Activer Enterprise Controlled Encryption (ECE)

Voir Aperçu du chiffrement contrôlé par l’entreprise (ECE) pour plus d’informations.

Configurer l’authentification unique OIDC

Verkada ne prend actuellement en charge que Okta, Microsoft Entra ID (Azure AD) et Google Workspace comme fournisseurs d’identité pour l’authentification unique via OIDC. Pour un guide d’installation détaillé, référez-vous à ce qui suit :

Le SSO OIDC doit être activé dans votre organisation pour activer l’ECE.

Mettre à jour l’application mobile Command

Pour garantir une expérience utilisateur fluide, demandez à tous les utilisateurs de votre organisation de mettre à jour leur application mobile Verkada Command. L’application se met à jour automatiquement sauf si la mise à jour automatique est désactivée. Cette étape est requise uniquement pour les utilisateurs de l’application mobile Command.

iOS : compte Verkada Command
Android : compte Verkada Command

Il y a pas besoin de mettre à jour l’application Verkada Pass.

Activer l’ECE

Dans Verkada Command, allez dans Tous les produits > Admin.

Dans la navigation de gauche, sélectionnez Connexion et accès > Chiffrement contrôlé par l’entreprise.

Cliquez sur Commencer.

Sous Générer la clé :

a. Cliquez Générer la clé b. Téléchargez la clé de chiffrement. c. Ajoutez la clé de chiffrement à votre fournisseur d’identité. d. Cliquez sur Continuer.

Sous Vérifier :

a. Cliquez Déconnexion et test. b. Si le test est réussi, vous serez redirigé vers cette page. c. Cliquez Continuer.

Sous Enrôler les appareils :

a. Cliquez Sélectionner les appareils et choisissez les appareils à inscrire dans l’ECE.Remarque : Nous recommandons de choisir Sélectionner tous les appareils pour vous assurer de bénéficier de la sécurité supplémentaire et de la protection des données pour l’ensemble de votre flotte. b. Cliquez Enrôler les appareils.

La clé de chiffrement pour l’ECE (étape 4) ne doit être générée qu’une seule fois. Utilisez cette clé de chiffrement pour créer le mappage dans le fournisseur OIDC. Après vérification, évitez de régénérer la clé de chiffrement et de mettre à jour le mappage du fournisseur OIDC.

Exemple de modèle du fichier de clé de chiffrement :

Nom du fichier : <command-org-name>_org_secret.txt 

Format :
<nom-affiché / nom-variable>

<clé-de-chiffrement>

Ajouter la clé de chiffrement au fournisseur d’identité

L’ECE est actuellement uniquement pris en charge sur Okta et Microsoft Entra ID (Azure AD). Suivez les étapes ci-dessous selon votre fournisseur d’identité.

Okta

Connectez-vous à votre compte administrateur Okta. À gauche, cliquez sur Directory. Cliquez sur Profile Editor. Ouvrez Verkada SSO OIDC User. Sélectionnez Add Attribute. a. Ajoutez le Display name et le Variable name (les deux valeurs sont identiques) depuis le fichier "<org_name>_org_secret.txt". Il commence par "vkdae2ee…". b. Cliquez sur Save. Sélectionnez Mappings. a. Cliquez Okta User to Verkada SSO OIDC. b. Copiez la valeur (la deuxième valeur) dans le fichier téléchargé "<org_name>_org_secret.txt" (y compris les guillemets). c. En bas de la page Mappings, collez-la dans la zone de texte correspondant à la nouvelle variable ajoutée ci‑dessus. d. Cliquez sur l’icône au milieu entre le et , et sélectionnez Apply mapping on user create and update. e. Cliquez sur Save Mappings, puis Apply updates now.

L’exécution correcte des étapes 6d et 6e est cruciale pour un processus d’enrôlement des caméras ECE sans accroc.

Reportez‑vous à Ajouter des attributs de profil personnalisés si vous rencontrez des problèmes lors de l’édition du profil.

Microsoft Entra ID (Azure AD)

Connectez‑vous à votre portail Azure. Recherchez et sélectionnez App registrations. Sélectionnez Verkada SSO OIDC. Remarque : si vous ne voyez pas cette application, allez à All applications. À gauche, cliquez sur Manage > App roles. a. Cliquez sur Create app role. b. Ajoutez le Display name et la Description (les deux valeurs sont identiques) depuis le fichier "<org_name>_org_secret.txt". Il commence par "vkdae2ee…". c. Sous Allowed member types, sélectionnez Users/Groups. d. Sous Value, saisissez : (deuxième valeur) dans le fichier téléchargé "<org_name>_org_secret.txt". Ne copiez pas les guillemets de la clé de chiffrement. e. Cliquez sur Apply. À gauche, cliquez sur Manage > Token Configuration. a. Cliquez sur Add groups claim. b. Sélectionnez Security groups comme type de groupe. c. Sélectionnez Emit groups as role claims comme ID. d. Cliquez sur Add. À gauche, cliquez sur Manage > Authentication. a. Sous Implicit grant and hybrid flows, sélectionnez à la fois ID tokens et Access tokens. b. Cliquez sur Save. À gauche, cliquez sur Manage > Manifest. a. Vérifiez que le Manifest pour Optional Claims ressemble à ceci : Remarque : vous devez voir idToken.additionalProperties.emit_as_roles. Assignez les utilisateurs au nouveau rôle créé à l’étape 4. Seuls ces utilisateurs pourront accéder à Verkada Command. a. Recherchez et sélectionnez Microsoft Entra ID. b. À gauche, cliquez sur Manage > Enterprise applications. Cliquez sur Verkada SSO OIDC. À gauche, cliquez sur Manage > Users and groups. Assignez aux utilisateurs le rôle nouvellement créé. Remarque : vous devez être propriétaire de l’application Verkada SSO OIDC. Cliquez sur Add user/group. Assignez les utilisateurs au nouveau rôle créé à l’étape 4. Cliquez sur Assign. (Facultatif) Si l’e‑mail utilisé pour leur compte Command n’est pas le même que l’User Principal Name sur Azure, assurez‑vous de faire ce qui suit : Cliquez sur Edit properties. Cliquez sur Contact information. Dans le champ e‑mail, saisissez l’e‑mail utilisé pour leur compte Verkada Command. Cliquez sur Save.

Google

Ouvrez votre console d’administration Google. Dans la navigation de gauche, sélectionnez Directory > Users. Sélectionnez le menu More Options puis cliquez sur Manage custom attributes. Cliquez sur Add Custom Attribute. Créez un nouvel attribut personnalisé avec les champs suivants (ces champs sont sensibles à la casse) a. Catégorie : ECEInfo b. Champs personnalisés : Nom : keysInfo Type : Texte Visibilité : Visible pour l’utilisateur et l’administrateur Nombre de valeurs : Multi‑Value g. Cliquez sur Add Pour chaque compte utilisateur qui devra accéder à votre organisation Verkada, vous devrez effectuer les étapes suivantes : a. Allez dans Directory > Users et sélectionnez un utilisateur. b. Déployez l’onglet User Information et sélectionnez ECEInfo. c. Cliquez sur Edit. d. Dans le fichier téléchargé "<org_name>_org_secret.txt", vous trouverez deux chaînes. La première est le Display Name (il commence par "vkdae2ee…"), et la seconde est la clé de chiffrement. Ajoutez ces valeurs dans le champ keys de l’attribut ECEInfo de votre utilisateur, séparées par deux‑points (n’incluez pas les guillemets autour de la clé de chiffrement). <display name>:<encryption key> e. Cliquez sur Save. f. Répétez cela pour tous les utilisateurs de l’organisation Verkada et continuez à l’étape 9. Remarque : vous pouvez automatiser le processus en sautant cette étape et en suivant plutôt les étapes 7‑8. Allez dans Directory > Groups et cliquez sur Create Group. a. Donnez au groupe un nom identifiable (par ex., le même nom que votre organisation Verkada Command). Notez que si vous avez plusieurs organisations Verkada, vous aurez besoin d’un Groupe correspondant pour chacune. b. Cliquez sur Next. c. Dans Group Settings, sélectionnez uniquement les utilisateurs invités comme pouvant rejoindre le groupe. d. Cliquez sur Create. e. Dans le groupe nouvellement créé, cliquez sur Add Members. Ajoutez ici tous les utilisateurs de votre organisation Verkada. Allez sur Apps Script for Google Developers. Cliquez sur Start Scripting. a. Créez un New Project. b. Sous Services dans le panneau de gauche, sélectionnez Admin SDK API et cliquez sur Add. c. Collez le code suivant function bulkUpdate() { const groupEmail = "<YOUR GROUP EMAIL>"; const schemaName = "ECEInfo"; const displayName = "<DISPLAY NAME FROM YOUR ORG SECRET TXT FILE>"; const encryptionKey = "<ENCRYPTION KEY FROM YOUR ORG SECRET TXT FILE>"; const groupMembers = AdminDirectory.Members.list(groupEmail).members || []; groupMembers.forEach((member) => { try { var userEmail = member.email; var user = AdminDirectory.Users.get(member.email, { projection: 'full'}); var customSchemas = user.customSchemas || {}; if (!customSchemas[schemaName]) { customSchemas[schemaName] = {}; } if (!customSchemas[schemaName]["keys"]) { customSchemas[schemaName]["keys"] = []; } var newEntry = `${displayName}:${encryptionKey}`; var userHasOrgSecret = customSchemas.ECEInfo.keys.some(function(entry) { return entry.value === newEntry; }); if (userHasOrgSecret) { console.log(`no update on user ${userEmail}`) } else { customSchemas[schemaName]["keys"].push({ type: "work", value: newEntry, }); // Update the user with the modified custom schema AdminDirectory.Users.update({ customSchemas: customSchemas }, userEmail); } } catch (e) { // Log errors if the updating process fails. console.log("Error updating " + userEmail + ": " + e.message); } });}; d. Cliquez sur Save, puis Run. Il existe trois options pour gérer les nouveaux utilisateurs après cette configuration initiale. a. Suivre l’étape 6 pour chaque nouvel utilisateur ajouté à votre organisation Verkada. b. Faire exécuter le script ci‑dessus régulièrement (par exemple, quotidiennement) et simplement ajouter les nouveaux utilisateurs au groupe Google associé à votre organisation Verkada (Étape 7). Pour ce faire, sélectionnez Triggers depuis le panneau de navigation gauche de votre projet Apps Script. Cliquez sur Add Trigger. Sélectionnez la fonction bulkUpdate sur le déploiement Head. Sélectionnez l’événement Time‑driven et définissez un calendrier adapté à votre organisation. Gardez à l’esprit que les nouveaux utilisateurs de votre organisation Verkada n’auront pas accès aux enregistrements ECE tant que ce script ne s’exécute pas après leur ajout comme membres du groupe Google. f. Exécutez le script selon les besoins.

Mis à jour il y a 1 jour

Ce contenu vous a-t-il été utile ?