Microsoft Entra ID
Configurez le SSO et le provisioning des utilisateurs avec Microsoft Entra ID (Azure AD)
En fonction de votre cas d'utilisation, Verkada Command a la capacité de s'intégrer à Microsoft Entra ID, parmi d'autres fournisseurs d'identité [IdP], dans les capacités suivantes :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère l'aspect authentification permettant d'utiliser Microsoft Entra ID pour gérer l'accès à Command, de la même manière que toute autre application Software as a Service (SaaS) s'intègre déjà à votre locataire Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command dans votre cadre d'identité existant et autoriser les utilisateurs en fonction de vos politiques actuelles.
SCIM vous permet de tirer parti de vos utilisateurs et groupes existants déjà présents dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l'IdP central actuel et de configurer les autorisations dans Command en utilisant vos utilisateurs et groupes existants.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également Enterprise Controlled Encryption.
SSO basé sur OIDC pour Azure Entra
Verkada Command prend en charge le Single Sign-On (SSO) via OpenID Connect (OIDC) avec Azure Entra. Cette intégration permet à nos utilisateurs de s'authentifier de manière fluide et sécurisée en utilisant leurs identifiants Azure Entra existants, simplifiant l'accès à Command et améliorant la sécurité globale.
OIDC n'est pas pris en charge sur l'application Pass ou les applications Desk Station.
Activer Enterprise Controlled Encryption (ECE) pour une sécurité renforcée.
Configuration Azure Entra
Connectez-vous à votre portail Azure Entra.
Recherchez et sélectionnez Enregistrements d'application.
Cliquez sur Nouvel enregistrement.
a. Nommez l'application Verkada SSO OIDC. b. Sous Types de comptes pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement (uniquement - Locataire unique). c. Sous URI de redirection, sélectionnez Application monopage (SPA) comme plateforme et ajoutez les URL de rappel suivantes :
https://org-short-name.command.verkada.com/oidc/aad/callback (remplacez org-short-name dans l'URI par le nom court de votre organisation Command.)
Vérifiez qu'il n'y a pas de barre oblique finale dans l'URI de rappel.
Cliquez sur Enregistrer.
Copiez et stockez votre ID d'application (client) et votre ID d'annuaire (locataire) en lieu sûr. Vous en aurez besoin pour terminer la configuration dans Verkada Command.
À gauche, cliquez sur Gérer > Exposer une API.
a. Cliquez sur Ajouter une portée. b. Cliquez sur Enregistrer et continuer. c. Saisissez verkada_ece pour les champs suivants :
Nom de la portée
Nom d'affichage du consentement administrateur
Description du consentement administrateur
Nom d'affichage du consentement utilisateur
Description du consentement utilisateur
d. Définissez Qui peut consentir ? sur Administrateurs et utilisateurs. e. Cliquez sur Ajouter la portée.
Configuration de Verkada Command
Dans Verkada Command, allez à Tous les produits > Admin.
Dans la navigation de gauche, sélectionnez Connexion et accès.
Sélectionnez Configuration du Single Sign-On.
Sous Configuration OIDC, cliquez sur Ajouter nouveau.
a. Activez Activer. b. (Optionnel) Activez Exiger le SSO OIDC. c. Sous Sélectionnez Fournisseur, sélectionnez Azure Entra. d. Sous Ajouter client et locataire, cliquez sur :plus:.
Dans le champ ID client , collez l'ID client que vous avez copié depuis Azure Entra.
Dans le champ Champ ID locataire
, collez l'ID locataire que vous avez copié depuis Azure Entra. Cliquez sur.
Terminé e. Sous Domaines de messagerie,.
cliquez sur :plus:
, collez l'ID locataire que vous avez copié depuis Azure Entra. Cliquez sur.
Saisissez le nom de domaine que vous avez (par ex., @verkada.com).
Cliquez sur Exécuter le test de connexion.
Un test de connexion réussi devrait rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce second test de connexion n'aura pas réussi.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
En fonction de votre cas d'utilisation, Verkada Command a la capacité de s'intégrer à Microsoft Entra ID, parmi d'autres fournisseurs d'identité [IdP], dans les capacités suivantes :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère l'aspect authentification permettant d'utiliser Microsoft Entra ID pour gérer l'accès à Command, de la même manière que toute autre application Software as a Service (SaaS) s'intègre déjà à votre locataire Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command dans votre cadre d'identité existant et autoriser les utilisateurs en fonction de vos politiques actuelles.
SCIM vous permet de tirer parti de vos utilisateurs et groupes existants déjà présents dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l'IdP central actuel et de configurer les autorisations dans Command en utilisant vos utilisateurs et groupes existants.
Intégration Microsoft Entra ID SAML
Configurer SAML dans Microsoft Entra ID
Verkada Command est enregistré en tant qu'application de galerie et peut être trouvé dans la marketplace Microsoft Entra ID ; en d'autres termes, vous pouvez l'utiliser avec Microsoft Entra ID Free, Microsoft Entra ID P1 et Microsoft Entra ID P2. Pour commencer, vous avez besoin de votreclient-ID . Apprenez commentle générer et configurer vos domaines de messagerie
, puis revenez à cet article pour compléter le reste de ce processus.
Ajoutez Verkada Command en tant qu'application d'entreprise dans votre annuaire Microsoft Entra ID : allez sur la page d'aperçu de Microsoft Entra ID et sélectionnez Applications d'entreprise.
En haut de la page, sélectionnez Nouvelle application et recherchez Verkada Command. Sélectionnez Verkada Command et cliquez sur Créer. Soyez patient car cela peut prendre quelques minutes pour ajouter l'application à votre locataire Microsoft Entra ID.
.
Une fois la page actualisée, vous devriez voir un menu similaire (comme illustré ci-dessous).
Sur Configurer le Single Sign-On, cliquez sur Commencer.
Choisissez SAML comme méthode de Single Sign-On.
Si nécessaire, cliquez sur Modifier pour configurer davantage votre connexion SAML.
Configurez les champs suivants. Vous devez ajouter votre ID client à la fin de chaque URL avant de les ajouter à Microsoft Entra ID. Voir l'exemple sous la note. a. PourIdentifiant : Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU :https://saml.prod2.verkada.com/saml/sso Pour les organisations AUS :
https://saml.prod-ap-syd.verkada.com/saml/sso b. PourIdentifiant : Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso Pour les organisations AUS :
URL de réponse c. PourIdentifiant URL de connexion https://vauth.command.verkada.com/saml/sso https://vauth.command.verkada.com/saml/login https://saml.prod2.verkada.com/saml/sso Pour les organisations AUS :
https://saml.prod2.verkada.com/saml/login Pour confirmer dans quelle région vous vous trouvez, veuillez vous référer à l'endroit où.
votre organisation a été créée pour Verkada
Cliquez sur Enregistrer.
Sur Attributs et déclarations, cliquez sur Modifier pour être cohérent avec ces attributs :
Sur Certificat de signature SAML, importez ce XML de métadonnées de fédération dans Command.
Cliquez sur Télécharger pour l'enregistrer pour plus tard.
Si vous utilisez des attributs source différents pour l'e-mail, configurez les attributs en fonction de l'attribut source que vous souhaitez utiliser.
Les dialogues suivants contiennent des outils que vous pouvez utiliser après la finalisation de l'intégration.
Téléversez votre XML de métadonnées de fédération dans Command Après avoir terminé les étapes dans Microsoft Entra ID et téléchargé les métadonnées, téléversez le fichier de métadonnées XML
dans Command.
Testez la connexion SAML dans Microsoft Entra ID
Une fois le fichier téléversé, dans votre Microsoft Entra ID, cliquez sur Tester pour tester l'intégration. Une notification sera envoyée à tous les utilisateurs qui ont un compte Command (invitation à l'organisation).
Connectez-vous avec Se connecter en tant qu'utilisateur actuel. Si tout est correctement configuré, vous devriez être redirigé vers la plateforme Command.
Connectez-vous via le Single Sign-On pour vérifier l'accès à Command.
Microsoft Entra ID ne prend pas en charge les groupes imbriqués pour l'accès aux applications pour le moment. Tous les utilisateurs doivent être membres directs des groupes pour l'attribution.
Connectez-vous via l'application mobile
Dans le champ Android et iOS sur Command prennent en charge la connexion via SAML. adresse e-mail champ, saisissez votre e-mail et cliquez surSuivant
Provisionnement des utilisateurs
Intégration Microsoft Entra ID SCIM
Verkada Command s'intègre avec Microsoft Entra ID en utilisant System for Cross-Domain Identity Management (SCIM) pour le provisionnement automatique des utilisateurs et des groupes.
SCIM synchronise les utilisateurs et les groupes de Microsoft Entra ID directement dans Command. Cela vous permet de :
Conserver Microsoft Entra ID comme votre IdP central.
Mettre à jour automatiquement les utilisateurs et groupes dans Command lorsque des modifications surviennent dans Entra ID.
Attribuer et gérer les autorisations dans Command en utilisant votre structure d'identité existante.
Si votre organisation utilise SCIM, les numéros de téléphone ne peuvent être provisionnés que via SCIM. Vous ne pourrez pas modifier votre numéro de téléphone directement dans Command.
Configuration de SCIM dans Microsoft Entra ID
Dans Verkada Command, allez à Tous les produits > Admin.
Avant de configurer SCIM dans Microsoft Entra ID, vous devez générer votre jeton secret dans Command.
Sous Paramètres de l'organisation, sélectionnez Connexion & Accès & Journaux > Provisionnement des utilisateurs SCIM.
Cliquez sur Ajouter un domaine, et saisissez tous les domaines de messagerie pertinents que vous prévoyez d'utiliser avec SCIM. Cela génère un jeton SCIM,
a. Cliquez sur qui n'est consultable qu'une seule fois. Copiez et stockez le jeton dans un endroit sécurisé pour l'utiliser ultérieurement dans la configuration. b. Cliquez sur Actualiser
pour générer un nouveau jeton si vous n'avez pas copié votre jeton ou s'il n'est pas visible.
Depuis la page d'accueil Microsoft Entra ID, sélectionnez Applications d'entreprise > Nouvelle application > Créer votre propre application.
Dans le panneau latéral Créer votre propre application, tapez le nom de l'application, sélectionnez l'application non-galerie, et cliquez sur Créer.
Sous Provisionner des comptes utilisateurs, cliquez sur Commencer.
Sélectionnez Gérer > Provisioning.
Sur la page de provisionnement :
a. Définissez le mode de provisionnement sur Automatique. b. Définissez l'URL du locataire comme : Pour les organisations US :
https://vauth.command.verkada.com/saml/sso https://api.command.verkada.com/scim
https://saml.prod2.verkada.com/saml/sso https://scim.prod2.verkada.com/scim
https://scim.prod-ap-syd.verkada.com/scim Pour confirmer dans quelle région vous vous trouvez,.
reportez-vous à l'endroit où votre organisation a été créée pour Verkada f. Renseignez le jeton
SCIM généré dans Verkada Command (étape 2) comme jeton secret.
votre organisation a été créée pour Verkada
Cliquez sur Tester la connexion. Vous devriez voir une confirmation que la connexion SCIM est réussie.
Configurer les attributs pour les groupes Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappages, et sélectionnez Provision Microsoft Entra ID Groups.
Configurez vos mappages pour correspondre à cette capture d'écran du tableau de données : L'attribut externalId
est ajouté par défaut. Supprimez cet attribut pour éviter des problèmes avec la configuration.
a. Cliquez sur (Optionnel) Si vous devez ajouter un mappage : Ajouter un nouveau mappage > sélectionnez le Attribut source pour correspondre à l'attribut Microsoft Entra ID ci-dessus. b. Définissez le Attribut cible pour correspondre à l' attribut customappsso ci-dessus. c. Cliquez sur.
OK
Cliquez sur Enregistrer et confirmez les modifications, si nécessaire.
En haut de la page, sélectionnez Provisioning pour revenir à la page de provisionnement.
Configurer les attributs pour les utilisateurs Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappages, puis sélectionnez Provision Microsoft Entra ID Users pour modifier les mappages des utilisateurs.
Configurez vos mappages pour correspondre à cette capture d'écran du tableau de données : Mettez à jour vos mappages pour correspondre au tableau d'attributs ci-dessous. Basculez attribut sous Microsoft Entra ID Attribute est ajouté en tant que Expression
type de mappage.
Attribut Microsoft Entra ID
userName
userPrincipalName
type de mappage.
active
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department pour correspondre à l' L'attribut Source est l'attribut Microsoft Entra ID et l'attribut Cible est l'attribut customerappsso. Si l'un des attributs n'est pas disponible en tant qu'Attribut cible , vous devrez peut-être les ajouter à votre plateforme Microsoft Entra ID en tant qu'option. Pour ce faire, cochez la case Afficher les options avancées et cliquez sur.
Modifier la liste d'attributs pour customappsso Les utilisateurs gérés par SCIM n'ont plus la possibilité de modifier leur numéro de téléphone dans Command ; à la place, ils ne peuvent être provisionnés que via SCIM. Du côté de l'IdP, vous pouvez configurer votre mappage d'attributs de sorte que n'importe quel champ dans votre instance d'IdP corresponde au champ numéro de téléphone dans Command. Vous pouvez également le configurer de sorte que le champ no Les utilisateurs gérés par SCIM n'ont plus la possibilité de modifier leur numéro de téléphone dans Command ; à la place, ils ne peuvent être provisionnés que via SCIM. Du côté de l'IdP, vous pouvez configurer votre mappage d'attributs de sorte que n'importe quel champ dans votre instance d'IdP corresponde au dans l'IdP corresponde au champ dans Command. Cependant, même dans ce cas, les numéros de téléphone restent un champ verrouillé
dans Command et ne peuvent être modifiés que via SCIM.
Cliquez sur Enregistrer pour confirmer les modifications.
En haut, sélectionnez Provisioning et activez l'état de provisionnement.
En fonction des exigences, ajustez la portée sur l'une des options requises :
Synchroniser tous les utilisateurs et groupes.
Synchroniser uniquement les utilisateurs et groupes assignés.
Assurez-vous que les utilisateurs et groupes sont assignés à l'application d'entreprise sous Utilisateurs et groupes. Ceux qui sont assignés sont ceux provisionnés et présents dans Command.
Vérifiez que les utilisateurs sont assignés à l'application. Une fois le cycle de provisionnement initial écoulé : a. Vous devriez voir le nombre total d'utilisateurs et de groupes qui ont été provisionnés avec succès sousAperçu . b. Dans Command, vous devriez voir ces utilisateurs et groupes renseignés avec le tag Géré par SCIM
associé. Ces utilisateurs et groupes synchronisés peuvent maintenant être utilisés dans Command et se voir attribuer des autorisations pour contrôler l'accès à la plateforme Command.
Supprimer les utilisateurs gérés par SCIM de Command
Lorsqu'un utilisateur géré par SCIM est désactivé dans votre fournisseur d'identité, vous pouvez supprimer l'utilisateur de Command de deux manières : Supprimer l'utilisateur
– Le compte passe à la page Utilisateurs supprimés mais conserve les enregistrements historiques, les rôles et les autorisations. Supprimer définitivement l'utilisateur
– Tous les rôles, identifiants, journaux d'accès et données associées sont effacés. Si l'utilisateur est reprovisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l'utilisateur dans votre fournisseur d'identité (IdP) avant que l'une ou l'autre des options de suppression ne soit disponible dans Command.
Connectez-vous à votre (Optionnel) Ajouter des identifiants d'accès aux utilisateurs SCIM.
Portail Azure
Dans la barre de recherche, tapez et sélectionnez Applications d'entreprise.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Gérer > Provisioning.
Développez le sous-menu Mappages et sélectionnez Provision Microsoft Entra ID Users.
En bas, cliquez sur Afficher les options avancées > Modifier la liste d'attributs pour customappsso. a. Ajoutez les attributs du tableau ci-dessous. b. Cliquez sur.
Enregistrer
Retournez à Provision Microsoft Entra ID Users et sélectionnez Ajouter un nouveau mappage. a. Utilisez extensionAttributes 1-5 comme Attributs source et mappez-les aux nouveaux attributs que nous avons créés en utilisant Format de carte, Numéro de carte, Numéro de carte Hex, Statut d'identifiant, et Code d'établissement
comme attributs cibles. Référence Formats de carte acceptables
pour les formats de carte acceptés et leurs longueurs associées de code d'établissement, numéro de carte et/ou numéro de carte hex. Statut d'identifiant
peut être "active", "deactivated" ou "deleted" a. Ajoutez les attributs du tableau ci-dessous. b. Cliquez sur.
d. Cliquez sur
Tableau des attributs
Nom
Type
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Modifier l'enregistrement d'application
Chaque application d'entreprise activée pour SCIM créée sur Entra AD nécessite généralement son propre enregistrement d'application.
Dans la barre de recherche, tapez et sélectionnez Enregistrements d'application.
Passez à l'onglet Toutes les applications et recherchez le nom de votre application Verkada SCIM.
Sur Aperçu, notez l'ID d'application (client) et l'ID d'annuaire (locataire) de votre enregistrement d'application. Vous en aurez besoin plus tard pour configurer les informations d'identification pour votre application Command depuis votre enregistrement d'application.
Dans la navigation de gauche, cliquez sur Gérer. a. Sous
, collez l'ID locataire que vous avez copié depuis Azure Entra. Certificats et secrets :.
Nouveau secret client Définissez la Descriptionsur " Verkada SCIM Credentials"
et définissez la date d'expiration du certificat de votre choix. Copiez et stockez la valeur affichée dans le Valeur du nouveau secret client créé.
Terminé Cela ne sera affiché qu'une seule fois.:
, collez l'ID locataire que vous avez copié depuis Azure Entra. Autorisations API
Ajouter des autorisations > Microsoft Graph. Sélectionnez Autorisations d'applicationet recherchez "".
User.ReadWrite.All
, collez l'ID locataire que vous avez copié depuis Azure Entra. Cochez la case pour assigner les autorisations..
Ajouter des autorisations Pour éviter d'avoir à examiner et approuver manuellement toutes les modifications d'étape communiquées entre Azure Entra et votre application Command, sélectionnez.
Accorder le consentement d'administrateur pour le répertoire par défaut Reportez-vous à cette liste d'identifiants pour.
formats de carte acceptables
Accéder et mettre à jour vos identifiants Pour définir les attributs d'extension et les informations d'identification pour un utilisateur particulier, utilisez les instructions de l'API Graph à :.
https://learn.microsoft.com/en-us/graph/extensibility-overview Définir l'attribut credentialStatus userPrincipalName sur
lors de la configuration d'un identifiant pour un utilisateur est nécessaire pour synchroniser avec succès les identifiants avec Command. Où le statut de l'identifiant (credentialStatus) est extensionAttribute4.
"extensionAttribute5": "111"
Synchroniser l'ID externe vers Verkada
Le champ externalId vous permet d'attribuer un identifiant persistant et globalement unique à vos utilisateurs via Microsoft Entra, que Verkada peut référencer dans les intégrations. Ceci est particulièrement utile dans les grands environnements d'entreprise où les utilisateurs doivent être distingués entre systèmes, ou lorsque la synchronisation des identifiants (par ex., cartes d'accès) doit être liée à une clé d'identité unique. Verkada accepte la réception et le stockage de cette valeur dans le cadre de son schéma utilisateur SCIM. Le champ est sensible à la casse et est généralement configuré pour accepter une valeur de type chaîne provenant d'un attribut désigné dans votre instance Microsoft Entra. Cette fonctionnalité prend en charge des flux de travail avancés tels que la gestion personnalisée des identifiants, l'automatisation du cycle de vie des employés et le mappage cohérent des utilisateurs entre organisations.
Mapper externalId d'Azure vers Verkada
Pour synchroniser une valeur externalId personnalisée de Microsoft Entra ID (Azure) vers Verkada, suivez ces étapes :
Portail Azure
Dans la barre de recherche, tapez et sélectionnez Applications d'entreprise.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Gérer > Provisioning.
Connectez-vous à votre portail Azure.
Faites défiler vers le bas et cliquez sur Afficher les options avancées > Modifier la liste d'attributs pour customappsso.
Ajoutez le nouvel attribut suivant :
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Type : Chaîne
votre organisation a été créée pour Verkada
Sensible à la casse : Oui
Retournez à Provision Microsoft Entra ID Users et cliquez sur Ajouter un nouveau mappage.
Pour Attribut source, sélectionnez le champ d'Azure AD où votre ID externe est stocké (par ex., extensionAttribute1, employeeId, etc.).
Pour Attribut cible, utilisez : urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Cliquez sur OK puis sur Enregistrer.
Une fois provisionnée, la valeur external_id sera stockée dans l'enregistrement SCIM de l'utilisateur au sein de Verkada. Cela fournit aux utilisateurs un ID flexible, interrogeable via l'API, qui reste unique pour leur organisation et entièrement sous leur contrôle, sans être lié aux identifiants internes de Verkada ni exposé dans l'interface utilisateur. Vous préférez le voir en action ? Consultez le tuto vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?