas, cliquez sur Show advanced options > Edit attribute list for customappsso.
a. Ajoutez les attributs du tableau ci-dessous. b. Cliquez sur Save.
Revenez à Provision Microsoft Entra ID Users et sélectionnez Add New Mapping.
a. Utilisez extensionAttributes 1-5 comme Source Attributes et mappez-les vers les nouveaux attributs créés pour Card Format, Card Number, Card Number Hex, Credential Status, et Facility Code comme attributs cibles.
Référence Formats de carte acceptables pour les formats de carte acceptés et leurs longueurs associées de code d’établissement, de numéro de carte et/ou de numéro de carte hexadécimal.
Credential Status peut être "active", "deactivated" ou "deleted"
Cliquez sur Save.
b. Pour synchroniser un identifiant de service, ajoutez un nouveau mappage avec l’attribut source souhaité (par ex. department ou un attribut d’extension personnalisé) et définissez l’attribut cible sur costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Cela synchronise une valeur d’ID de service dans Command.
Tableau des attributs
Nom
Type
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
Chaîne
Modifier l’enregistrement de l’application
Chaque application d’entreprise activée SCIM créée dans Entra AD nécessite généralement son propre enregistrement d’application.
Dans la barre de recherche, saisissez et sélectionnez App registrations.
Passez à l’onglet All Applications et recherchez le nom de votre application Verkada SCIM.
Dans Overview, notez l’Application (client) ID et le Directory (tenant) ID de l’enregistrement de votre application. Vous en aurez besoin plus tard pour configurer les identifiants de votre application Command à partir de votre enregistrement d’application.
Dans la navigation de gauche, cliquez sur Manage.
a. Sous Certificates & secrets:
Cliquez sur New client secret.
Définissez Description sur "Verkada SCIM Credentials" et définissez la date d’expiration du certificat souhaitée.
Copiez et stockez la valeur affichée dans le Value du nouveau client secret créé. Elle ne sera affichée qu’une seule fois.
e. Sous API Permissions:
Cliquez sur Add Permissions > Microsoft Graph.
Sélectionnez Application Permissions et recherchez "User.ReadWrite.All".
Cochez la case pour attribuer les autorisations.
Cliquez sur Add Permissions.
Pour éviter d’avoir à examiner et approuver manuellement toutes les modifications d’étape communiquées entre Azure Entra et votre application Command, sélectionnez Grant admin consent for Default Directory.
Référez-vous à cette liste d’identifiants pour formats de carte acceptables.
Accédez à vos identifiants et mettez-les à jour
Pour définir les attributs d’extension et les informations d’identifiant pour un utilisateur particulier, utilisez les instructions Graph API à l’adresse : https://learn.microsoft.com/en-us/graph/extensibility-overview.
Définir l’attribut credentialStatus sur active lors de la configuration d’un identifiant pour un utilisateur est nécessaire pour synchroniser avec succès les identifiants avec Command. Où le statut de l’identifiant (credentialStatus) est extensionAttribute4.
Exemple :
Synchroniser externalId vers Verkada
Le champ externalId vous permet d’attribuer à vos utilisateurs un identifiant persistant et globalement unique via Microsoft Entra, que Verkada peut référencer dans l’ensemble des intégrations. Cela est particulièrement utile dans les grands environnements d’entreprise où les utilisateurs doivent parfois être distingués entre plusieurs systèmes, ou lorsque la synchronisation des identifiants (par ex. badges d’accès) doit être liée à une clé d’identité unique. Verkada prend en charge la réception et le stockage de cette valeur dans le cadre de son schéma utilisateur SCIM. Le champ est sensible à la casse et est généralement configuré pour accepter une valeur de chaîne provenant d’un attribut désigné dans votre instance Microsoft Entra. Cette fonctionnalité prend en charge des flux de travail avancés tels que la gestion personnalisée des identifiants, l’automatisation du cycle de vie des employés et une correspondance cohérente des utilisateurs entre les organisations.
Mapper externalId d’Azure vers Verkada
Pour synchroniser une valeur externalId personnalisée de Microsoft Entra ID (Azure) vers Verkada, suivez ces étapes :
Connectez-vous à votre portail Azure.
Dans la barre de recherche, saisissez et sélectionnez Enterprise Applications.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Manage > Provisioning.
Développez le sous-menu Mappings et sélectionnez Provision Microsoft Entra ID Users.
Faites défiler jusqu’en bas et cliquez sur Show advanced options > Edit attribute list for customappsso.
Ajoutez le nouvel attribut suivant :
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Type : chaîne
Sensible à la casse : Oui
Cliquez sur Save.
Revenez à Provision Microsoft Entra ID Users et cliquez sur Add New Mapping.
Pour Source Attribute, sélectionnez le champ dans Azure AD où votre identifiant externe est stocké (par ex. extensionAttribute1, employeeId, etc.).
Pour Target Attribute, utilisez : urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Cliquez sur OK puis sur Save.
Une fois provisionnée, la valeur external_id sera stockée dans l’enregistrement SCIM de l’utilisateur dans Verkada. Cela fournit aux utilisateurs un identifiant souple, interrogeable via API, qui reste unique à leur organisation et entièrement sous leur contrôle, sans être lié aux identifiants internes de Verkada ni exposé dans l’interface utilisateur.
Vous préférez le voir en action ? Découvrez le tutoriel vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?