Provisionnement des utilisateurs Google Workspace

L’intégration native Google Workspace permet aux organisations de synchroniser automatiquement les utilisateurs et les groupes de Google Workspace vers Verkada Command. Cela simplifie la gestion des identités et l’intégration générale des utilisateurs.

Contrairement aux intégrations SCIM de Verkada avec Okta ou Azure, cette intégration utilise le SDK Admin de Google Workspace et l’API Reports, authentifiés via un compte de service Google avec délégation à l’échelle du domaine.

Avec l’intégration activée, Command peut :

Importer des utilisateurs et des groupes depuis des groupes Google Workspace sélectionnés ou des unités organisationnelles (UO)
Les synchroniser dans Command en tant qu’utilisateurs et groupes gérés
Maintenir l’exactitude de l’annuaire grâce à des synchronisations d’arrière-plan planifiées et des synchronisations à la demande depuis l’interface d’administration

Créer un compte de service Google

Pour permettre à Command de lire les données des utilisateurs et des groupes de votre domaine Google Workspace, il doit s’authentifier auprès des API Google à l’aide d’un compte de service. Ce type de compte est conçu pour l’accès programmatique et doit être configuré avec les bons étendues d’API et la délégation à l’échelle du domaine. Ces paramètres sont configurés dans votre console Google Cloud compte.

Vérifier les politiques et les rôles

Vous devez d’abord vérifier si votre utilisateur dispose des autorisations pour créer un compte de service et générer la clé JSON du compte de service. Pour vous assurer de ne pas être bloqué par des politiques de sécurité dans votre locataire :

Accédez au console Google Cloud et connectez-vous avec vos identifiants de Super Admin.

Dans le coin supérieur gauche, ouvrez le menu déroulant Sélecteur de projet et choisissez votre ressource de niveau supérieur (Type : Organisation).

Dans le panneau de gauche, accédez à IAM & Admin → IAM.

Cliquez sur Accorder l’accès sous Afficher par principaux.

a. Sous Ajouter des principaux, saisissez l’adresse e-mail de l’utilisateur. b. Sous Attribuer des rôles, recherchez et sélectionnez Administrateur des politiques d’organisation. c. Cliquez sur Enregistrer.

Dans le panneau de gauche, sélectionnez Politiques d’organisation.

Dans la liste des politiques, recherchez et désactivez les éléments suivants :

Désactiver la création de comptes de service | Géré
Désactiver la création de comptes de service | Géré (Legacy)
Désactiver la création de clés de comptes de service | Géré
Désactiver la création de clés de comptes de service | Géré (Legacy)

Créer un compte de service

Dans la console Google Cloud, en haut à gauche, ouvrez le menu déroulant Sélecteur de projet.

Cliquez sur Nouveau projet.

Saisissez un nom de projet (par exemple, Verkada User Sync) et créez le projet.

Une fois le projet créé, confirmez qu’il est sélectionné dans la barre de navigation en haut à gauche.

Dans la barre latérale gauche, accédez à IAM & Admin → Comptes de service.

Cliquez sur + Créer un compte de service.

Remplissez les champs suivants :

Nom : Saisissez un nom descriptif (par ex., Verkada User Provisioning)
ID : Laisser tel quel ou personnaliser (optionnel)
Description : Ajoutez une note, par exemple Utilisé par Verkada pour lire les données de l’annuaire Workspace (optionnel)

Cliquez sur Créer et continuer.

Ignorez l’étape Accorder l’accès au projet — aucun rôle n’est requis ici.

Cliquez sur Continuer → Terminé.

Dans la liste des comptes de service, copiez l’ID client OAuth 2 du compte nouvellement créé. Vous aurez besoin de cet ID plus tard pour compléter la configuration.

Générer une clé JSON

Dans la liste des comptes de service, cliquez sur le nom du compte ou sélectionnez les trois points à côté de votre nouveau compte de service et choisissez Gérer les clés.

Sous l’onglet Clés, cliquez sur Ajouter une clé → Créer une nouvelle clé.

Sélectionnez JSON et cliquez sur Créer.

Un .json fichier sera téléchargé sur votre ordinateur. Enregistrez-le dans un emplacement sécurisé pour l’utiliser plus tard lors de la configuration de l’intégration dans Verkada Command.

Ce fichier JSON contient les identifiants que l’intégration Google Workspace dans Command utilise pour s’authentifier auprès des API Google via OAuth 2.0. Conservez ce fichier en lieu sûr, car il donne accès aux données de votre Workspace et ne doit jamais être partagé ni rendu public.

Activer les API Google requises

Verkada Command nécessite l’accès à des API Google Workspace spécifiques pour lire les utilisateurs, les groupes, les domaines et les journaux d’audit. Ces API doivent être activées dans votre projet Google Cloud avant que l’intégration puisse fonctionner.

Accédez au console Google Cloud, et connectez-vous avec vos identifiants de Super Admin.

Dans la barre latérale gauche, accédez à API et services → Bibliothèque d’API.

Dans la barre de recherche, trouvez et sélectionnez Admin SDK API, puis cliquez sur Activer.

Remarque : Cette API est requise pour lire les utilisateurs, les groupes et les métadonnées du domaine.

(Optionnel) Recherchez et activez l’API Reports pour permettre la surveillance des journaux d’audit et détecter les modifications de l’annuaire.

Activer la délégation à l’échelle du domaine

Pour permettre au compte de service d’usurper l’identité d’un administrateur et d’accéder aux données des utilisateurs et des groupes de votre domaine, vous devez lui accorder la délégation à l’échelle du domaine. Cela permet au compte de service d’effectuer des opérations de lecture au nom d’un administrateur sans nécessiter une ré-authentification manuelle.

Accédez au Console d’administration Google et connectez-vous avec vos identifiants de Super Administrateur pour votre locataire Google Workspace.

Depuis la page d’accueil de la Console d’administration, allez dans Sécurité → Contrôle d’accès et des données → Contrôles d’API.

Sur la page Contrôles d’API, faites défiler jusqu’à la section Délégation à l’échelle du domaine et cliquez sur Gérer la délégation à l’échelle du domaine.

Cliquez sur Ajouter une entrée et saisissez les détails suivants :

ID client : Collez l’ID client OAuth 2 de votre fichier de clé de compte de service (le client_id dans le JSON).

Étendues OAuth (séparées par des virgules) :

https://www.googleapis.com/auth/admin.directory.user.readonly,
https://www.googleapis.com/auth/admin.directory.group.readonly,
https://www.googleapis.com/auth/admin.directory.orgunit.readonly

Cliquez sur Autoriser.

La nouvelle entrée de délégation apparaîtra sur la page, confirmant que le compte de service peut désormais être utilisé par Verkada Command pour interroger les données des utilisateurs, des groupes et des audits.

Définir les valeurs des attributs utilisateur

Avant de synchroniser les utilisateurs vers Verkada Command, confirmez que les attributs clés (tels que le prénom, le nom, l’e-mail et l’identifiant employé) sont correctement renseignés dans Google Workspace.

Connectez-vous au Console d’administration Google en utilisant votre compte de Super Admin.

Allez dans Annuaire → Utilisateurs.

Sélectionnez le profil utilisateur que vous souhaitez mettre à jour.

Cliquez sur Informations de l’utilisateur, puis développez les sections pertinentes (par exemple, Informations de base ou Informations sur l’employé).

Mettez à jour les champs suivants si nécessaire :

Adresse e-mail principale
Prénom et Nom
ID employé (sous Informations sur l’employé)
Numéro de téléphone (sous Informations de contact)

Cliquez sur Enregistrer pour appliquer vos modifications.

Les attributs suivants peuvent être synchronisés depuis Google Workspace vers Verkada Command :

Nom de l’attribut Google Workspace

Champ dans Command

E-mail

Prénom

Nom

Département

Centre de coûts

ID du département

ID employé

Intitulé du poste

Titre de l’employé

Numéro de téléphone (principal domicile/travail/mobile)

Numéro de téléphone

Les utilisateurs et groupes synchronisés depuis Google Workspace sont gérés exclusivement dans Workspace et ne peuvent pas être modifiés manuellement dans Verkada Command.

Pour garantir que les numéros de téléphone des utilisateurs se synchronisent correctement vers Verkada Command, saisissez-les au format international, en incluant l’indicatif du pays et sans espaces ni tirets.

Exemple : +14155552671

Activer l’intégration dans Command

Vous avez besoin des autorisations Administrateur de l’organisation pour configurer cette intégration.

Dans Verkada Command, accédez à Tous les produits > Admin.

Dans Paramètres de l’organisation, sélectionnez Connexion & Accès → Provisionnement des utilisateurs → Google Workspace.

a. Saisissez l’adresse e-mail de votre Super Admin Google Workspace. Pour des raisons de sécurité et de continuité, Verkada recommande d’utiliser un compte de service dédié disposant de permissions d’administrateur équivalentes, plutôt qu’un compte utilisateur personnel. a. Téléchargez la clé JSON que vous avez générée dans le projet de votre console Google Cloud. b. Une fois l’authentification réussie, cliquez sur Ajouter pour sélectionner les Groupes et/ou les Unités organisationnelles que vous souhaitez synchroniser vers Command. c. Cliquez sur Activer.

Après la réussite de la première synchronisation, un bouton Synchroniser maintenant sera disponible pour des mises à jour à la demande à tout moment.

Questions fréquemment posées

Les utilisateurs se synchronisent-ils automatiquement selon un planning régulier ?

Oui, les utilisateurs sont synchronisés de votre compte Google Workspace vers Verkada Command automatiquement toutes les 40 minutes.

Les groupes Google Workspace synchronisés peuvent-ils être convertis en groupes d’accès ?

Verkada Command ne prend actuellement pas en charge la conversion des groupes Google Workspace synchronisés en groupes d’accès.

Mis à jour il y a 23 heures

Ce contenu vous a-t-il été utile ?