Okta
Configurez le SSO et le provisioning des utilisateurs avec Okta
Verkada Command a la capacité de s’intégrer à Okta (parmi d’autres fournisseurs d’identités [IdP]) de 2 manières, selon le cas d’utilisation :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère le processus d’authentification, permettant d’utiliser Okta pour gérer l’accès à Command, de la même manière que pour toute autre application Software as a Service (SaaS) déjà intégrée à votre locataire Okta. Cela signifie que Command peut être intégré à votre cadre d’identité existant et être soumis à un contrôle d’accès basé sur vos politiques actuelles.
SCIM vous permet d’exploiter vos utilisateurs et groupes existants déjà présents dans Okta et de les synchroniser avec Command. Cela vous permet de conserver votre fournisseur d’identité central actuel et de configurer l’accès en utilisant vos utilisateurs et groupes existants via Command pour contrôler l’accès à la plateforme.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également chiffrement contrôlé par l’entreprise.
SSO basé sur OIDC pour Okta
Verkada Command prend en charge Single Sign-On (SSO) via OpenID Connect (OIDC) avec Okta. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée en utilisant leurs identifiants Okta existants, simplifiant l’accès à Command et renforçant la sécurité globale.
OIDC n’est pas pris en charge sur l’application Pass ni sur les applications Desk Station.
Activer Chiffrement contrôlé par l’entreprise (ECE) pour une sécurité renforcée.
Configuration OIDC
Accédez à votre instance Okta pour créer une nouvelle application afin de gérer votre configuration OIDC. Cliquez sur Applications dans la barre latérale Applications et cliquez sur Create App Integration.
Sous Create a new app integration, sélectionnez OIDC - OpenID Connect comme méthode de connexion (Sign-in method) et Single-Page Application comme type d’application (Application type).
Sous Sign-in redirect URIs donnez à votre application un nom identifiable et ajoutez les liens suivants à la liste des Sign-in redirect URIs :
a. https://command.verkada.com/oidc/okta/callback b. https://.command.verkada.com/oidc/okta/callback où dans l’URL correspond au nom court de votre organisation Command.
(Facultatif) Sous Sign-out redirect URIs ajoutez https://command.verkada.com/.
Sous Assignments, sélectionnez Skip Group Assignment pour l’instant et cliquez sur Save.
Sous Assignments, cliquez sur le menu déroulant Assign pour assigner cette application à vos profils utilisateur (et autres profils pertinents).
Sous General, copiez le Client ID affiché sous Client Credentials.
Configuration de Command
Dans Verkada Command, allez dans Tous les produits > Admin.
Dans la navigation gauche, sélectionnez Login & Access.
Sélectionnez Single Sign-On Configuration.
Sous OIDC Configuration, cliquez sur Add New.
a. Activez Activer. b. (Facultatif) Activez Exiger OIDC SSO. c. Sous Sélectionner le fournisseur, sélectionnez Okta. d. Sous Ajouter Client et Locataire, cliquez :plus:.
Dans le Client ID champ, collez le Client ID que vous avez copié depuis Okta.
Dans le Tenant ID champ, saisissez la première partie de l’URL de votre instance Okta. Cela devrait ressembler à ceci : https://yourinstancename.okta.com.
Cliquez sur Terminé.
h. Email Domains, cliquez :plus:.
Saisissez votre nom de domaine présent (par ex. @verkada.com).
Cliquez sur Terminé.
Sous Login Test cliquez sur Run Login Test.
Un test de connexion réussi devrait rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce second test de connexion n’aura pas été validé avec succès.
Une fois votre domaine vérifié, vous devriez voir qu’il a été validé avec succès.
Intégration Okta SAML
Avant de commencer
Pour une intégration réussie, choisissez la meilleure voie pour votre région :
Pour les organisations US, vous utiliserez une application Verkada existante en suivant les étapes ci-dessous.
Pour les organisations EU et AUS, suivez les étapes de la section suivante pour configurer une nouvelle intégration d’application dans Okta.
Créer une application Verkada dans Okta (organisations US)
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Browse App Catalog.
Dans la barre de recherche, tapez Verkada.
Cliquez sur Add. ​
Cliquez sur Done.
Configurer une nouvelle intégration d’application depuis Okta (organisations EU)
Allez dans Applications, puis sélectionnez Create App Integration.
Créez une nouvelle intégration d’application, sélectionnez SAML 2.0, puis cliquez sur Next.
Sur la page "Create a SAML integration", sous General Settings, saisissez un nom d’application, ajoutez éventuellement un logo d’application, puis cliquez sur Next.
Dans la page de configuration SAML, remplissez le Single sign-on URL et l’Entity ID. ​Single sign-on URL pour les organisations EU :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<client-ID>
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID> ​Audience URI (SP Entity ID) pour les organisations EU :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<client-ID>
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Remarque : client-ID doit être récupéré depuis la configuration Command et remplacé dans les liens insérés dans l’application Okta.
Le nom d’utilisateur de l’application est le nom d’utilisateur Okta.
Dans la section attribute statements, configurez le mappage des attributs comme suit :
email>user.emailfirstName>user.firstNamelastName>user.lastName​
Sur la page de feedback, cochez la case intitulée "This is an internal app that we have created". ​
Mappages d’attributs
Accédez à Directory > Profile Editor > choisissez l’application Verkada > vérifiez les attributs
Cliquez sur Mappings et Verify App to Okta user mappings ​
Mappages Utilisateur vers Application : ​
Configuration
Dans Okta, sélectionnez l’onglet Sign On pour l’application Verkada, puis cliquez sur Edit.
Faites défiler jusqu’à Advanced Sign-On Settings et saisissez le Client ID depuis votre compte Command.
Sélectionnez Save.
Faites défiler davantage jusqu’à SAML Signing Certificates et cliquez sur Generate new certificate si aucun nouveau certificat n’existe.
À droite du certificat, sélectionnez le menu Actions et cliquez sur View IdP metadata
Cliquez avec le bouton droit sur les métadonnées et sélectionnez enregistrer sous et téléchargez en tant que fichier XML.
Après avoir téléchargé le fichier XML, vous devez le télécharger sur Command.
Dans la section Verify Metadata, cliquez sur Run Login Test.
Dépannage
La mise à jour des noms d’utilisateur (emails) n’a pas d’effet automatique dans Command. Si vous devez changer un nom d’utilisateur, désaffectez l’utilisateur de l’application SAML, puis réajoutez l’utilisateur à l’application pour que le changement prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’a pas été ajouté à la configuration SSO dans le backend Verkada. Si l’e-mail de l’utilisateur est en dehors des domaines e-mail fournis lors de la configuration du SSO, cela empêche l’utilisateur d’utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour remédier au problème.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez le service d’assistance de Verkada.
Intégration Okta SCIM
Avant de commencer
Vous avez besoin d’un jeton API pour vous connecter au point de terminaison SCIM de Verkada. Ce jeton est unique pour chaque organisation Verkada. Apprenez comment obtenir un jeton API SCIM.
Pour une intégration réussie, choisissez la meilleure voie pour votre région :
Pour les organisations US, suivez les étapes dans Create a Verkada Okta app.
Pour les organisations EU et AUS, suivez les étapes dans Enable SCIM provisioning in Okta app.
Pour confirmer dans quelle région vous vous trouvez, reportez-vous à l’endroit où votre organisation a été créée pour Verkada.
Créer une application Verkada dans Okta
Région US
Connectez-vous à Okta.
Dans le panneau de navigation gauche, cliquez sur Applications.
En haut, cliquez sur Browse App Catalog.
Dans la barre de recherche, tapez Verkada, cliquez sur l’application, puis cliquez sur Add Integration.
Pour Application label, saisissez Verkada (ou tout nom unique de votre choix) et cliquez sur Done.
Région EU et AUS
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Create App Integration.
Sur Create a new app integration, sélectionnez SAML 2.0 et cliquez sur Next.
Dans le champ App name, saisissez un nom puis cliquez sur Next.
Sur Create SAML Integration :
Pour Single sign-on URL :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour Audience URI (SP Entity ID) :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Faites défiler vers le bas et cliquez sur Next.
Sélectionnez le bouton radio I’m an Okta customer adding an internal app et cliquez sur Finish (optionnellement, vous pouvez ignorer les questions supplémentaires d’Okta).
Dans la navigation gauche, cliquez sur Applications et ouvrez votre application nouvellement créée (si vous n’êtes pas automatiquement redirigé vers votre application).
En haut, sélectionnez l’onglet General :
En haut à droite, cliquez sur Edit pour les paramètres de l’application.
Cochez la case Enable SCIM provisioning.
Cliquez sur Save.
Sur SCIM Connection :
En haut de votre application nouvellement créée, sélectionnez l’onglet Provisioning.
Cliquez sur Edit pour les paramètres de SCIM Connection.
Pour SCIM connector base URL
Pour les organisations EU, https://scim.prod2.verkada.com/scim
Pour les organisations AUS, https://scim.ap-syd.verkada.com/scim
Pour Unique identifier field for users, saisissez userName.
Cochez les cases Push New Users, Push Profile Updates et Push Groups.
Cliquez sur le menu Authentication Mode et sélectionnez HTTP Header.
Copiez et collez le jeton SCIM depuis Command dans le champ Authorization.
Cliquez sur Save.
Configurer l’application Verkada dans Okta
Région US
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
À gauche, sélectionnez l’onglet Provisioning.
Sous l’onglet Provisioning > Integration :
Cliquez sur Configure API Integration.
Cochez la case Enable API integration.
Dans le champ API Token, copiez et collez votre jeton API généré par Command.
Cliquez sur Save.
Sous l’onglet Provisioning > Settings :
Sélectionnez To App et cliquez sur Edit.
Cochez la case Enable pour Create Users, Update User Attributes et Deactivate Users.
Cliquez sur Save.
Sous l’onglet Provisioning > Section To App > Verkada Attribute Mappings, cliquez sur Go to Profile Editor.
Assurez-vous que les attributs correspondent, comme dans l’exemple ci-dessous. Vous pouvez ajouter plus d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Région EU et AUS
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
Sous l’onglet Provisioning > Settings :
Sélectionnez To App et cliquez sur Edit.
Cochez la case Enable pour Create Users, Update User Attributes et Deactivate Users.
Cliquez sur Save. Vous pouvez ajouter plus d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Provisionner des utilisateurs et des groupes
Les utilisateurs ajoutés à l’application sont poussés automatiquement ; les groupes doivent être poussés manuellement.
Utilisateurs dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
Cliquez sur l’onglet Assignments.
Cliquez sur le menu Assign et sélectionnez Assign to People.
Cliquez sur Assign pour les personnes que vous souhaitez provisionner dans l’application.
Vous verrez les informations de cet utilisateur. En bas, cliquez sur Save and Go Back.
Lorsque vous êtes redirigé vers la page Assign, cliquez sur Done.
Groupes dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
En haut, sélectionnez l’onglet Push Groups.
Cliquez sur le menu Push Groups pour trouver des groupes (par nom ou par règle).
Trouvez le groupe que vous souhaitez pousser et cliquez sur Save. Si réussi, le Push Status indique Active.
Command étiquette ensuite les utilisateurs et groupes comme SCIM Managed, s’ils sont importés via SCIM.
À gauche, cliquez sur Applications, puis sélectionnez l’application Verkada.
Cliquez sur l’onglet Assignments.
Cliquez sur le menu Assign et sélectionnez Assign to Groups.
Cliquez sur Assign pour les groupes que vous souhaitez provisionner dans l’application.
Vous verrez les informations de ce groupe. En bas, cliquez sur Save and Go Back.
Lorsque vous êtes redirigé vers la page Assign, cliquez sur Done.
Ajouter des attributs aux utilisateurs gérés par SCIM (facultatif)
Région US
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization
Comment cela fonctionne
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur l’application Verkada.
Sélectionnez l’onglet Provisioning.
Sous Verkada Attribute Mappings, cliquez sur Go to Profile Editor.
Sur Attributes, cliquez sur Add Attribute.
Dans les champs Display name, Variable name et External name, tapez le nom de l’attribut. Le nom externe d’un numéro de téléphone principal doit être tapé comme phoneNumbers.^[type==work].value
Dans le champ external namespace, saisissez urn:ietf:params:scim:schemas:core:2.0:User
Sous User Permission, sélectionnez le bouton radio Read-Write, puis cliquez sur Save.
Région EU et AUS
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization
Pour provisionner des numéros de téléphone en dehors des États-Unis dans Command, le numéro de téléphone de l’utilisateur dans le profil Okta nécessite l’indicatif pays. Par exemple, 0123 456 789 doit être saisi dans Okta comme +61 123 456 789 pour être correctement importé dans Command.
Comment cela fonctionne
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur l’application Verkada.
Allez dans l’onglet Provisioning > Go to Profile Editor.
Cliquez sur Add Attribute.
Dans la fenêtre contextuelle :
Saisissez un nom d’affichage unique.
Saisissez le nom de la variable. Vous devrez vous en souvenir pour une utilisation future.
Saisissez un nom externe. Il doit être l’un des attributs pris en charge.
Pour external namespace, saisissez urn:ietf:params:scim:schemas:core:2.0:User
Sélectionnez le bouton radio Read-Write.
Cliquez sur Save.
Sur Profile Editor, cliquez sur Mappings.
Cliquez sur Okta User to [nom de votre application Verkada].
Trouvez votre attribut nouvellement créé non mappé.
Saisissez l’attribut utilisateur approprié pour l’utilisateur Okta afin de mapper l’attribut nouvellement créé.
Cliquez sur Save Mappings.
Supprimer des utilisateurs gérés par SCIM de Command
Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez supprimer l’utilisateur de Command de deux manières :
Supprimer l’utilisateur – Le compte passe à la page Utilisateurs supprimés (Deleted Users) mais conserve les archives historiques, les rôles et les permissions.
Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est reprovisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.
Ajouter des identifiants d’accès aux utilisateurs gérés par SCIM (facultatif)
Connectez-vous à Okta.
Dans la navigation gauche, sélectionnez Directory > Profile Editor.
a. Sélectionnez User (par défaut) comme type d’utilisateur. b. Cliquez sur Add Attribute et ajoutez les attributs personnalisés à partir de la table ci-dessous.
Dans la navigation gauche, sélectionnez Applications et ouvrez votre application Verkada gérée par SCIM.
Dans l’onglet Provisioning, sélectionnez To App > Go to Profile Editor.
Cliquez sur Add Attribute pour créer les attributs listés ci-dessus en utilisant exactement le même type de données (Data Type), Display Name, Variable Name, Description et valeurs ENUM.
a. Définissez la External namespace valeur pour tous les attributs sur :
b. Définissez Type d’attribut sur Personal*.* c. Cliquez sur Save pour ajouter l’attribut.
Cliquez sur Mappings pour mapper les attributs de l’application Okta User vers votre application SCIM.
a. Sélectionnez Okta User vers YourSCIMApp en haut et mappez les attributs personnalisés créés pour l’Okta Default User à ceux créés sur votre application SCIM. b. Cliquez sur Save Mappings et Apply updates now pour appliquer les modifications.
Les attributs devraient maintenant être disponibles sur les profils des utilisateurs de toutes vos applications Okta. Une fois synchronisés, vous pouvez voir les identifiants dans Command sous Access > Access Users > User Profile > Credentials.
Tableau des attributs
Reportez-vous à cette liste d’identifiants pour la liste des formats de carte acceptables.
Type de données
Nom d’affichage
Nom externe
Espace de noms externe
Description
ENUM
chaîne
Format de carte
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Format de carte pour l’identifiant d’accès
Laisser décoché
chaîne
Numéro de carte
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Numéro de carte pour l’identifiant d’accès
Laisser décoché
chaîne
Numéro de carte Hex
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Représentation hexadécimale du numéro de carte
Laisser décoché
chaîne
Statut de l’identifiant
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Statut de l’identifiant de la carte
Case à cocher : active → active, deactivated → désactivé, deleted → supprimé
chaîne
Code d’établissement
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Code d’établissement associé à la carte
Laisser décoché
chaîne
ID externe
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID unique défini par le client, non exposé dans l’interface utilisateur
Laisser décoché
chaîne
ID du département
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identifiant utilisé pour mapper le département de l’utilisateur dans Command
Laisser décoché
chaîne
Titre
title
urn:ietf:params:scim:schemas:core:2.0:User
Titre ou rôle de l’utilisateur
Laisser décoché
chaîne
Numéro d’employé
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
Employee ID
Laisser décoché
chaîne
Numéro de téléphone
phoneNumbers[type eq "work"].value
urn:ietf:params:scim:schemas:core:2.0:User
Numéro de téléphone professionnel
Laisser décoché
chaîne
Département
department
urn:ietf:params:scim:schemas:core:2.0:User
Département de l’utilisateur
Laisser décoché
chaîne
Organisation
organization
urn:ietf:params:scim:schemas:core:2.0:User
Entreprise ou organisation
Laisser décoché
Ajouter externalId aux utilisateurs gérés par SCIM (facultatif)
Vous pouvez synchroniser un identifiant unique de votre choix vers Command en le mappant au champ externalId. Cela permet des cas d’utilisation avancés comme désambiguïser les utilisateurs entre systèmes ou synchroniser des identifiants d’accès vers une référence utilisateur unique. Cette valeur n’est pas affichée dans l’interface Command mais est stockée dans la base de données et peut être interrogée via l’API.
Pour ajouter l’attribut externalId et le mapper depuis Okta :
Créer l’attribut dans le profil de l’application SCIM
Dans Okta, allez à Directory > Profile Editor
Sélectionnez votre application Verkada gérée par SCIM
Cliquez sur Add Attribute et ajoutez les détails de l’attribut comme indiqué dans le tableau ci-dessus.
Cliquez sur Save\
Mapper l’attribut
Toujours dans Profile Editor, cliquez sur Mappings
Choisissez Okta User to [Votre application SCIM]
Trouvez le champ source que vous souhaitez mapper (par ex. user.nickName, employeeNumber, ou un autre champ personnalisé)
Mappez-le sur verkadaExternalId
Cliquez sur la flèche entre les champs et sélectionnez Appliquer le mappage lors de la création et de la mise à jour de l’utilisateur
Cliquez sur Save Mappings
Confirmer que l’attribut est rempli
Accédez à Directory > People
Ouvrez un profil utilisateur et assurez-vous que le champ source que vous mappez (par ex. Nickname) contient une valeur
Depuis le SCIM App > onglet Provisioning, utilisez Force Sync pour pousser les mises à jour si nécessaire\
Reportez-vous à cette liste d’identifiants pour la liste des formats de carte acceptables.
Problèmes connus
La mise à jour des noms d’utilisateur (emails) n’a pas d’effet automatique dans Command. Si vous devez changer un nom d’utilisateur, désaffectez l’utilisateur de l’application SAML, puis réajoutez l’utilisateur à l’application pour que le changement prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’a pas été ajouté à la configuration SSO dans le backend Verkada. Si l’e-mail de l’utilisateur est en dehors des domaines e-mail fournis lors de la configuration du SSO, cela empêche l’utilisateur d’utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour remédier au problème.
Si vous rencontrez cette erreur lors du provisionnement des utilisateurs "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", consultez cet article Okta pour les étapes de dépannage.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez le service d’assistance de Verkada.
Vous préférez le voir en action ? Consultez la vidéo tutorielle.
Mis à jour
Ce contenu vous a-t-il été utile ?