# Microsoft Entra ID Selon votre cas d’usage, [Verkada Command](https://help.verkada.com/command/fr/pour-commencer/get-started-with-verkada-command) a la capacité de s’intégrer à Microsoft Entra ID, parmi d’autres fournisseurs d’identité \[IdP], dans les capacités suivantes : * Security Assertion Markup Language (SAML) * System for Cross-Domain Identity Management (SCIM) **SAML** gère l’authentification, permettant d’utiliser Microsoft Entra ID pour gérer l’accès à Command, de la même manière qu’il est utilisé pour gérer l’accès à d’autres applications SaaS déjà intégrées à votre locataire Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command à votre cadre d’identité existant et autoriser les utilisateurs selon vos politiques actuelles. **SCIM** vous permet d’exploiter vos utilisateurs et groupes existants dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l’IdP central actuel et de configurer les autorisations dans Command en utilisant vos utilisateurs et groupes existants. {% hint style="info" %} Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également [Chiffrement contrôlé par l’entreprise](https://help.verkada.com/command/fr/securite/enterprise-controlled-encryption). {% endhint %} *** {% tabs %} {% tab title="OIDC (recommandé)" %} #### SSO basé sur OIDC pour Microsoft Entra ID Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Microsoft Entra ID. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée à l’aide de leurs identifiants Microsoft Entra ID existants, ce qui simplifie l’accès à Command et renforce la sécurité globale. {% hint style="danger" %} OIDC n’est pas pris en charge sur les applications Desk Station. {% endhint %} {% hint style="info" %} Activer [le chiffrement contrôlé par l’entreprise (ECE)](https://help.verkada.com/command/fr/securite/enterprise-controlled-encryption) pour une sécurité renforcée. {% endhint %} *** **Configuration de Microsoft Entra ID** {% stepper %} {% step %} **Connectez-vous à votre** [**portail Microsoft Entra ID**](https://portal.azure.com)**.** {% endstep %} {% step %} **Recherchez puis sélectionnez App registrations.** {% endstep %} {% step %} **Cliquez sur New Registration.** a. Nommez l’application **Verkada SSO OIDC.**\ b. Sous **Supported account types,** sélectionnez **Accounts in this organizational directory only ( only - Single tenant).**\ c. Sous **Redirect URI**, sélectionnez **Single-page application** (SPA) comme plateforme et ajoutez les URL de rappel suivantes : 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (remplacez org-short-name dans l’URI par le nom court de votre organisation Command.) {% hint style="warning" %} Vérifiez qu’il n’y a pas de barre oblique finale dans l’URI de rappel. {% endhint %} {% endstep %} {% step %} **Cliquez sur Register.** {% endstep %} {% step %} **Copiez et conservez votre Application (Client) ID et votre Directory (Tenant) ID dans un endroit sûr. Vous en aurez besoin pour terminer la configuration dans Verkada Command.** {% endstep %} {% step %} **À gauche, cliquez sur Manage > Expose an API.** a. Cliquez sur **Add a scope.**\ b. Cliquez sur **Save and continue**.\ c. Saisissez *verkada\_ece* pour les champs suivants : * Scope name * Admin consent display name * Admin consent description * User consent display name * User consent description d. Définissez **Who can consent?** sur **Admins and users.**\ e. Cliquez sur **Add scope.**

{% endstep %} {% endstepper %} *** **Configuration de Verkada Command** {% stepper %} {% step %} **Dans Verkada Command, allez à All Products > Admin.** {% endstep %} {% step %} **Dans la navigation de gauche, sélectionnez Login & Access.** {% endstep %} {% step %} **Sélectionnez Single Sign-On Configuration.** {% endstep %} {% step %} **Sous OIDC Configuration, cliquez sur Add New.** a. Activez **Enable.**\ b. (Facultatif) Activez **Require OIDC SSO.**\ c. Sous **Sélectionnez Provider,** sélectionnez **Microsoft Entra ID.**\ d. Sous **Add Client and Tenant,** cliquez sur :plus: . 1. Dans le champ **Client ID** , collez le Client ID que vous avez copié depuis Microsoft Entra ID. 2. Dans le champ **Tenant ID** champ, collez le Tenant ID que vous avez copié depuis Microsoft Entra ID. 3. Cliquez sur **Done**. e. Sous **Email Domains,** cliquez sur :plus:**.** 1. Saisissez votre nom de domaine présent (par ex., @verkada.com). 2. Cliquez sur **Done**.

{% endstep %} {% step %} **En haut de la page, sélectionnez New Application et recherchez Verkada Command.** {% endstep %} {% step %} **Sélectionnez Verkada Command et cliquez sur Create. *****Soyez patient, car l’ajout de l’application à votre***** Microsoft Entra ID *****locataire*****.**

Une fois la page actualisée, vous devriez voir un menu similaire (comme indiqué ci-dessous). {% endstep %} {% step %} **Sous Set up single sign-on, cliquez sur Get started.**

{% endstep %} {% step %} **Choisissez SAML comme méthode d’authentification unique.**

{% endstep %} {% step %} **Si nécessaire, cliquez sur Edit pour configurer davantage votre connexion SAML.** {% endstep %} {% step %} **Configurez les champs suivants. Vous devez ajouter votre client ID à la fin de chaque URL avant de les ajouter à Microsoft Entra ID. Voir l’exemple sous la note.** a. Pour **Identifier** :\ Pour les organisations US : \ Pour les organisations EU : Pour les organisations AUS : b. Pour **Reply URL** :\ Pour les organisations US : \ Pour les organisations EU : \ Pour les organisations AUS : c. Pour **Sign on URL** :\ Pour les organisations US : \ Pour les organisations EU : [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ Pour les organisations AUS : {% hint style="warning" %} Pour confirmer la région dans laquelle vous vous trouvez, veuillez vous référer à l’endroit où [votre organisation a été créée pour Verkada](https://help.verkada.com/command/fr/pour-commencer/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **Cliquez sur Save.** {% endstep %} {% step %} **Dans Attributes & Claims, cliquez sur Edit pour respecter ces attributs :**

{% hint style="warning" %} Si vous utilisez un autre attribut source pour l’e-mail, configurez les attributs selon l’attribut source que vous souhaitez utiliser. {% endhint %} {% endstep %} {% step %} **Sous SAML Signing Certificate, importez ce XML de Federation Metadata dans Command.** {% endstep %} {% step %} **Cliquez sur Download pour l’enregistrer pour plus tard.**

{% hint style="info" %} Les prochaines boîtes de dialogue qui apparaîtront contiendront des outils que vous pourrez utiliser une fois l’intégration finalisée. {% endhint %} {% endstep %} {% step %} **Continuez vers Verkada Command pour** [**terminer la configuration**](https://help.verkada.com/command/fr/securite/identity-providers/..#command-sso-configuration)**.** {% endstep %} {% endstepper %} *** #### Tester la connexion SAML dans Microsoft Entra ID {% stepper %} {% step %} **Une fois le fichier téléchargé, dans votre Microsoft Entra ID, cliquez sur Test pour tester l’intégration. Une notification sera envoyée à tous les utilisateurs disposant d’un compte Command (invitation à l’organisation).**

{% endstep %} {% step %} **Connectez-vous avec Sign in as current user. Si tout est correctement configuré, vous devriez être redirigé vers la plateforme Command.** {% endstep %} {% step %} **Connectez-vous avec l’authentification unique pour vérifier l’accès à Command.** {% endstep %} {% endstepper %} {% hint style="warning" %} Microsoft Entra ID ne prend pas en charge les groupes imbriqués pour l’accès aux applications à ce stade. Tous les utilisateurs doivent être membres directs de groupes pour pouvoir être attribués. {% endhint %} *** #### Connexion via l’application mobile {% hint style="info" %} Les applications Command Android et iOS prennent en charge la connexion basée sur SAML. {% endhint %} {% stepper %} {% step %} **Ouvrez votre application Command.** {% endstep %} {% step %} **Dans le champ d’adresse e-mail, saisissez votre e-mail et cliquez sur Next.** {% endstep %} {% step %} **Vous devriez être redirigé vers votre IdP (Microsoft Entra ID) pour terminer le processus de connexion.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="Provisionnement des utilisateurs" %} #### Intégration SCIM de Microsoft Entra ID Verkada Command s’intègre à Microsoft Entra ID à l’aide du System for Cross-Domain Identity Management (SCIM) pour le provisionnement automatisé des utilisateurs et des groupes. SCIM synchronise les utilisateurs et les groupes de Microsoft Entra ID directement dans Command. Cela vous permet de : * Conserver Microsoft Entra ID comme IdP central. * Mettre à jour automatiquement les utilisateurs et les groupes dans Command au fur et à mesure des changements dans Entra ID. * Attribuer et gérer les autorisations dans Command en utilisant votre structure d’identité existante. {% hint style="info" %} Si votre organisation utilise SCIM, les numéros de téléphone ne peuvent être provisionnés que via SCIM. Vous ne pourrez pas modifier votre numéro de téléphone directement dans Command. {% endhint %} *** **Configuration de SCIM dans Microsoft Entra ID** Avant de configurer SCIM dans Microsoft Entra ID, vous devez générer votre jeton secret dans Command. {% stepper %} {% step %} **Dans Verkada Command, allez à All Products > Admin.** {% endstep %} {% step %} **Sous Org Settings, sélectionnez Login & Access & Logs > SCIM Users Provisioning.** {% endstep %} {% step %} **Cliquez sur Add Domain et saisissez tous les domaines e-mail pertinents que vous prévoyez d’utiliser avec SCIM.** Cela génère un jeton SCIM, **visible une seule fois.** a. Cliquez sur **Copiez** et conservez le jeton dans un endroit sécurisé pour l’utiliser plus tard dans la configuration.\ b. Cliquez sur [**Refresh**](https://help.verkada.com/command/fr/securite/identity-providers/scim-token-management) pour générer un nouveau jeton si vous n’avez pas copié votre jeton ou s’il n’est pas visible. {% endstep %} {% step %} **Depuis la page d’accueil Microsoft Entra ID, sélectionnez Enterprise applications > New application > Create your own application.** {% endstep %} {% step %} **Dans le panneau latéral Create your own application, saisissez le nom de l’application, sélectionnez l’application non de galerie, puis cliquez sur Create.**

{% endstep %} {% step %} **Sous Provision User Accounts, cliquez sur Get started.**

{% endstep %} {% step %} **Sélectionnez Manage > Provisioning.** {% endstep %} {% step %} **Sur la page de provisionnement :** a. Définissez Provisioning Mode sur Automatic.\ b. Définissez Tenant URL comme suit : * Pour les organisations US : * Pour les organisations EU : * Pour les organisations AUS : {% hint style="warning" %} Pour confirmer la région dans laquelle vous vous trouvez, [référez-vous à l’endroit où votre organisation a été créée pour Verkada](https://help.verkada.com/command/fr/pour-commencer/get-started-with-verkada-command). {% endhint %} f. Renseignez le SCIM *jeton* généré dans Verkada Command (étape 2) comme jeton secret.

{% endstep %} {% step %} **Cliquez sur Test Connection. Vous devriez voir une confirmation indiquant que la connexion SCIM a réussi.**

{% endstep %} {% step %} **Cliquez sur Save.** {% endstep %} {% endstepper %} *** **Configurer les attributs pour les groupes Microsoft Entra ID** {% stepper %} {% step %} **Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappings, puis sélectionnez Provision Microsoft Entra ID Groups.**

{% endstep %} {% step %} **Configurez vos mappages pour correspondre à cette capture d’écran du tableau de données :**

{% hint style="warning" %} L’attribut **externalId** est ajouté par défaut. Supprimez cet attribut pour éviter des problèmes de configuration. {% endhint %} {% endstep %} {% step %} **(Facultatif) Si vous devez ajouter un mappage :** a. Cliquez sur **Add New Mapping** > sélectionnez le **Source attribute** pour correspondre à l’attribut Microsoft Entra ID ci-dessus.\ b. Définissez le **Target attribute** pour correspondre à l’attribut **customappsso** ci-dessus.\ c. Cliquez sur **OK**. {% endstep %} {% step %} **Cliquez sur Save et confirmez les modifications, si nécessaire.** {% endstep %} {% step %} **En haut de la page, sélectionnez Provisioning pour revenir à la page Provisioning.** {% endstep %} {% endstepper %} *** **Configurer les attributs pour les utilisateurs Microsoft Entra ID** {% stepper %} {% step %} **Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappings, puis sélectionnez Provision Microsoft Entra ID Users pour modifier les mappages des utilisateurs.** {% endstep %} {% step %} **Mettez à jour vos mappages pour correspondre au tableau des attributs ci-dessous.** {% hint style="warning" %} L’attribut **Switch** l’attribut sous Microsoft Entra ID Attribute est ajouté comme type de mappage **Expression** . {% endhint %} Switch(\[IsSoftDeleted], "False", "True", "True", "False") | Attribut customappsso | Attribut Microsoft Entra ID | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | active | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} Source Attribute correspond à l’attribut Microsoft Entra ID, et Target Attribute correspond à l’attribut customappsso. Si l’un des **customappsso** attributs n’est pas disponible en tant que Target Attribute, vous devrez peut-être l’ajouter à votre plateforme Microsoft Entra ID en tant qu’option. Pour ce faire, cochez la case **Show advanced options** et cliquez sur **Edit attribute list for customappsso**. {% endhint %} {% hint style="warning" %} Les utilisateurs gérés via SCIM n’ont plus la possibilité de modifier leur numéro de téléphone dans Command ; à la place, ils ne peuvent être provisionnés que via SCIM. Côté IDP, vous pouvez configurer le mappage des attributs de sorte que tout champ de votre instance IDP soit mappé vers le **champ numéro de téléphone** dans Command. Vous pouvez également le configurer de sorte que le champ **no** dans l’IDP soit mappé vers le champ **champ numéro de téléphone** dans Command. Cependant, même dans ce cas, les numéros de téléphone restent verrouillés dans Command et ne peuvent être modifiés que via SCIM. {% endhint %} {% endstep %} {% step %} **Cliquez sur Save pour confirmer les modifications.** {% endstep %} {% step %} **En haut, sélectionnez Provisioning et activez Provisioning Status.**

{% endstep %} {% step %} **Selon les besoins, ajustez le périmètre à l’une des options requises :** * Synchroniser tous les utilisateurs et groupes. * Synchroniser uniquement les utilisateurs et groupes attribués. {% hint style="warning" %} Assurez-vous que les utilisateurs et groupes sont attribués à l’application d’entreprise sous Users and Groups. Ceux attribués sont ceux qui sont provisionnés et présents dans Command. {% endhint %} {% endstep %} {% step %} **Vérifiez que les utilisateurs sont attribués à l’application. Une fois le cycle initial de provisionnement écoulé :** a. Vous devriez voir le nombre total d’utilisateurs et de groupes qui ont été provisionnés avec succès sous **Overview**.\ b. Dans Command, vous devriez voir ces utilisateurs et groupes renseignés avec le tag associé **SCIM Managed** . Ces utilisateurs et groupes synchronisés peuvent maintenant être utilisés dans Command et se voir attribuer des autorisations pour contrôler l’accès à la plateforme Command.

{% endstep %} {% endstepper %} **Supprimer des utilisateurs gérés par SCIM de Command** Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez supprimer l’utilisateur de Command de deux manières : * **Supprimer l’utilisateur** – Le compte est déplacé vers la page Deleted Users mais conserve les enregistrements historiques, les rôles et les autorisations. * **Supprimer définitivement l’utilisateur** – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est reprovisionné via SCIM, Command crée un nouvel enregistrement utilisateur. {% hint style="warning" %} Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command. {% endhint %} *** **(Facultatif) Ajouter des identifiants d’accès aux utilisateurs SCIM** {% stepper %} {% step %} **Connectez-vous à votre** [**portail Azure**](https://portal.azure.com)**.** {% endstep %} {% step %} **Dans la barre de recherche, saisissez et sélectionnez Enterprise Applications.** {% endstep %} {% step %} **Sélectionnez votre application SCIM Verkada.** {% endstep %} {% step %} **Dans le panneau de gauche, cliquez sur Manage > Provisioning.** {% endstep %} {% step %} **Développez le sous-menu Mappings et sélectionnez Provision Microsoft Entra ID Users.** {% endstep %} {% step %} **En bas, cliquez sur Show advanced options > Edit attribute list for customappsso.** a. Ajoutez les attributs du tableau ci-dessous.\ b. Cliquez sur **Save**. {% endstep %} {% step %} **Retournez à Provision Microsoft Entra ID Users et sélectionnez Add New Mapping.** a. Utilisez extensionAttributes 1-5 comme **Source Attributes** et mappez-les vers les nouveaux attributs créés pour **Card Format, Card Number, Card Number Hex, Credential Status,** et **Facility Code** comme attributs cibles. 1. Référence [Acceptable Card Formats](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats) pour les formats de carte acceptés et leurs longueurs associées de code d’installation, de numéro de carte et/ou de numéro de carte hexadécimal. 2. **Credential Status** peut être « active », « deactivated » ou « deleted » 3. Cliquez sur **Save**. b. Pour synchroniser un identifiant de département, ajoutez un nouveau mappage avec l’attribut source souhaité (par ex., department ou un attribut d’extension personnalisé) et définissez l’attribut cible sur costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Cela synchronise une valeur d’ID de département vers Command. {% endstep %} {% endstepper %} **Tableau des attributs** | | | | ------------------------------------------------------------------------------- | -------- | | **Nom** | **Type** | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat | Chaîne | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber | Chaîne | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex | Chaîne | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus | Chaîne | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode | Chaîne | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | Chaîne | **Modifier l’inscription de l’application** Chaque application d’entreprise activée pour SCIM créée dans Entra AD nécessite généralement sa propre inscription d’application. {% stepper %} {% step %} **Dans la barre de recherche, saisissez et sélectionnez App registrations.** {% endstep %} {% step %} **Passez à l’onglet All Applications et recherchez le nom de votre application SCIM Verkada.** {% endstep %} {% step %} **Dans Overview, notez l’Application (client) ID et le Directory (tenant) ID de votre inscription d’application. Vous en aurez besoin plus tard pour configurer les identifiants de votre application Command à partir de votre inscription d’application.** {% endstep %} {% step %} **Dans la navigation de gauche, cliquez sur Manage.** a. Sous **Certificates & secrets :** 1. Cliquez sur **New client secret**. 2. Définissez la **Description** sur «*Verkada SCIM Credentials»* et définissez la date d’expiration du certificat souhaitée. 3. Copiez et conservez la valeur affichée dans **Value** du nouveau Client Secret créé. **Elle ne sera affichée qu’une seule fois.** e. Sous **API Permissions**: 1. Cliquez sur **Add Permissions > Microsoft Graph.** 2. Sélectionnez **Application Permissions** et recherchez «*User.ReadWrite.All*". 1. Cochez la case pour attribuer les autorisations. 2. Cliquez sur **Add Permissions**.

3. Pour éviter d’avoir à examiner et approuver manuellement tous les changements d’étape communiqués entre Microsoft Entra ID et votre application Command, sélectionnez **Grant admin consent for Default Directory**.

{% endstep %} {% endstepper %} {% hint style="warning" %} Référez-vous à cette liste d’identifiants pour [les formats de carte acceptés](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats). {% endhint %} **Accéder et mettre à jour vos identifiants** Pour définir les attributs d’extension et les informations d’identifiant pour un utilisateur particulier, utilisez les instructions Graph API à l’adresse : . {% hint style="warning" %} Définir l’attribut **credentialStatus** sur **active** lors de la configuration d’un identifiant pour un utilisateur est nécessaire pour synchroniser correctement les identifiants avec Command. Là où le statut de l’identifiant (credentialStatus) est extensionAttribute4. {% endhint %} Exemple : ``` curl --location --request PATCH 'https://graph.microsoft.com/v1.0/users/' \ --header 'Authorization: Bearer ' \ --header 'Content-Type: application/json' \ --data '{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Standard 26-bit Wiegand", "extensionAttribute2": "7777", "extensionAttribute3": "7", "extensionAttribute4": "active", "extensionAttribute5": "111" } }' ``` *** **Synchroniser External ID vers Verkada** Le champ externalId vous permet d’attribuer à vos utilisateurs un identifiant persistant et unique à l’échelle mondiale via Microsoft Entra, que Verkada peut référencer dans toutes les intégrations. Cela est particulièrement utile dans les grands environnements d’entreprise où les utilisateurs doivent éventuellement être distingués entre plusieurs systèmes, ou lorsque la synchronisation d’identifiants (par ex., badges d’accès) doit être liée à une clé d’identité unique. Verkada prend en charge la réception et le stockage de cette valeur dans le cadre de son schéma utilisateur SCIM. Le champ est sensible à la casse et est généralement configuré pour accepter une valeur de type chaîne provenant d’un attribut désigné dans votre instance Microsoft Entra. Cette fonctionnalité prend en charge des workflows avancés tels que la gestion personnalisée des identifiants, l’automatisation du cycle de vie des employés et une correspondance cohérente des utilisateurs entre les organisations. **Mapper externalId d’Azure vers Verkada** Pour synchroniser une valeur externalId personnalisée de Microsoft Entra ID (Azure) vers Verkada, suivez ces étapes : {% stepper %} {% step %} **Connectez-vous à votre portail Azure.** {% endstep %} {% step %} **Dans la barre de recherche, saisissez et sélectionnez Enterprise Applications.** {% endstep %} {% step %} **Sélectionnez votre application SCIM Verkada.** {% endstep %} {% step %} **Dans le panneau de gauche, cliquez sur Manage > Provisioning.** {% endstep %} {% step %} **Développez le sous-menu Mappings et sélectionnez Provision Microsoft Entra ID Users.** {% endstep %} {% step %} **Faites défiler jusqu’en bas et cliquez sur Show advanced options > Edit attribute list for customappsso.** {% endstep %} {% step %} **Ajoutez le nouvel attribut suivant :** `urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId` * Type : chaîne * Sensible à la casse : oui {% endstep %} {% step %} **Cliquez sur Save.** {% endstep %} {% step %} **Retournez à Provision Microsoft Entra ID Users et cliquez sur Add New Mapping.** {% endstep %} {% step %} **Pour Source Attribute, sélectionnez le champ d’Azure AD où votre identifiant externe est stocké (par ex., extensionAttribute1, employeeId, etc.).** {% endstep %} {% step %} **Pour Target Attribute, utilisez : urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId** {% endstep %} {% step %} **Cliquez sur OK puis sur Save.** {% endstep %} {% endstepper %} Une fois provisionnée, la valeur external\_id sera stockée dans l’enregistrement SCIM de l’utilisateur au sein de Verkada. Cela fournit aux utilisateurs un identifiant flexible, interrogeable via API, qui reste unique à leur organisation et entièrement sous leur contrôle, sans être lié aux identifiants internes de Verkada ni exposé dans l’interface utilisateur. ![](https://3141080476-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-ad87e0166a1792938d4c35d10f1172332fbfa36e%2Fa1cab99d0a59e02d8322c174969b568cb1519438.png?alt=media) {% hint style="info" %} **Vous préférez le voir en action ?** Découvrez le [tutoriel vidéo](https://www.youtube.com/watch?v=YSMzqFwWlW4). {% endhint %} {% endtab %} {% endtabs %} {% tabs %} {% tab title="OIDC (recommandé)" %} #### SSO basé sur OIDC pour Azure Entra Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Azure Entra. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée à l’aide de leurs identifiants Azure Entra existants, ce qui simplifie l’accès à Command et renforce la sécurité globale. {% hint style="danger" %} OIDC n’est pas pris en charge sur les applications Desk Station. {% endhint %} {% hint style="info" %} Activer [le chiffrement contrôlé par l’entreprise (ECE)](https://help.verkada.com/command/fr/securite/enterprise-controlled-encryption) pour une sécurité renforcée. {% endhint %} *** **Configuration Azure Entra** {% stepper %} {% step %} **Connectez-vous à votre** [**portail Azure Entra**](https://portal.azure.com)**.** {% endstep %} {% step %} **Recherchez puis sélectionnez App registrations.** {% endstep %} {% step %} **Cliquez sur New Registration.** a. Nommez l’application **Verkada SSO OIDC.**\ b. Sous **Supported account types,** sélectionnez **Accounts in this organizational directory only ( only - Single tenant).**\ c. Sous **Redirect URI**, sélectionnez **Single-page application** (SPA) comme plateforme et ajoutez les URL de rappel suivantes : 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (remplacez org-short-name dans l’URI par le nom court de votre organisation Command.) {% hint style="warning" %} Vérifiez qu’il n’y a pas de barre oblique finale dans l’URI de rappel. {% endhint %} {% endstep %} {% step %} **Cliquez sur Register.** {% endstep %} {% step %} **Copiez et conservez votre Application (Client) ID et votre Directory (Tenant) ID dans un endroit sûr. Vous en aurez besoin pour terminer la configuration dans Verkada Command.** {% endstep %} {% step %} **À gauche, cliquez sur Manage > Expose an API.** a. Cliquez sur **Add a scope.**\ b. Cliquez sur **Save and continue**.\ c. Saisissez *verkada\_ece* pour les champs suivants : * Scope name * Admin consent display name * Admin consent description * User consent display name * User consent description d. Définissez **Who can consent?** sur **Admins and users.**\ e. Cliquez sur **Add scope.**

{% endstep %} {% endstepper %} *** **Configuration de Verkada Command** {% stepper %} {% step %} **Dans Verkada Command, allez à All Products > Admin.** {% endstep %} {% step %} **Dans la navigation de gauche, sélectionnez Login & Access.** {% endstep %} {% step %} **Sélectionnez Single Sign-On Configuration.** {% endstep %} {% step %} **Sous OIDC Configuration, cliquez sur Add New.** a. Activez **Enable.**\ b. (Facultatif) Activez **Require OIDC SSO.**\ c. Sous **Sélectionnez Provider,** sélectionnez **Azure Entra.**\ d. Sous **Add Client and Tenant,** cliquez sur :plus: . 1. Dans le champ **Client ID** champ, collez le Client ID que vous avez copié depuis Azure Entra. 2. Dans le champ **Tenant ID** champ, collez le Tenant ID que vous avez copié depuis Azure Entra. 3. Cliquez sur **Done**. e. Sous **Email Domains,** cliquez sur :plus:**.** 1. Saisissez votre nom de domaine présent (par ex., @verkada.com). 2. Cliquez sur **Done**.

{% endstep %} {% step %} **Cliquez sur Run Login Test.** {% endstep %} {% step %} **Un test de connexion réussi doit rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.** {% endstep %} {% step %} **Une fois votre domaine ajouté, relancez le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion ne sera pas terminé avec succès.** {% endstep %} {% step %} **Une fois votre domaine vérifié, vous devriez le voir validé avec succès.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="SAML" %} ### Intégration SAML de Microsoft Entra ID Selon votre cas d’usage, [Verkada Command](https://help.verkada.com/command/fr/pour-commencer/get-started-with-verkada-command) a la capacité de s’intégrer à Microsoft Entra ID, parmi d’autres fournisseurs d’identité \[IdP], dans les capacités suivantes : * Security Assertion Markup Language (SAML) * System for Cross-Domain Identity Management (SCIM) **SAML** gère l’authentification, permettant d’utiliser Microsoft Entra ID pour gérer l’accès à Command, de la même manière que n’importe quelle autre application SaaS déjà intégrée à votre locataire Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command à votre cadre d’identité existant et autoriser les utilisateurs selon vos politiques actuelles. **SCIM** vous permet d’exploiter vos utilisateurs et groupes existants déjà présents dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l’IdP central actuel et de configurer les autorisations dans Command en utilisant vos utilisateurs et groupes existants. *** #### Configurer SAML dans Microsoft Entra ID Verkada Command est enregistré comme application de galerie et peut être trouvé dans la place de marché Microsoft Entra ID ; autrement dit, vous pouvez l’utiliser avec des licences Microsoft Entra ID Free, Microsoft Entra ID P1 et Microsoft Entra ID P2. {% hint style="danger" %} Pour commencer, vous avez besoin de votre `client-ID`. Apprenez à [le générer et à configurer vos domaines de messagerie](https://help.verkada.com/command/fr/securite/identity-providers/..#generate-client-id), puis revenez à cet article pour terminer le reste du processus. {% endhint %} {% stepper %} {% step %} **Ajoutez Verkada Command en tant qu’application d’entreprise dans votre annuaire Microsoft Entra ID : allez sur la page d’aperçu Microsoft Entra ID et sélectionnez Enterprise applications.**

Une fois la page actualisée, vous devriez voir un menu similaire (comme indiqué ci-dessous). {% endstep %} {% step %} **Sous Set up single sign-on, cliquez sur Get started.**

{% endstep %} {% step %} **Choisissez SAML comme méthode d’authentification unique.**

{% endstep %} {% step %} **Si nécessaire, cliquez sur Edit pour configurer davantage votre connexion SAML.** {% endstep %} {% step %} **Configurez les champs suivants. Vous devez ajouter votre client ID à la fin de chaque URL avant de les ajouter à Microsoft Entra ID. Voir l’exemple sous la note.** a. Pour **Identifier** :\ Pour les organisations US : \ Pour les organisations EU : \ Pour les organisations AUS : b. Pour **Reply URL** :\ Pour les organisations US : \ Pour les organisations EU : \ Pour les organisations AUS : c. Pour **Sign on URL** :\ Pour les organisations US : \ Pour les organisations EU : [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ Pour les organisations AUS : {% hint style="warning" %} Pour confirmer la région dans laquelle vous vous trouvez, veuillez vous référer à l’endroit où [votre organisation a été créée pour Verkada](https://help.verkada.com/command/fr/pour-commencer/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **Cliquez sur Save.** {% endstep %} {% step %} **Dans Attributes & Claims, cliquez sur Edit pour respecter ces attributs :**

{% endstep %} {% step %} **Sous Provision User Accounts, cliquez sur Get started.**

{% endstep %} {% step %} **Cliquez sur Test Connection. Vous devriez voir une confirmation indiquant que la connexion SCIM a réussi.**

{% endstep %} {% step %} **Configurez vos mappages pour correspondre à cette capture d’écran du tableau de données :**

{% hint style="warning" %} L’attribut **externalId** est ajouté par défaut. Supprimez cet attribut pour éviter des problèmes de configuration. {% endhint %} {% endstep %} {% step %} **(Facultatif) Si vous devez ajouter un mappage :** a. Cliquez sur **Add New Mapping** > sélectionnez le **Source attribute** pour correspondre à l’attribut Microsoft Entra ID ci-dessus.\ b. Définissez le **Target attribute** pour correspondre à l’attribut **customappsso** ci-dessus.\ c. Cliquez sur **OK**. {% endstep %} {% step %} **Cliquez sur Save et confirmez les modifications, si nécessaire.** {% endstep %} {% step %} **En haut de la page, sélectionnez Provisioning pour revenir à la page Provisioning.** {% endstep %} {% endstepper %} *** **Configurer les attributs pour les utilisateurs Microsoft Entra ID** {% stepper %} {% step %} **Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappings, puis sélectionnez Provision Microsoft Entra ID Users pour modifier les mappages des utilisateurs.** {% endstep %} {% step %} **Mettez à jour vos mappages pour correspondre au tableau des attributs ci-dessous.** {% hint style="warning" %} L’attribut **Switch** l’attribut sous Microsoft Entra ID Attribute est ajouté comme type de mappage **Expression** . {% endhint %} Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | Attribut customappsso | Attribut Microsoft Entra ID | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | active | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} L’attribut Source est l’attribut Microsoft Entra ID et l’attribut Target est l’attribut customerappsso. Si l’un des **customappsso** attributs n’est pas disponible comme **attribut cible**, vous devrez peut-être l’ajouter à votre plateforme Microsoft Entra ID en tant qu’option. Pour ce faire, cochez la case **Show advanced options** et cliquez sur **Edit attribute list for customappsso**. {% endhint %} {% hint style="warning" %} Les utilisateurs gérés via SCIM n’ont plus la possibilité de modifier leur numéro de téléphone dans Command ; à la place, ils ne peuvent être provisionnés que via SCIM. Côté IDP, vous pouvez configurer le mappage des attributs de sorte que tout champ de votre instance IDP soit mappé vers le **champ numéro de téléphone** dans Command. Vous pouvez également le configurer de sorte que le champ **no** dans l’IDP soit mappé vers le champ **champ numéro de téléphone** champ dans Command. Cependant, même dans ce cas, les numéros de téléphone restent un **champ verrouillé** dans Command et ne peuvent être modifiés que via SCIM. {% endhint %} {% endstep %} {% step %} **Cliquez sur Save pour confirmer les modifications.** {% endstep %} {% step %} **En haut, sélectionnez Provisioning et activez Provisioning Status.**

3. Pour éviter d’avoir à examiner et approuver manuellement tous les changements d’étape communiqués entre Azure Entra et votre application Command, sélectionnez **Grant admin consent for Default Directory**.