Okta
Configurez le SSO et le provisionnement des utilisateurs avec Okta
Verkada Command a la capacité de s’intégrer à Okta (entre autres fournisseurs d’identité [IdP]) de 2 façons, selon le cas d’usage :
Langage de balisage pour les assertions de sécurité (SAML)
Système de gestion des identités inter-domaines (SCIM)
SAML gère le processus d’authentification, permettant d’utiliser Okta pour gérer l’accès à Command, comme pour toute autre application de logiciel en tant que service (SaaS) déjà intégrée à votre locataire Okta. Cela signifie que Command peut être intégré à votre cadre d’identité existant et que l’accès peut être contrôlé selon vos politiques actuellement en place.
SCIM vous permet de tirer parti de vos utilisateurs et groupes existants déjà présents dans Okta et de les synchroniser avec Command. Cela vous permet de conserver le fournisseur d’identité central actuel et de configurer l’accès à l’aide de vos utilisateurs et groupes existants via Command pour contrôler l’accès à la plateforme.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également d’activer Enterprise Controlled Encryption.
SSO basé sur OIDC pour Okta
Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Okta. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée à l’aide de leurs identifiants Okta existants, simplifiant l’accès à Command et renforçant la sécurité globale.
OIDC n’est pas pris en charge sur les applications Desk Station.
Activer Enterprise Controlled Encryption (ECE) pour une sécurité renforcée.
Configuration OIDC
Accédez à votre instance Okta pour créer une nouvelle application afin de gérer votre configuration OIDC. Cliquez sur Applications dans l’option de barre latérale Applications, puis cliquez sur Create App Integration.
Sous Create a new app integration, sélectionnez OIDC - OpenID Connect comme méthode de connexion et Single-Page Application comme type d’application.
Sous Sign-in redirect URIs, donnez à votre application un nom identifiable et ajoutez les liens suivants à la liste des URI de redirection de connexion :
a. https://command.verkada.com/oidc/okta/callback b. http://<org-short-name>.command.verkada.com/oidc/okta/callback où, dans l’URL, figure le nom court de votre organisation Command.
(Facultatif) Sous Sign-out redirect URIs, ajoutez https://command.verkada.com/.
Sous Assignments, sélectionnez Skip Group Assignment for now et cliquez sur Save.
Sous Assignments, cliquez sur la liste déroulante Assign pour attribuer cette application à vos profils utilisateur (et aux autres profils concernés).
Sous General, copiez le Client ID affiché sous Client Credentials.
Configuration de Command
Dans Verkada Command, accédez à Tous les produits > Admin.
Dans la navigation de gauche, sélectionnez Login & Access.
Sélectionnez Single Sign-On Configuration.
Sous OIDC Configuration, cliquez sur Add New.
a. Activez Enable. b. (Facultatif) Activez Require OIDC SSO. c. Sous Select Provider, sélectionnez Okta. d. Sous Add Client and Tenant, cliquez sur :plus:.
Dans le champ Client ID collez le Client ID que vous avez copié depuis Okta.
Dans le champ Tenant ID dans ce champ, saisissez la première partie de l’URL de votre instance Okta. Elle doit ressembler à ceci : https://yourinstancename.okta.com.
Cliquez sur Done.
h. Email Domains, cliquez sur :plus:.
Saisissez votre nom de domaine présent (par ex. @verkada.com).
Cliquez sur Done.
Sous Login Test, cliquez sur Run Login Test.
Un test de connexion réussi doit rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez autoriser.
Une fois votre domaine ajouté, relancez le test de connexion. Le SSO ne sera pas activé tant que ce second test de connexion ne sera pas terminé avec succès.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
Intégration SAML Okta
Avant de commencer
Pour une intégration réussie, choisissez le meilleur chemin pour votre région :
Pour les organisations américaines, vous utiliserez une application Verkada existante en suivant directement les étapes ci-dessous.
Pour les organisations de l’UE et d’AUS, suivez les étapes de la section suivante pour configurer une nouvelle intégration d’application dans Okta.
Créer une application Verkada Okta (régions US)
Connectez-vous à Okta.
Accédez à la page Applications et cliquez sur Browse App Catalog.
Dans la barre de recherche, saisissez Verkada.
Cliquez sur Add Integration.
Cliquez sur Done.
Dans Okta, sélectionnez l’onglet Sign On pour l’application Verkada, puis cliquez sur Edit.
Faites défiler jusqu’à Advanced Sign-On Settings et saisissez le Client ID de votre compte Command.
Sélectionnez Save.
Configurer une nouvelle intégration d’application depuis Okta (régions UE et AUS)
Accédez à Applications et sélectionnez Create App Integration.
Créez une nouvelle intégration d’application, sélectionnez SAML 2.0, puis cliquez sur Next.
Sur la page "Create a SAML integration", sous General Settings, saisissez un nom d’application, ajoutez éventuellement un logo d’application, puis cliquez sur Next.
Sur la page de configuration SAML, renseignez la Single Sign-On URL et l’Audience URI (SP Entity ID) avec ces liens :
Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/sso/<client-ID>
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Cochez la case Use this for Recipient URL and Destination URL .
Client ID doit être récupéré depuis la configuration Command et remplacé dans les liens insérés dans l’application Okta.
Le nom d’utilisateur de l’application est le nom d’utilisateur Okta.
Cliquez sur Next. Sur la page de retour, cochez la case intitulée "This is an internal app that we have created". Cliquez sur Finish.
Dans la section des déclarations d’attributs, configurez le mappage des attributs comme suit :
email>user.emailfirstName>user.firstNamelastName>user.lastName
Configuration
Dans Okta, sélectionnez l’onglet Assignments pour l’application. Cliquez sur Assign et sélectionnez People ou Groups pour activer le SSO pour ces utilisateurs.
Sélectionnez l’onglet Sign On pour l’application.
Faites défiler jusqu’à SAML Signing Certificates et cliquez sur Generate new certificate si aucun nouveau certificat n’existe.
À droite du certificat, sélectionnez le menu déroulant Actions, puis cliquez sur View IdP metadata.
Cliquez avec le bouton droit sur les métadonnées, sélectionnez "Save As", puis téléchargez-les en tant que fichier XML.
Après avoir téléchargé le fichier XML, téléchargez-le dans Command.
Dans la section Verify Metadata, cliquez sur Run Login Test.
Dépannage
La mise à jour des noms d’utilisateur (e-mails) ne prend pas automatiquement effet dans Command. Si vous devez modifier un nom d’utilisateur, retirez l’attribution de l’utilisateur de l’application SAML, puis ajoutez-le de nouveau à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend Verkada. Si l’adresse e-mail de l’utilisateur est en dehors des domaines de messagerie configurés lors de la mise en place du SSO, l’utilisateur ne peut pas utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez service d’assistance de Verkada.
Intégration SCIM Okta
Avant de commencer
Vous avez besoin d’un jeton API pour vous connecter au point de terminaison SCIM Verkada. Ce jeton est unique pour chaque organisation Verkada. Découvrez comment obtenir un jeton API SCIM.
Pour une intégration réussie, choisissez le meilleur chemin pour votre région :
Pour les organisations américaines, suivez les étapes de Create a Verkada Okta app.
Pour les organisations de l’UE et d’AUS, suivez les étapes de Enable SCIM provisioning in Okta app.
Pour confirmer dans quelle région vous vous trouvez, reportez-vous à l’emplacement où votre organisation a été créée pour Verkada.
Créer une application Verkada Okta
Région US
Connectez-vous à Okta.
Dans le panneau de navigation de gauche, cliquez sur Applications.
En haut, cliquez sur Browse App Catalog.
4. Dans la barre de recherche, saisissez Verkada, cliquez sur l’application, puis cliquez sur Add Integration.
5. Pour Application label, saisissez Verkada (ou tout autre nom unique de votre choix), puis cliquez sur Done.
Région UE et AUS
Connectez-vous à Okta.
Accédez à la page Applications et cliquez sur Create App Integration.
Sur Create a new app integration, sélectionnez SAML 2.0 et cliquez sur Next.
Dans le champ App name, saisissez un nom, puis cliquez sur Next.
Sur Create SAML Integration :
Pour Single sign-on URL :
Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/login/<org short name> où <org short name> est le nom court de votre organisation.
Pour Audience URI (SP Entity ID) :
Pour les organisations de l’UE : https://saml.prod2.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/sso/<org short name> où <org short name> est le nom court de votre organisation.
Faites défiler vers le bas et cliquez sur Next.
Sélectionnez le bouton radio I’m an Okta customer adding an internal app puis cliquez sur Finish (vous pouvez éventuellement ignorer les questions supplémentaires d’Okta).
Dans la navigation de gauche, cliquez sur Applications puis sur votre application nouvellement créée (si vous n’êtes pas automatiquement redirigé vers votre application).
En haut, sélectionnez l’onglet General :
En haut à droite, cliquez sur Edit pour les App Settings de votre application.
Cochez la case Enable SCIM provisioning.
Cliquez sur Save.
Sur SCIM Connection :
En haut de votre application nouvellement créée, sélectionnez l’onglet Provisioning.
Cliquez sur Edit pour les paramètres de SCIM Connection.
Pour SCIM connector base URL
Pour les organisations de l’UE, https://scim.prod2.verkada.com/scim
Pour les organisations AUS, https://scim.ap-syd.verkada.com/scim
Pour Unique identifier field for users, saisissez userName.
Cochez les cases Push New Users, Push Profile Updates et Push Groups.
Cliquez sur le menu déroulant Authentication Mode et sélectionnez HTTP Header.
Copiez et collez le jeton SCIM depuis Command dans le champ Authorization.
Cliquez sur Save.
Configurer l’application Verkada Okta
Région US
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
À gauche, sélectionnez l’onglet Provisioning.
Sous l’onglet Provisioning > Integration :
Cliquez sur Configure API Integration.
Cochez la case Enable API integration.
Dans le champ API Token, copiez et collez votre jeton API généré par Command.
Cliquez sur Save.
Sous l’onglet Provisioning > Settings :
Sélectionnez To App puis cliquez sur Edit.
Cochez la case Enable pour Create Users, Update User Attributes et Deactivate Users.
Cliquez sur Save.
Sous l’onglet Provisioning > section To App > Verkada Attribute Mappings, cliquez sur Go to Profile Editor.
Assurez-vous que les attributs correspondent, comme indiqué dans l’exemple ci-dessous. Vous pouvez ajouter plus d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Région UE et AUS
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
Sous l’onglet Provisioning > Settings :
Sélectionnez To App puis cliquez sur Edit.
Cochez la case Enable pour Create Users, Update User Attributes et Deactivate Users.
Cliquez sur Save. Vous pouvez ajouter plus d’attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.
Attributs complémentaires pour les utilisateurs gérés par SCIM
Ajouter des attributs aux utilisateurs gérés par SCIM (facultatif)
Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization.
Vous pouvez également synchroniser un identifiant unique vers Command en le mappant au champ externalId . Cela permet des cas d’usage avancés, comme la désambiguïsation des utilisateurs entre systèmes ou la synchronisation d’identifiants d’accès vers une référence utilisateur unique. Cette valeur est stockée dans la base de données et peut être interrogée via l’API, mais elle n’apparaît pas dans l’interface utilisateur de Command.
Pour provisionner des numéros de téléphone hors des États-Unis dans Command, incluez l’indicatif pays dans le numéro de téléphone de l’utilisateur dans le profil Okta.
Par exemple :
US : 123-456-7890 → +1 123-456-7890
Royaume-Uni : 07123 456789 → +44 7123 456789
L’utilisation du format international garantit que le numéro est correctement importé dans Command.
Connectez-vous à Okta.
Créez l’attribut dans le profil de l’application SCIM.
Dans Okta, accédez à Directory > Profile Editor.
Sélectionnez votre Utilisateur de l’application Verkada gérée par SCIM.
Cliquez sur Add Attribute et ajoutez les détails de l’attribut comme indiqué dans le tableau ci-dessous.
Cliquez sur Enregistrer.
Mapper l’attribut
Toujours dans Profile Editor, cliquez sur Mappings.
Choisissez Okta User to [Your SCIM App].
Cliquez sur le menu déroulant et trouvez le champ source que vous souhaitez mapper (par ex., user.nickName, employeeNumber ou un autre champ personnalisé), puis mappez-le à l’attribut
appuser.Cliquez sur la flèche entre les champs et sélectionnez Apply mapping on user create and update.
Cliquez sur Save Mappings.
Confirmer que l’attribut est renseigné
Accédez à Directory > People.
Ouvrez un profil utilisateur et assurez-vous que le champ source à partir duquel vous effectuez le mappage (par ex., Nickname) a une valeur.
Depuis l’onglet SCIM App > Provisioning, utilisez Force Sync pour envoyer les mises à jour si nécessaire.
Reportez-vous à cette liste d’identifiants pour la liste des formats de carte acceptables.
Ajouter des identifiants d’accès aux utilisateurs gérés par SCIM (facultatif)
Connectez-vous à Okta.
Dans la navigation de gauche, sélectionnez Directory > Profile Editor.
Sélectionnez User (default) comme type d’utilisateur.
Cliquez sur Add Attribute et ajoutez les attributs personnalisés du tableau ci-dessous.
Dans la navigation de gauche, sélectionnez Applications et ouvrez votre application Verkada gérée par SCIM.
Dans l’onglet Provisioning, sélectionnez To App > Go to Profile Editor.
Cliquez sur Add Attribute pour créer les attributs listés ci-dessus en utilisant exactement le même Data Type, Display Name, Variable Name, Description et les mêmes valeurs ENUM.
Définissez la valeur de External namespace pour tous les attributs sur :
Définissez Attribute type sur Personal.
Cliquez sur Save pour ajouter l’attribut.
Cliquez sur Mappings pour mapper les attributs de l’application Okta User vers votre application SCIM.
Sélectionnez Okta User to YourSCIMApp en haut et mappez les attributs personnalisés créés pour l’utilisateur par défaut Okta à ceux créés dans votre application SCIM.
Cliquez sur Save Mappings et Apply updates now pour appliquer les modifications.
Les attributs devraient maintenant être disponibles pour tous les profils utilisateurs de votre application Okta. Une fois synchronisés, vous pouvez voir les identifiants dans Command sous Access > Access Users > User Profile > Credentials.
Tableau des attributs
Reportez-vous à cette liste d’identifiants pour la liste des formats de carte acceptables. Le type de données de tous les attributs sera string.
Display Name
Variable Name /External Name
External Namespace
Description
ENUM
Format de carte
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Format de carte pour l’identifiant d’accès
Laisser décoché
Numéro de carte
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Numéro de carte pour l’identifiant d’accès
Laisser décoché
Numéro de carte hexadécimal
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Représentation hexadécimale du numéro de carte
Laisser décoché
Statut de l’identifiant
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Statut de l’identifiant de carte
Case à cocher : active → active, deactivated → deactivated, deleted → deleted
Code d’installation
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
Code d’installation associé à la carte
Laisser décoché
ID externe
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
ID unique défini par le client, non exposé dans l’interface utilisateur
Laisser décoché
ID de service
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Identifiant utilisé pour mapper le service de l’utilisateur dans Command
Laisser décoché
Titre
title
urn:ietf:params:scim:schemas:core:2.0:User
Titre ou rôle de l’utilisateur
Laisser décoché
Numéro d’employé
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
ID employé
Laisser décoché
Numéro de téléphone
Variable Name: phoneNumber
External Name: phoneNumbers.^[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
Numéro de téléphone professionnel
Laisser décoché
Service
department
urn:ietf:params:scim:schemas:core:2.0:User
Service de l’utilisateur
Laisser décoché
Organisation
organization
urn:ietf:params:scim:schemas:core:2.0:User
Entreprise ou organisation
Laisser décoché
Provisionner des utilisateurs et des groupes
Les utilisateurs ajoutés à l’application sont envoyés automatiquement ; les groupes doivent être envoyés manuellement.
Utilisateurs dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
Cliquez sur l’onglet Assignments.
Cliquez sur le menu déroulant Assign et sélectionnez Assign to People.
Cliquez sur Assign pour les personnes que vous souhaitez provisionner vers l’application.
Vous verrez les informations de cet utilisateur. En bas, cliquez sur Save and Go Back.
Lorsque vous êtes redirigé vers la page Assign, cliquez sur Done.
Groupes dans Okta
Connectez-vous à Okta.
À gauche, cliquez sur Applications puis sur l’application Verkada.
Cliquez sur le menu déroulant Assign et sélectionnez Assign to Groups.
Cliquez sur Assign pour les groupes que vous souhaitez provisionner vers l’application.
Vous verrez les informations de ce groupe. En bas, cliquez sur Save and Go Back.
Lorsque vous êtes redirigé vers la page Assign, cliquez sur Done.
En haut, sélectionnez l’onglet Push Groups.
Cliquez sur le menu déroulant Push Groups pour trouver des groupes (par nom ou par règle).
Trouvez le groupe que vous souhaitez envoyer et cliquez sur Save. En cas de réussite, le Push Status affiche Active.
Command étiquette ensuite les utilisateurs et les groupes comme gérés par SCIM s’ils sont importés via SCIM.
Supprimer de Command les utilisateurs gérés par SCIM
Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez retirer l’utilisateur de Command de deux façons :
Supprimer l’utilisateur – Le compte est déplacé vers la page Deleted Users mais conserve les enregistrements historiques, les rôles et les autorisations.
Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est de nouveau provisionné via SCIM, Command crée un nouvel utilisateur enregistrer.
Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.
Problèmes connus
La mise à jour des noms d’utilisateur (e-mails) ne prend pas automatiquement effet dans Command. Si vous devez modifier un nom d’utilisateur, retirez l’attribution de l’utilisateur de l’application SAML, puis ajoutez-le de nouveau à l’application pour que la modification prenne effet.
Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être dû au fait que le domaine de messagerie n’est pas ajouté à la configuration SSO dans le backend Verkada. Si l’adresse e-mail de l’utilisateur est en dehors des domaines de messagerie fournis lors de la mise en place du SSO, cela empêche l’utilisateur d’utiliser le SSO. Si c’est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour résoudre le problème.
Si vous rencontrez cette erreur lors du provisionnement des utilisateurs, "Erreur lors de la tentative d’envoi d’une mise à jour de profil pour l’utilisateur : Bad Request. Erreurs signalées par le serveur distant : Invalid request", consultez cet article Okta pour connaître les étapes de dépannage.
Si vous rencontrez d’autres problèmes lors de la configuration du SSO, contactez service d’assistance de Verkada.
Vous préférez le voir en action ? Consultez le tutoriel vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?