Okta
Configurez le SSO et le provisionnement des utilisateurs avec Okta
Verkada Command a la capacité de s’intégrer à Okta (parmi d’autres fournisseurs d’identité [IdP]) de deux manières, selon le cas d’utilisation :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère le processus d’authentification, permettant d’utiliser Okta pour gérer l’accès à Command, de la même manière que pour toute autre application Software as a Service (SaaS) déjà intégrée à votre locataire Okta. Cela signifie que Command peut être intégré à votre cadre d’identité existant et soumis au contrôle d’accès en fonction de vos politiques actuelles.
SCIM vous permet de tirer parti des utilisateurs et des groupes existants présents dans Okta et de les synchroniser avec Command. Cela vous permet de conserver le fournisseur d’identité central actuel et de configurer l’accès en utilisant vos utilisateurs et groupes existants via Command pour contrôler l’accès à la plateforme.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également Enterprise Controlled Encryption.
SSO basé sur OIDC pour Okta
Verkada Command prend en charge le Single Sign-On (SSO) via OpenID Connect (OIDC) avec Okta. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée en utilisant leurs identifiants Okta existants, simplifiant l’accès à Command et renforçant la sécurité globale.
OIDC n’est pas pris en charge sur l’application Pass ni sur les applications Desk Station.
Activer Enterprise Controlled Encryption (ECE) pour une sécurité renforcée.
Configuration OIDC
Accédez à votre instance Okta pour créer une nouvelle application afin de gérer votre configuration OIDC. Cliquez sur Applications dans la barre latérale Applications et cliquez sur Créer une intégration d’application.
Sous Créer une nouvelle intégration d’application, sélectionnez OIDC - OpenID Connect comme méthode de connexion et Application monopage comme type d’application.
Sous URI de redirection de connexion, donnez à votre application un nom identifiable et ajoutez les liens suivants à la liste des URI de redirection de connexion :
a. https://command.verkada.com/oidc/okta/callback b. https://<org short name>.command.verkada.com/oidc/okta/callback où dans l’URL est le nom court de votre organisation Command.
(Facultatif) Sous URI de redirection de déconnexion, ajoutez https://command.verkada.com/.
Sous Attributions, sélectionnez Ignorer l’attribution de groupe pour l’instant et cliquez sur Enregistrer.
Sous Attributions, cliquez sur le menu déroulant Attribuer pour attribuer cette application à vos profils d’utilisateurs (et autres profils pertinents).
Sous Général, copiez l’ID client affiché sous Informations d’identification du client.
Configuration de Command
Dans Verkada Command, allez à Tous les produits > Admin.
Dans la navigation de gauche, sélectionnez Connexion et accès.
Sélectionnez Configuration Single Sign-On.
Sous Configuration OIDC, cliquez sur Ajouter nouveau.
a. Activez Activer. b. (Facultatif) Activez Exiger le SSO OIDC. c. Sous Sélectionner le fournisseur, sélectionnez Okta. d. Sous Ajouter client et locataire, cliquez sur :plus:.
Dans le ID client champ, collez l’ID client que vous avez copié depuis Okta.
Dans le ID locataire champ, saisissez la première partie de l’URL de votre instance Okta. Cela devrait ressembler à ceci : https://yourinstancename.okta.com.
Cliquez sur Terminé.
h. Domaines de messagerie, cliquez sur :plus:.
Saisissez le nom de domaine présent (par ex. @verkada.com).
Cliquez sur Terminé.
Sous Test de connexion, cliquez sur Exécuter le test de connexion.
Un test de connexion réussi doit rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion ne réussira pas.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
Intégration Okta SAML
Avant de commencer
Pour une intégration réussie, choisissez la meilleure option pour votre région :
Pour les organisations américaines, vous utiliserez une application Verkada existante en suivant les étapes ci-dessous.
Pour les organisations de l’UE et de l’AUS, suivez les étapes de la section suivante pour configurer une nouvelle intégration d’application dans Okta.
Créer une application Verkada Okta (régions US)
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Parcourir le catalogue d’applications.
Dans la barre de recherche, tapez Verkada.
Cliquez sur Ajouter l’intégration.
Cliquez sur Terminé.
Dans Okta, sélectionnez l’onglet Connexion pour l’application Verkada, et cliquez sur Modifier.
Faites défiler jusqu’à Paramètres avancés de connexion et saisissez l’ID client de votre compte Command.
Sélectionnez Enregistrer.
Configurer une nouvelle intégration d’application depuis Okta (régions EU et AUS)
Allez dans Applications et sélectionnez Créer une intégration d’application.
Créez une nouvelle intégration d’application, sélectionnez SAML 2.0, puis cliquez sur Suivant.
Sur la page « Créer une intégration SAML », sous Paramètres généraux, saisissez un nom d’application, ajoutez éventuellement un logo d’application, puis cliquez sur Suivant.
Dans la page de configuration SAML, remplissez l’URL de Single Sign-On et l’URI d’audience (SP Entity ID) avec ces liens :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<client-ID>
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Cochez la case Utiliser ceci pour URL du destinataire et URL de destination .
ID client doit être récupéré depuis la configuration Command et remplacé dans les liens insérés dans l’application Okta.
Le nom d’utilisateur de l’application est le nom d’utilisateur Okta.
Cliquez sur Suivant. Sur la page de retour d’information, cochez la case intitulée « Il s’agit d’une application interne que nous avons créée ». Cliquez sur Terminer.
Dans la section déclarations d’attributs, configurez le mappage des attributs comme suit :
email>user.emailfirstName>user.firstNamelastName>user.lastName
Configuration
Dans Okta, sélectionnez l’onglet Attributions pour l’application. Cliquez sur Attribuer et sélectionnez Personnes ou Groupes pour activer le SSO pour ces utilisateurs.
Sélectionnez l’onglet Connexion pour l’application.
Faites défiler jusqu’à Certificats de signature SAML et cliquez sur Générer un nouveau certificat si aucun certificat n’existe.
À droite du certificat, sélectionnez le menu déroulant Actions et cliquez sur Voir les métadonnées IdP
Cliquez avec le bouton droit sur les métadonnées, sélectionnez « Enregistrer sous » et téléchargez-les au format XML.
Après avoir téléchargé le fichier XML, téléversez-le dans Command.
Dans la section Vérifier les métadonnées, cliquez sur Exécuter le test de connexion.
Dépannage
La mise à jour des noms d’utilisateur (emails) n’a pas d’effet automatique dans Command. Si vous devez modifier un nom d’utilisateur, désattribuez l’utilisateur de l’application SAML, puis réajoutez l’utilisateur à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend de Verkada. Si l’email de l’utilisateur est en dehors des domaines de messagerie configurés lors de la mise en place du SSO, l’utilisateur ne peut pas utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez Verkada Support.
Intégration Okta SCIM
Avant de commencer
Vous avez besoin d’un jeton API pour vous connecter au point de terminaison SCIM de Verkada. Ce jeton est unique par organisation Verkada. Apprenez comment obtenir un jeton API SCIM.
Pour une intégration réussie, choisissez la meilleure option pour votre région :
Pour les organisations américaines, suivez les étapes dans Créer une application Verkada Okta.
Pour les organisations de l’UE et de l’AUS, suivez les étapes dans Activer le provisionnement SCIM dans l’application Okta.
Pour confirmer dans quelle région vous vous trouvez, reportez-vous à l’endroit où votre organisation a été créée pour Verkada.
Créer une application Verkada Okta
Région US
Connectez-vous à Okta.
Dans le panneau de navigation de gauche, cliquez sur Applications.
En haut, cliquez sur Parcourir le catalogue d’applications.
Dans la barre de recherche, tapez Verkada, cliquez sur l’application, puis cliquez sur Ajouter l’intégration.
Pour Libellé de l’application, tapez Verkada (ou tout nom unique de votre choix) et cliquez sur Terminé.
Région EU & AUS
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Créer une intégration d’application.
Sur Créer une nouvelle intégration d’application, sélectionnez SAML 2.0 et cliquez sur Suivant.
Dans le champ Nom de l’application, saisissez un nom et cliquez sur Suivant.
Sur Créer une intégration SAML :
Pour l’URL de Single sign-on :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour Audience URI (SP Entity ID) :
Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Faites défiler vers le bas et cliquez sur Suivant.
Sélectionnez le bouton radio Je suis un client Okta ajoutant une application interne et cliquez sur Terminer (facultativement, vous pouvez ignorer les questions supplémentaires d’Okta).
Dans la navigation de gauche, cliquez sur Applications et cliquez sur votre application nouvellement créée (si vous n’êtes pas automatiquement redirigé vers votre application).
En haut, sélectionnez l’onglet Général :
En haut à droite, cliquez sur Modifier pour les paramètres de l’application.
Cochez la case Activer le provisionnement SCIM.
Cliquez sur Enregistrer.
Sur Connexion SCIM :
En haut de votre application nouvellement créée, sélectionnez l’onglet Provisioning.
Cliquez sur Modifier pour les paramètres de connexion SCIM.
Pour l’URL de base du connecteur SCIM
Pour les organisations EU, https://scim.prod2.verkada.com/scim
Pour les organisations AUS, https://scim.ap-syd.verkada.com/scim
Pour le champ identifiant unique pour les utilisateurs, entrez userName.
Cochez les cases Push New Users, Push Profile Updates et Push Groups.
Cliquez sur le menu déroulant Mode d’authentification et sélectionnez En-tête HTTP.
Copiez et collez le jeton SCIM depuis Command dans le champ Autorisation.
Cliquez sur Enregistrer.
Configurer l’application Verkada dans Okta
Région US
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
À gauche, sélectionnez l’onglet Provisioning.
Sous l’onglet Provisioning > Intégration :
Cliquez sur Configurer l’intégration API.
Cochez la case Activer l’intégration API.
Dans le champ Jeton API, copiez et collez votre jeton API généré par Command.
Cliquez sur Enregistrer.
Sous l’onglet Provisioning > Paramètres :
Sélectionnez Vers l’application et cliquez sur Modifier.
Cochez la case Activer pour Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver des utilisateurs.
Cliquez sur Enregistrer.
Sous l’onglet Provisioning > section Vers l’application > Mappages d’attributs Verkada, cliquez sur Accéder à l’éditeur de profil.
Assurez-vous que les attributs correspondent, comme montré dans l’exemple ci‑dessous. Vous pouvez ajouter plus d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Région EU et AUS
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
Sous l’onglet Provisioning > Paramètres :
Sélectionnez Vers l’application et cliquez sur Modifier.
Cochez la case Activer pour Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver des utilisateurs.
Cliquez sur Enregistrer. Vous pouvez ajouter plus d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Provisionner des utilisateurs et des groupes
Les utilisateurs ajoutés à l’application sont poussés automatiquement ; les groupes doivent être poussés manuellement.
Utilisateurs dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
Cliquez sur l’onglet Attributions.
Cliquez sur le menu déroulant Attribuer et sélectionnez Attribuer à des personnes.
Cliquez sur Attribuer pour les personnes que vous souhaitez provisionner dans l’application.
Vous verrez les informations pour cet utilisateur. En bas, cliquez sur Enregistrer et revenir.
Lorsque vous êtes redirigé vers la page Attribuer, cliquez sur Terminé.
Groupes dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications et cliquez sur l’application Verkada.
En haut, sélectionnez l’onglet Push Groups.
Cliquez sur le menu déroulant Push Groups pour trouver des groupes (par nom ou par règle).
Trouvez le groupe que vous souhaitez pousser et cliquez sur Enregistrer. Si réussi, l’état de poussée affiche Actif.
Command étiquette ensuite les utilisateurs et groupes comme SCIM Managed, s’ils sont importés via SCIM.
À gauche, cliquez sur Applications, puis sélectionnez l’application Verkada.
Cliquez sur l’onglet Attributions.
Cliquez sur le menu déroulant Attribuer et sélectionnez Attribuer à des groupes.
Cliquez sur Attribuer pour les groupes que vous souhaitez provisionner dans l’application.
Vous verrez les informations pour ce groupe. En bas, cliquez sur Enregistrer et revenir.
Lorsque vous êtes redirigé vers la page Attribuer, cliquez sur Terminé.
Ajouter des attributs aux utilisateurs gérés par SCIM
Région US
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization
Comment cela fonctionne
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur l’application Verkada.
Sélectionnez l’onglet Provisioning.
Sous Mappages d’attributs Verkada, cliquez sur Accéder à l’éditeur de profil.
Dans Attributs, cliquez sur Ajouter un attribut.
Dans les champs Nom d’affichage, Nom de variable et Nom externe, tapez le nom de l’attribut. Le nom externe d’un numéro de téléphone principal doit être saisi comme phoneNumbers.^[type==work].value
Dans le champ namespace externe, saisissez urn:ietf:params:scim:schemas:core:2.0:User
Sous Permission utilisateur, sélectionnez le bouton radio Lecture-Écriture et cliquez sur Enregistrer.
Région EU et AUS
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization
Pour provisionner des numéros de téléphone en dehors des États-Unis dans Command, le numéro de téléphone de l’utilisateur dans le profil Okta doit inclure le code du pays. Par exemple, 0123 456 789 doit être saisi dans Okta comme +61 123 456 789 pour être correctement importé dans Command.
Comment cela fonctionne
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur l’application Verkada.
Allez dans l’onglet Provisioning > Accéder à l’éditeur de profil.
Cliquez sur Ajouter un attribut.
Dans la fenêtre contextuelle :
Saisissez un nom d’affichage unique.
Saisissez le nom de la variable. Vous devrez vous en souvenir pour un usage futur.
Saisissez un nom externe. Doit être l’un des attributs pris en charge.
Pour namespace externe, saisissez urn:ietf:params:scim:schemas:core:2.0:User
Sélectionnez le bouton radio Lecture-Écriture.
Cliquez sur Enregistrer.
Dans l’éditeur de profil, cliquez sur Mappages.
Cliquez sur Okta User to [nom de votre application verkada].
Trouvez votre attribut nouvellement créé et non mappé.
Saisissez l’attribut utilisateur approprié pour l’utilisateur Okta afin de mapper le nouvel attribut créé.
Cliquez sur Enregistrer les mappages.
Supprimer les utilisateurs gérés par SCIM de Command
Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez supprimer l’utilisateur de Command de deux manières :
Supprimer l’utilisateur – Le compte est déplacé vers la page Utilisateurs supprimés mais conserve les enregistrements historiques, les rôles et les autorisations.
Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est reprovisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression ne soit disponible dans Command.
Ajouter des identifiants d’accès aux utilisateurs gérés par SCIM (facultatif)
Connectez-vous à Okta.
Dans la navigation de gauche, sélectionnez Annuaire > Éditeur de profil.
a. Sélectionnez Utilisateur (par défaut) comme type d’utilisateur. b. Cliquez sur Ajouter un attribut et ajoutez les attributs personnalisés depuis la table ci‑dessous.
Dans la navigation de gauche, sélectionnez Applications et ouvrez votre application Verkada gérée par SCIM.
Dans l’onglet Provisioning, sélectionnez Vers l’application > Accéder à l’éditeur de profil.
Cliquez sur Ajouter un attribut pour créer les attributs listés ci‑dessus en utilisant exactement le même type de données, nom d’affichage, nom de variable, description et valeurs ENUM.
a. Définissez la Namespace externe valeur pour tous les attributs sur :
b. Définissez Type d’attribut sur Personnel. c. Cliquez sur Enregistrer pour ajouter l’attribut.
Cliquez sur Mappages pour mapper les attributs de l’application Okta User vers votre application SCIM.
a. Sélectionnez Okta User to YourSCIMApp en haut et mappez les attributs personnalisés créés pour l’utilisateur par défaut Okta vers ceux créés sur votre application SCIM. b. Cliquez sur Enregistrer les mappages et Appliquer les mises à jour maintenant pour appliquer les changements.
Les attributs devraient maintenant être disponibles pour être utilisés sur tous les profils d’utilisateurs de votre application Okta. Une fois synchronisés, vous pouvez voir les identifiants sur Command sous Accès > Utilisateurs d’accès > Profil utilisateur > Identifiants.
Tableau des attributs
Référez‑vous à cette liste d’identifiants pour la liste des formats de cartes acceptables.
toutes les données sont de type chaîne
Nom d’affichage
Nom de variable / Nom externe
Namespace externe
Description
ENUM
Format de carte
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Format de la carte pour l’identifiant d’accès
Laisser décoché
Numéro de carte
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Numéro de carte pour l’identifiant d’accès
Laisser décoché
Numéro de carte hexadécimal
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Représentation hexadécimale du numéro de carte
Laisser décoché
Statut de l’identifiant
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Statut de l’identifiant de la carte
Case à cocher : active → active, deactivated → deactivated, deleted → deleted
Code d’établissement
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Code d’établissement associé à la carte
Laisser décoché
ID externe
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID unique défini par le client, non exposé dans l’interface utilisateur
Laisser décoché
ID de département
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identifiant utilisé pour mapper le département de l’utilisateur dans Command
Laisser décoché
Titre
title
urn:ietf:params:scim:schemas:core:2.0:User
Titre ou rôle de l’utilisateur
Laisser décoché
Numéro d’employé
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
Employee ID
Laisser décoché
Numéro de téléphone
Nom de variable : phoneNumber
Nom externe : phoneNumbers[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
Numéro de téléphone professionnel
Laisser décoché
Département
department
urn:ietf:params:scim:schemas:core:2.0:User
Département de l’utilisateur
Laisser décoché
Organisation
organization
urn:ietf:params:scim:schemas:core:2.0:User
Entreprise ou organisation
Laisser décoché
Ajouter externalId aux utilisateurs gérés par SCIM (facultatif)
Vous pouvez synchroniser un identifiant unique de votre choix vers Command en le mappant sur le champ externalId. Cela permet des cas d’utilisation avancés tels que la désambiguïsation des utilisateurs entre systèmes ou la synchronisation des identifiants d’accès vers une référence utilisateur unique. Cette valeur n’est pas affichée dans l’interface Command mais est stockée dans la base de données et peut être interrogée via l’API.
Pour ajouter l’attribut externalId et le mapper depuis Okta :
Créer l’attribut dans le profil de l’application SCIM
Dans Okta, allez à Annuaire > Éditeur de profil
Sélectionnez votre application Verkada gérée par SCIM
Cliquez sur Ajouter un attribut et ajoutez les détails de l’attribut tels qu’indiqués dans le tableau ci‑dessus.
Cliquez sur Enregistrer\
Mapper l’attribut
Toujours dans l’éditeur de profil, cliquez sur Mappages
Choisir Okta User to [Your SCIM App]
Trouvez le champ source que vous souhaitez mapper (par ex., user.nickName, employeeNumber, ou un autre champ personnalisé)
Mappez‑le sur verkadaExternalId
Cliquez sur la flèche entre les champs et sélectionnez Appliquer le mappage à la création et à la mise à jour de l’utilisateur
Cliquez sur Enregistrer les mappages
Confirmer que l’attribut est rempli
Accédez à Annuaire > Personnes
Ouvrez un profil d’utilisateur et assurez‑vous que le champ source depuis lequel vous mappez (par ex., Surnom) a une valeur
Depuis le SCIM App > onglet Provisioning, utilisez Forcer la synchronisation pour pousser les mises à jour si nécessaire\
Référez‑vous à cette liste d’identifiants pour la liste des formats de cartes acceptables.
Problèmes connus
La mise à jour des noms d’utilisateur (emails) n’a pas d’effet automatique dans Command. Si vous devez modifier un nom d’utilisateur, désattribuez l’utilisateur de l’application SAML, puis réajoutez l’utilisateur à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend de Verkada. Si l’email de l’utilisateur est en dehors des domaines de messagerie fournis lors de la configuration du SSO, cela empêche l’utilisateur d’utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez cette erreur lors du provisionnement des utilisateurs, "Erreur lors de la tentative de pousser la mise à jour du profil pour l’utilisateur : Bad Request. Erreurs signalées par le serveur distant : Invalid request", voir cet article Okta pour les étapes de dépannage.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez Verkada Support.
Vous préférez le voir en action ? Consultez le tutoriel vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?