Okta
Configurez le SSO et le provisioning des utilisateurs avec Okta
Verkada Command a la capacité de s’intégrer à Okta (parmi d’autres fournisseurs d’identité [IdP]) à 2 niveaux, selon le cas d’usage :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère le processus d’authentification, permettant d’utiliser Okta pour gérer l’accès à Command, de la même manière que toute autre application Software as a Service (SaaS) déjà intégrée dans votre locataire Okta. Cela signifie que Command peut être incorporé à votre cadre d’identité existant et être soumis au contrôle d’accès en fonction de vos politiques actuelles.
SCIM vous permet de tirer parti des utilisateurs et des groupes existants déjà présents dans Okta et de les synchroniser avec Command. Cela vous permet de conserver votre fournisseur d’identité central actuel et de configurer l’accès en utilisant vos utilisateurs et groupes existants via Command pour contrôler l’accès à la plateforme.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également Chiffrement contrôlé par l’entreprise.
SSO basé sur OIDC pour Okta
Verkada Command prend en charge le Single Sign-On (SSO) via OpenID Connect (OIDC) avec Okta. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée en utilisant leurs identifiants Okta existants, simplifiant l’accès à Command et améliorant la sécurité globale.
OIDC n’est pas pris en charge sur l’application Pass ni sur les applications Desk Station.
Activer Chiffrement contrôlé par l’entreprise (ECE) pour une sécurité renforcée.
Configuration OIDC
Accédez à votre instance Okta pour créer une nouvelle application afin de gérer votre configuration OIDC. Cliquez sur Applications dans la barre latérale Applications et cliquez sur Create App Integration.
Sous Create a new app integration, sélectionnez OIDC - OpenID Connect comme méthode de connexion (Sign-in method) et Single-Page Application comme type d’application (Application type).
Sous Sign-in redirect URIs donnez à votre application un nom identifiable et ajoutez les liens suivants à la liste des Sign-in redirect URIs :
a. https://command.verkada.com/oidc/okta/callback b. https://.command.verkada.com/oidc/okta/callback où dans l’URL est le nom court de votre organisation Command.
(Optionnel) Sous Sign-out redirect URIs ajoutez https://command.verkada.com/.
Sous Assignments, sélectionnez Skip Group Assignment pour l’instant et cliquez sur Save.
Sous Assignments, cliquez sur le menu déroulant Assign pour attribuer cette application à vos profils d’utilisateurs (et autres profils pertinents).
Sous General, copiez le Client ID affiché sous Client Credentials.
Configuration dans Command
Dans Verkada Command, allez dans All Products > Admin.
Dans la navigation de gauche, sélectionnez Login & Access.
Sélectionnez Single Sign-On Configuration.
Sous OIDC Configuration, cliquez sur Add New.
a. Activez Activer. b. (Optionnel) Activez Exiger OIDC SSO. c. Sous Sélectionner Provider, sélectionnez Okta. d. Sous Ajouter Client et Tenant, cliquez sur :plus:.
Dans le Client ID champ collez le Client ID que vous avez copié depuis Okta.
Dans le Tenant ID champ entrez la première partie de l’URL de votre instance Okta. Cela devrait ressembler à ceci : https://yourinstancename.okta.com.
Cliquez sur Done.
h. Email Domains, cliquez sur :plus:.
Saisissez le nom de domaine présent (par ex. @verkada.com).
Cliquez sur Done.
Sous Login Test cliquez sur Run Login Test.
Un test de connexion réussi devrait rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce second test de connexion n’aura pas réussi.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
Intégration Okta SAML
Avant de commencer
Pour une intégration réussie, choisissez la meilleure voie selon votre région :
Pour les organisations américaines, vous utiliserez une application Verkada existante en suivant les étapes ci-dessous.
Pour les organisations EU et AUS, suivez les étapes de la section suivante pour configurer une nouvelle intégration d’application dans Okta.
Créer une application Verkada dans Okta (organisations US)
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Browse App Catalog.
Dans la barre de recherche, tapez Verkada.
Cliquez sur Add.
Cliquez sur Done.
Configurer une nouvelle intégration d’application depuis Okta (organisations EU)
Allez dans Applications, et sélectionnez Create App Integration.
Créez une nouvelle intégration d’application, sélectionnez SAML 2.0, puis cliquez sur Next.
Sur la page "Create a SAML integration", sous General Settings, saisissez un nom d’application, ajoutez éventuellement un logo d’application, puis cliquez sur Next.
Dans la page de configuration SAML, remplissez le Single sign-on URL & Entity ID. Single sign-on URL pour les organisations EU :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<client-ID>
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID> Audience URI (SP Entity ID) pour les organisations EU :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<client-ID>
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Remarque : client-ID doit être récupéré depuis la configuration Command et remplacé dans les liens insérés dans l’application Okta.
Le nom d’utilisateur de l’application est l’Okta Username.
Dans la section attribute statements, configurez le mappage des attributs comme suit :
email>user.emailfirstName>user.firstNamelastName>user.lastName
Sur la page de feedback, cochez la case intitulée "This is an internal app that we have created".
Mappages d’attributs
Accédez à Directory > Profile Editor > choisissez l’application Verkada > vérifiez les attributs
Cliquez sur Mappings et Verify App to Okta user mappings
Mappages Utilisateur vers Application :
Configuration
Dans Okta, sélectionnez l’onglet Sign On pour l’application Verkada, puis cliquez sur Edit.
Faites défiler jusqu’à Advanced Sign-On Settings et saisissez le Client ID depuis votre compte Command.
Sélectionnez Save.
Faites défiler encore jusqu’à SAML Signing Certificates et cliquez sur Generate new certificate, si un nouveau certificat n’existe pas.
À droite du certificat, sélectionnez le menu déroulant Actions et cliquez sur View IdP metadata
Cliquez droit sur les métadonnées et sélectionnez enregistrer sous et téléchargez au format de fichier XML.
Après avoir téléchargé le fichier XML, vous devez le téléverser dans Command.
Dans la section Verify Metadata, cliquez sur Run Login Test.
Dépannage
La mise à jour des noms d’utilisateur (emails) n’a pas d’effet automatique dans Command. Si vous devez modifier un nom d’utilisateur, désattribuez l’utilisateur de l’application SAML, puis réajoutez l’utilisateur à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend Verkada. Si l’email de l’utilisateur est en dehors des domaines de messagerie fournis lors de la configuration du SSO, cela empêche l’utilisateur d’utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez Verkada Support.
Intégration Okta SCIM
Avant de commencer
Vous avez besoin d’un jeton API pour vous connecter au point de terminaison SCIM de Verkada. Ce jeton est unique par organisation Verkada. Apprenez comment obtenir un jeton API SCIM.
Pour une intégration réussie, choisissez la meilleure voie selon votre région :
Pour les organisations américaines, suivez les étapes dans Create a Verkada Okta app.
Pour les organisations EU et AUS, suivez les étapes dans Enable SCIM provisioning in Okta app.
Pour confirmer dans quelle région vous vous trouvez, reportez-vous à l’endroit où votre organisation a été créée pour Verkada.
Créer une application Verkada dans Okta
Région US
Connectez-vous à Okta.
Dans le panneau de navigation gauche, cliquez sur Applications.
En haut, cliquez sur Browse App Catalog.
Dans la barre de recherche, tapez Verkada, cliquez sur l’application, puis cliquez sur Add Integration.
Pour Application label, saisissez Verkada (ou tout nom unique de votre choix) et cliquez sur Done.
Régions EU et AUS
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Create App Integration.
Sur Create a new app integration, sélectionnez SAML 2.0 et cliquez sur Next.
Dans le champ App name, saisissez un nom et cliquez sur Next.
Sur Create SAML Integration :
Pour Single sign-on URL :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour Audience URI (SP Entity ID) :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Faites défiler vers le bas et cliquez sur Next.
Sélectionnez le bouton radio I’m an Okta customer adding an internal app et cliquez sur Finish (optionnellement, vous pouvez ignorer les questions supplémentaires d’Okta).
Dans la navigation de gauche, cliquez sur Applications et cliquez sur votre application nouvellement créée (si vous n’êtes pas automatiquement redirigé vers votre application).
En haut, sélectionnez l’onglet General :
En haut à droite, cliquez sur Edit pour les App Settings de votre application.
Cochez la case Enable SCIM provisioning.
Cliquez sur Save.
Sur SCIM Connection :
En haut de votre application nouvellement créée, sélectionnez l’onglet Provisioning.
Cliquez sur Edit pour les paramètres SCIM Connection.
Pour SCIM connector base URL
Pour les organisations EU, https://scim.prod2.verkada.com/scim
Pour les organisations AUS, https://scim.ap-syd.verkada.com/scim
Pour Unique identifier field for users, entrez userName.
Cochez les cases Push New Users, Push Profile Updates, et Push Groups.
Cliquez sur le menu déroulant Authentication Mode et sélectionnez HTTP Header.
Copiez et collez le jeton SCIM depuis Command dans le champ Authorization.
Cliquez sur Save.
Configurer l’application Verkada dans Okta
Région US
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
À gauche, sélectionnez l’onglet Provisioning.
Sous l’onglet Provisioning > Integration :
Cliquez sur Configure API Integration.
Cochez la case Enable API integration.
Dans le champ API Token, copiez et collez votre jeton API généré par Command.
Cliquez sur Save.
Sous l’onglet Provisioning > Settings :
Sélectionnez To App et cliquez sur Edit.
Cochez la case Enable pour Create Users, Update User Attributes, et Deactivate Users.
Cliquez sur Save.
Sous l’onglet Provisioning > section To App > Verkada Attribute Mappings, cliquez sur Go to Profile Editor.
Assurez-vous que les attributs correspondent, comme indiqué dans l’exemple ci-dessous. Vous pouvez ajouter plus d’attributs que ceux indiqués. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Régions EU et AUS
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
Sous l’onglet Provisioning > Settings :
Sélectionnez To App et cliquez sur Edit.
Cochez la case Enable pour Create Users, Update User Attributes, et Deactivate Users.
Cliquez sur Save. Vous pouvez ajouter plus d’attributs que ceux indiqués. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Provisionner les utilisateurs et groupes
Les utilisateurs ajoutés à l’application sont poussés automatiquement ; les groupes doivent être poussés manuellement.
Utilisateurs dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
Cliquez sur l’onglet Assignments.
Cliquez sur le menu déroulant Assign et sélectionnez Assign to People.
Cliquez sur Assign pour les personnes que vous souhaitez provisionner dans l’application.
Vous verrez les informations pour cet utilisateur. En bas, cliquez sur Save and Go Back.
Lorsque vous êtes redirigé vers la page Assign, cliquez sur Done.
Groupes dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
En haut, sélectionnez l’onglet Push Groups.
Cliquez sur le menu déroulant Push Groups pour trouver des groupes (par nom ou par règle).
Trouvez le groupe que vous souhaitez pousser et cliquez sur Save. Si réussi, le Push Status affiche Active.
Command étiquette ensuite les utilisateurs et groupes comme SCIM Managed, s’ils sont importés via SCIM.
À gauche, cliquez sur Applications, puis sélectionnez l’application Verkada.
Cliquez sur l’onglet Assignments.
Cliquez sur le menu déroulant Assign et sélectionnez Assign to Groups.
Cliquez sur Assign pour les groupes que vous souhaitez provisionner dans l’application.
Vous verrez les informations pour ce groupe. En bas, cliquez sur Save and Go Back.
Lorsque vous êtes redirigé vers la page Assign, cliquez sur Done.
Ajouter des attributs aux utilisateurs gérés par SCIM (optionnel)
Région US
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization
Comment cela fonctionne
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur l’application Verkada.
Sélectionnez l’onglet Provisioning.
Sous Verkada Attribute Mappings, cliquez sur Go to Profile Editor.
Sur Attributes, cliquez sur Add Attribute.
Dans les champs Display name, Variable name, et External name, tapez le nom de l’attribut. Le nom externe d’un numéro de téléphone principal doit être saisi comme phoneNumbers.^[type==work].value
Dans le champ external namespace, tapez urn:ietf:params:scim:schemas:core:2.0:User
Sous User Permission, sélectionnez le bouton radio Read-Write, puis cliquez sur Save.
Régions EU et AUS
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization
Pour provisionner des numéros de téléphone hors des États-Unis dans Command, le numéro de téléphone de l’utilisateur dans le profil Okta nécessite l’indicatif du pays. Par exemple, 0123 456 789 doit être saisi dans Okta comme +61 123 456 789 pour être correctement importé dans Command.
Comment cela fonctionne
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur l’application Verkada.
Allez dans l’onglet Provisioning > Go to Profile Editor.
Cliquez sur Add Attribute.
Dans la fenêtre contextuelle :
Saisissez un Display name unique.
Saisissez Variable name. Vous devrez vous en souvenir pour une utilisation future.
Saisissez un External name. Doit être l’un des attributs pris en charge.
Pour external namespace, saisissez urn:ietf:params:scim:schemas:core:2.0:User
Sélectionnez le bouton radio Read-Write.
Cliquez sur Save.
Sur Profile Editor, cliquez sur Mappings.
Cliquez sur Okta User to [nom de votre application verkada].
Trouvez votre attribut nouvellement créé et non mappé.
Saisissez l’attribut utilisateur approprié pour l’utilisateur Okta afin de mapper l’attribut nouvellement créé.
Cliquez sur Save Mappings.
Supprimer les utilisateurs gérés par SCIM de Command
Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez supprimer l’utilisateur de Command de deux manières :
Supprimer l’utilisateur – Le compte est déplacé vers la page Deleted Users mais conserve les enregistrements historiques, rôles et permissions.
Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est reprovisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.
Ajouter des identifiants d’accès aux utilisateurs gérés par SCIM (optionnel)
Connectez-vous à Okta.
Dans la navigation de gauche, sélectionnez Directory > Profile Editor.
a. Sélectionnez User (par défaut) comme type d’utilisateur. b. Cliquez sur Add Attribute et ajoutez les attributs personnalisés depuis la table ci‑dessous.
Dans la navigation de gauche, sélectionnez Applications et ouvrez votre application Verkada gérée par SCIM.
Dans l’onglet Provisioning, sélectionnez To App > Go to Profile Editor.
Cliquez sur Add Attribute pour créer les attributs listés ci‑dessus en utilisant exactement le même Data Type, Display Name, Variable Name, Description et valeurs ENUM.
a. Définissez la External namespace valeur pour tous les attributs à :
b. Définissez Attritbute type à Personal*.* c. Cliquez sur Save pour ajouter l’attribut.
Cliquez sur Mappings pour mapper les attributs de l’application Okta User vers votre application SCIM.
a. Sélectionnez Okta User vers YourSCIMApp en haut et mappez les attributs personnalisés créés pour l’Okta Default User vers ceux créés sur votre application SCIM. b. Cliquez sur Save Mappings et Apply updates now pour appliquer les changements.
Les attributs devraient maintenant être disponibles à l’usage sur les profils de tous les utilisateurs de votre application Okta. Une fois synchronisés, vous pouvez voir les identifiants dans Command sous Access > Access Users > User Profile > Credentials.
Tableau des attributs
Référez‑vous à cette liste d’identifiants pour la liste des formats de carte acceptables.
Type de données
Nom affiché
Nom externe
Espace de noms externe
Description
ENUM
chaîne
Format de carte
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Format de carte pour l’identifiant d’accès
Laisser décoché
chaîne
Numéro de carte
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Numéro de carte pour l’identifiant d’accès
Laisser décoché
chaîne
Numéro de carte Hex
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Représentation hexadécimale du numéro de carte
Laisser décoché
chaîne
Statut de l’identifiant
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Statut de l’identifiant de la carte
Case à cocher : active → active, deactivated → deactivated, deleted → deleted
chaîne
Code d’installation
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Code d’installation associé à la carte
Laisser décoché
chaîne
ID externe
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID unique défini par le client, non exposé dans l’interface utilisateur
Laisser décoché
chaîne
ID de département
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identifiant utilisé pour mapper le département de l’utilisateur dans Command
Laisser décoché
chaîne
Titre
title
urn:ietf:params:scim:schemas:core:2.0:User
Titre ou rôle de l’utilisateur
Laisser décoché
chaîne
Numéro d’employé
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
Employee ID
Laisser décoché
chaîne
Numéro de téléphone
phoneNumbers[type eq "work"].value
urn:ietf:params:scim:schemas:core:2.0:User
Numéro de téléphone professionnel
Laisser décoché
chaîne
Département
department
urn:ietf:params:scim:schemas:core:2.0:User
Département de l’utilisateur
Laisser décoché
chaîne
Organisation
organization
urn:ietf:params:scim:schemas:core:2.0:User
Entreprise ou organisation
Laisser décoché
Ajouter externalId aux utilisateurs gérés par SCIM (optionnel)
Vous pouvez synchroniser un identifiant unique de votre choix vers Command en le mappant au champ externalId. Cela permet des cas d’usage avancés comme désambiguïser des utilisateurs entre systèmes ou synchroniser des identifiants d’accès vers une référence utilisateur unique. Cette valeur n’est pas affichée dans l’interface Command mais est stockée dans la base de données et peut être interrogée via l’API.
Pour ajouter l’attribut externalId et le mapper depuis Okta :
Créer l’attribut dans le profil de l’application SCIM
Dans Okta, allez à Directory > Profile Editor
Sélectionnez votre application Verkada gérée par SCIM
Cliquez sur Add Attribute et ajoutez les détails de l’attribut comme indiqué dans le tableau ci‑dessus.
Cliquez sur Save\
Mapper l’attribut
Toujours dans Profile Editor, cliquez sur Mappings
Choisissez Okta User to [Your SCIM App]
Trouvez le champ source que vous souhaitez mapper (par ex. user.nickName, employeeNumber, ou un autre champ personnalisé)
Mappez‑le sur verkadaExternalId
Cliquez sur la flèche entre les champs et sélectionnez Apply mapping on user create and update
Cliquez sur Save Mappings
Confirmer que l’attribut est renseigné
Accédez à Directory > People
Ouvrez un profil utilisateur et assurez‑vous que le champ source depuis lequel vous mappez (par ex. Nickname) a une valeur
Depuis le SCIM App > onglet Provisioning, utilisez Force Sync pour pousser les mises à jour si nécessaire\
Référez‑vous à cette liste d’identifiants pour la liste des formats de carte acceptables.
Problèmes connus
La mise à jour des noms d’utilisateur (emails) n’a pas d’effet automatique dans Command. Si vous devez modifier un nom d’utilisateur, désattribuez l’utilisateur de l’application SAML, puis réajoutez l’utilisateur à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend Verkada. Si l’email de l’utilisateur est en dehors des domaines de messagerie fournis lors de la configuration du SSO, cela empêche l’utilisateur d’utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez cette erreur lors du provisionnement des utilisateurs "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", consultez cet article Okta pour les étapes de dépannage.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez Verkada Support.
Vous préférez voir cela en action ? Consultez le didacticiel vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?