Okta
Configurez le SSO et le provisionnement des utilisateurs avec Okta
Verkada Command peut s’intégrer à Okta (ainsi qu’à d’autres fournisseurs d’identité [IdP]) selon 2 modalités, en fonction du cas d’usage :
Langage de balisage des assertions de sécurité (SAML)
Système pour la gestion des identités interdomaines (SCIM)
SAML gère le processus d’authentification, ce qui permet d’utiliser Okta pour gérer l’accès à Command, comme pour toute autre application logicielle en tant que service (SaaS) déjà intégrée à votre tenant Okta. Cela signifie que Command peut être intégré à votre cadre d’identité existant et soumis au contrôle d’accès selon les politiques actuellement en place.
SCIM vous permet d’exploiter vos utilisateurs et groupes existants déjà présents dans Okta et de les synchroniser avec Command. Cela vous permet de conserver le fournisseur d’identité central actuel et de configurer l’accès à l’aide de vos utilisateurs et groupes existants via Command afin de contrôler l’accès à la plateforme.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également Chiffrement contrôlé par l’entreprise.
SSO basé sur OIDC pour Okta
Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Okta. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée à l’aide de leurs identifiants Okta existants, ce qui simplifie l’accès à Command et renforce la sécurité globale.
OIDC n’est pas pris en charge sur les applications Desk Station.
Activer Chiffrement contrôlé par l’entreprise (ECE) pour une sécurité renforcée.
Configuration OIDC
Accédez à votre instance Okta pour créer une nouvelle application afin de gérer votre configuration OIDC. Cliquez sur Applications dans l’option latérale Applications, puis cliquez sur Créer une intégration d’application.
Sous Créer une nouvelle intégration d’application, sélectionnez OIDC - OpenID Connect comme méthode de connexion et Application monopage comme type d’application.
Sous URI de redirection de connexion, donnez à votre application un nom identifiable et ajoutez les liens suivants à la liste des URI de redirection de connexion :
a. https://command.verkada.com/oidc/okta/callback b. http://<org-short-name>.command.verkada.com/oidc/okta/callback où, dans l’URL, se trouve le nom abrégé de votre organisation Command.
(Facultatif) Sous URI de redirection de déconnexion, ajoutez https://command.verkada.com/.
Sous Attributions, sélectionnez pour l’instant Ignorer l’attribution de groupe, puis cliquez sur Enregistrer.
Sous Attributions, cliquez sur le menu déroulant Attribuer pour attribuer cette application à votre profil utilisateur (et à ceux des autres utilisateurs concernés).
Sous Général, copiez l’ID client affiché sous Informations d’identification du client.
Configuration de Command
Dans Verkada Command, allez à Tous les produits > Admin.
Dans la navigation de gauche, sélectionnez Connexion et accès.
Sélectionnez Configuration de l’authentification unique.
Sous Configuration OIDC, cliquez sur Ajouter un nouveau.
a. Activez Activer. b. (Facultatif) Activez Exiger le SSO OIDC. c. Sous Sélectionner le fournisseur, sélectionnez Okta. d. Sous Ajouter le client et le tenant, cliquez sur :plus:.
Dans le champ ID client collez l’ID client que vous avez copié depuis Okta.
Dans le champ ID du tenant champ, saisissez la première partie de l’URL de votre instance Okta. Elle doit ressembler à ceci : https://yourinstancename.okta.com.
Cliquez sur Terminé.
h. Domaines de messagerie, cliquez sur :plus:.
Saisissez le nom de votre domaine existant (par ex. @verkada.com).
Cliquez sur Terminé.
Sous Test de connexion, cliquez sur Exécuter le test de connexion.
Un test de connexion réussi doit rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion n’aura pas été exécuté avec succès.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
Intégration Okta SAML
Avant de commencer
Pour une intégration réussie, choisissez le meilleur parcours pour votre région :
Pour les organisations américaines, vous utiliserez une application Verkada existante en suivant directement les étapes ci-dessous.
Pour les organisations de l’UE et d’AUS, suivez les étapes de la section suivante pour configurer une nouvelle intégration d’application dans Okta.
Créer une application Verkada Okta (régions US)
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Parcourir le catalogue d’applications.
Dans la barre de recherche, tapez Verkada.
Cliquez sur Ajouter l’intégration.
Cliquez sur Terminé.
Dans Okta, sélectionnez l’onglet Connexion pour l’application Verkada, puis cliquez sur Modifier.
Faites défiler jusqu’aux Paramètres avancés de connexion et saisissez l’ID client de votre compte Command.
Sélectionnez Enregistrer.
Configurer une nouvelle intégration d’application depuis Okta (régions UE et AUS)
Allez dans Applications, puis sélectionnez Créer une intégration d’application.
Sous Créer une nouvelle intégration d’application, sélectionnez SAML 2.0, puis cliquez sur Suivant.
Sur la page « Créer une intégration SAML », sous Paramètres généraux, saisissez un nom d’application, ajoutez éventuellement un logo d’application, puis cliquez sur Suivant.
Sur la page de configuration SAML, renseignez l’URL de connexion unique et l’URI d’audience (ID d’entité SP) avec ces liens :
Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/sso/<client-ID>
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Cochez la case Utiliser ceci pour l’URL du destinataire et l’URL de destination .
ID client doit être récupéré à partir de la configuration de Command et remplacé dans les liens insérés dans l’application Okta.
Le nom d’utilisateur de l’application est le nom d’utilisateur Okta.
Cliquez sur Suivant. Sur la page de retour, cochez la case « Il s’agit d’une application interne que nous avons créée ». Cliquez sur Terminer.
Dans la section des déclarations d’attributs, configurez le mappage des attributs comme suit :
email>user.emailfirstName>user.firstNamelastName>user.lastName
Configuration
Dans Okta, sélectionnez l’onglet Attributions de l’application. Cliquez sur Attribuer et sélectionnez Personnes ou Groupes pour activer le SSO pour ces utilisateurs.
Sélectionnez l’onglet Connexion pour l’application.
Faites défiler jusqu’à Certificats de signature SAML et cliquez sur Générer un nouveau certificat si aucun nouveau certificat n’existe.
À droite du certificat, sélectionnez le menu déroulant Actions puis cliquez sur Afficher les métadonnées de l’IdP.
Faites un clic droit sur les métadonnées, sélectionnez « Enregistrer sous », puis téléchargez-les au format XML.
Après avoir téléchargé le fichier XML, téléversez-le dans Command.
Dans la section Vérifier les métadonnées, cliquez sur Exécuter le test de connexion.
Dépannage
La mise à jour des noms d’utilisateur (e-mails) ne prend pas automatiquement effet dans Command. Si vous devez modifier un nom d’utilisateur, retirez d’abord l’utilisateur de l’application SAML, puis rajoutez-le à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend Verkada. Si l’adresse e-mail de l’utilisateur se trouve en dehors des domaines de messagerie configurés lors de la mise en place du SSO, l’utilisateur ne peut pas utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez le service d’assistance de Verkada.
Intégration Okta SCIM
Avant de commencer
Vous avez besoin d’un jeton API pour vous connecter au point de terminaison SCIM de Verkada. Ce jeton est unique par organisation Verkada. Découvrez comment obtenir un jeton API SCIM.
Pour une intégration réussie, choisissez le meilleur parcours pour votre région :
Pour les organisations américaines, suivez les étapes de Créer une application Verkada Okta.
Pour les organisations de l’UE et d’AUS, suivez les étapes de Activer le provisionnement SCIM dans l’application Okta.
Pour confirmer dans quelle région vous vous trouvez, référez-vous à l’endroit où votre organisation a été créée pour Verkada.
Créer une application Verkada Okta
Région US
Connectez-vous à Okta.
Dans le panneau de navigation de gauche, cliquez sur Applications.
En haut, cliquez sur Parcourir le catalogue d’applications.
4. Dans la barre de recherche, tapez Verkada, cliquez sur l’application, puis cliquez sur Ajouter l’intégration.
5. Pour le libellé de l’application, saisissez Verkada (ou tout autre nom unique que vous préférez), puis cliquez sur Terminé.
Région UE et AUS
Connectez-vous à Okta.
Allez sur la page Applications et cliquez sur Créer une intégration d’application.
Sous Créer une nouvelle intégration d’application, sélectionnez SAML 2.0, puis cliquez sur Suivant.
Dans le champ Nom de l’application, saisissez un nom puis cliquez sur Suivant.
Sur Créer une intégration SAML :
Pour l’URL de connexion unique :
Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/login/<org short name> où <org short name> est le nom abrégé de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/login/<org short name> où <org short name> est le nom abrégé de votre organisation.
Pour l’URI d’audience (ID d’entité SP) :
Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/sso/<org short name> où <org short name> est le nom abrégé de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/sso/<org short name> où <org short name> est le nom abrégé de votre organisation.
Faites défiler vers le bas et cliquez sur Suivant.
Sélectionnez le bouton radio Je suis un client Okta ajoutant une application interne, puis cliquez sur Terminer (facultativement, vous pouvez ignorer les questions supplémentaires d’Okta).
Dans la navigation de gauche, cliquez sur Applications et cliquez sur votre application nouvellement créée (si vous n’êtes pas automatiquement redirigé vers votre application).
En haut, sélectionnez l’onglet Général :
En haut à droite, cliquez sur Modifier pour les paramètres de l’application.
Cochez la case Activer le provisionnement SCIM.
Cliquez sur Enregistrer.
Sur la connexion SCIM :
En haut de votre application nouvellement créée, sélectionnez l’onglet Provisionnement.
Cliquez sur Modifier pour les paramètres de connexion SCIM.
Pour l’URL de base du connecteur SCIM
Pour les organisations de l’UE, https://scim.prod2.verkada.com/scim
Pour les organisations AUS, https://scim.ap-syd.verkada.com/scim
Pour le champ identifiant unique des utilisateurs, saisissez userName.
Cochez les cases Pousser les nouveaux utilisateurs, Pousser les mises à jour de profil et Pousser les groupes.
Cliquez sur le menu déroulant Mode d’authentification et sélectionnez En-tête HTTP.
Copiez et collez le jeton SCIM de Command dans le champ Autorisation.
Cliquez sur Enregistrer.
Configurer l’application Verkada Okta
Région US
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
À gauche, sélectionnez l’onglet Provisionnement.
Sous l’onglet Provisionnement > Intégration :
Cliquez sur Configurer l’intégration API.
Cochez la case Activer l’intégration API.
Dans le champ Jeton API, copiez et collez le jeton API généré par Command.
Cliquez sur Enregistrer.
Sous l’onglet Provisionnement > Paramètres :
Sélectionnez Vers l’application puis cliquez sur Modifier.
Cochez la case Activer pour Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.
Cliquez sur Enregistrer.
Sous l’onglet Provisionnement > section Vers l’application > Mappages d’attributs Verkada, cliquez sur Aller à l’éditeur de profil.
Assurez-vous que les attributs correspondent, comme indiqué dans l’exemple ci-dessous. Vous pouvez ajouter davantage d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Région UE et AUS
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
Sous l’onglet Provisionnement > Paramètres :
Sélectionnez Vers l’application puis cliquez sur Modifier.
Cochez la case Activer pour Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.
Cliquez sur Enregistrer. Vous pouvez ajouter davantage d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Ajouter des attributs supplémentaires aux utilisateurs gérés par SCIM
Ajouter des attributs aux utilisateurs gérés par SCIM (facultatif)
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization.
Vous pouvez également synchroniser un identifiant unique vers Command en le mappant au champ externalId . Cela permet des cas d’usage avancés tels que la désambiguïsation des utilisateurs entre systèmes ou la synchronisation des informations d’accès vers une référence utilisateur unique. Cette valeur est stockée dans la base de données et peut être interrogée via l’API, mais elle n’apparaît pas dans l’interface utilisateur de Command.
Pour provisionner les numéros de téléphone hors des États-Unis dans Command, incluez l’indicatif pays dans le numéro de téléphone de l’utilisateur dans le profil Okta.
Par exemple :
US : 123-456-7890 → +1 123-456-7890
UK : 07123 456789 → +44 7123 456789
L’utilisation du format international garantit que le numéro est correctement importé dans Command.
Connectez-vous à Okta.
Créez l’attribut dans le profil d’application SCIM.
Dans Okta, allez à Annuaire > Éditeur de profil.
Sélectionnez votre Utilisateur de l’application gérée par Verkada SCIM.
Cliquez sur Ajouter un attribut et ajoutez les détails de l’attribut comme indiqué dans le tableau ci-dessous.
Cliquez sur Enregistrer.
Mapper l’attribut
Toujours dans l’Éditeur de profil, cliquez sur Mappages.
Choisissez Utilisateur Okta vers [Votre application SCIM].
Cliquez sur le menu déroulant et trouvez le champ source que vous souhaitez mapper (par ex., user.nickName, employeeNumber, ou un autre champ personnalisé) et mappez-le à l’attribut
appuser.Cliquez sur la flèche entre les champs et sélectionnez Appliquer le mappage à la création et à la mise à jour de l’utilisateur.
Cliquez sur Enregistrer les mappages.
Confirmer que l’attribut est renseigné
Accédez à Annuaire > Personnes.
Ouvrez le profil d’un utilisateur et assurez-vous que le champ source à partir duquel vous effectuez le mappage (par ex., Surnom) contient une valeur.
Depuis l’ onglet SCIM App > Provisionnement, utilisez Forcer la synchronisation pour pousser les mises à jour si nécessaire.
Consultez cette liste d’informations d’identification pour la liste des formats de badge acceptables.
Ajouter des informations d’accès aux utilisateurs gérés par SCIM (facultatif)
Connectez-vous à Okta.
Dans la navigation de gauche, sélectionnez Annuaire > Éditeur de profil.
Sélectionnez Utilisateur (par défaut) comme type d’utilisateur.
Cliquez sur Ajouter un attribut et ajoutez les attributs personnalisés depuis le tableau ci-dessous.
Dans la navigation de gauche, sélectionnez Applications et ouvrez votre application gérée par Verkada SCIM.
Dans l’onglet Provisionnement, sélectionnez Vers l’application > Aller à l’éditeur de profil.
Cliquez sur Ajouter un attribut pour créer les attributs listés ci-dessus en utilisant exactement le même type de données, nom d’affichage, nom variable, description et valeurs ENUM.
Définissez la valeur Espace de noms externe pour tous les attributs sur :
Définissez Type d’attribut sur Personnel.
Cliquez sur Enregistrer pour ajouter l’attribut.
Cliquez sur Mappages pour mapper les attributs de l’application Utilisateur Okta vers votre application SCIM.
Sélectionnez Utilisateur Okta vers VotreAppliSCIM en haut et mappez les attributs personnalisés créés pour l’utilisateur par défaut Okta à ceux créés dans votre application SCIM.
Cliquez sur Enregistrer les mappages et Appliquer les mises à jour maintenant pour appliquer les modifications.
Les attributs devraient maintenant être disponibles pour tous les profils d’utilisateurs de votre application Okta. Une fois synchronisés, vous pouvez consulter les informations d’identification dans Command sous Accès > Utilisateurs d’accès > Profil utilisateur > Informations d’identification.
Tableau des attributs
Consultez cette liste d’informations d’identification pour la liste des formats de badge acceptables. Le type de données pour tous les attributs sera chaîne.
Nom d’affichage
Nom variable / Nom externe
Espace de noms externe
Description
ENUM
Format de badge
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Format de badge pour l’information d’accès
Laisser décoché
Numéro de badge
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Numéro de badge pour l’information d’accès
Laisser décoché
Numéro de badge hexadécimal
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Représentation hexadécimale du numéro de badge
Laisser décoché
État de l’information d’identification
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
État de l’information d’identification du badge
Case à cocher : actif → actif, désactivé → désactivé, supprimé → supprimé
Code d’établissement
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Code d’établissement associé au badge
Laisser décoché
ID externe
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID unique défini par le client, non exposé dans l’interface utilisateur
Laisser décoché
ID du département
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identifiant utilisé pour mapper le département de l’utilisateur dans Command
Laisser décoché
Titre
title
urn:ietf:params:scim:schemas:core:2.0:User
Titre ou rôle de l’utilisateur
Laisser décoché
Numéro d’employé
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
ID employé
Laisser décoché
Numéro de téléphone
Nom variable : phoneNumber
Nom externe : phoneNumbers[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
Numéro de téléphone professionnel
Laisser décoché
Département
department
urn:ietf:params:scim:schemas:core:2.0:User
Département de l’utilisateur
Laisser décoché
Organisation
organization
urn:ietf:params:scim:schemas:core:2.0:User
Entreprise ou organisation
Laisser décoché
Provisionner des utilisateurs et des groupes
Les utilisateurs ajoutés à l’application sont poussés automatiquement ; les groupes doivent être poussés manuellement.
Utilisateurs dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
Cliquez sur l’onglet Attributions.
Cliquez sur le menu déroulant Attribuer et sélectionnez Attribuer à des personnes.
Cliquez sur Attribuer pour les personnes que vous souhaitez provisionner vers l’application.
Vous verrez les informations de cet utilisateur. En bas, cliquez sur Enregistrer et revenir.
Lorsque vous êtes redirigé vers la page d’attribution, cliquez sur Terminé.
Groupes dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
Cliquez sur le menu déroulant Attribuer et sélectionnez Attribuer à des groupes.
Cliquez sur Attribuer pour les groupes que vous souhaitez provisionner vers l’application.
Vous verrez les informations de ce groupe. En bas, cliquez sur Enregistrer et revenir.
Lorsque vous êtes redirigé vers la page d’attribution, cliquez sur Terminé.
En haut, sélectionnez l’onglet Pousser les groupes.
Cliquez sur le menu déroulant Pousser les groupes pour trouver des groupes (par nom ou par règle).
Trouvez le groupe que vous souhaitez pousser et cliquez sur Enregistrer. En cas de réussite, l’état de poussée affiche Actif.
Command étiquette ensuite les utilisateurs et les groupes comme gérés par SCIM, s’ils sont importés via SCIM.
Supprimer des utilisateurs gérés par SCIM de Command
Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez supprimer l’utilisateur de Command de deux façons :
Supprimer l’utilisateur – Le compte est déplacé vers la page Utilisateurs supprimés mais conserve les enregistrements historiques, rôles et autorisations.
Supprimer définitivement l’utilisateur – Tous les rôles, informations d’identification, journaux d’accès et données associées sont effacés. Si l’utilisateur est à nouveau provisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.
Problèmes connus
La mise à jour des noms d’utilisateur (e-mails) ne prend pas automatiquement effet dans Command. Si vous devez modifier un nom d’utilisateur, retirez d’abord l’utilisateur de l’application SAML, puis rajoutez-le à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend Verkada. Si l’adresse e-mail de l’utilisateur se trouve en dehors des domaines de messagerie fournis lors de la configuration du SSO, cela empêche l’utilisateur d’utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez cette erreur lors du provisionnement des utilisateurs, « Erreur lors de la tentative d’envoi de la mise à jour de profil pour l’utilisateur : mauvaise requête. Erreurs signalées par le serveur distant : requête non valide », consultez cet article Okta pour les étapes de dépannage.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez le service d’assistance de Verkada.
Vous préférez le voir en action ? Découvrez le tutoriel vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?