Intégration SCIM Microsoft Entra ID

Découvrez comment intégrer Verkada Command avec Microsoft Entra ID pour SCIM

Verkada Command s’intègre à Microsoft Entra ID en utilisant le System for Cross-Domain Identity Management (SCIM) pour l’approvisionnement automatisé des utilisateurs et des groupes.

SCIM synchronise les utilisateurs et les groupes de Microsoft Entra ID directement dans Command. Cela vous permet de :

Conserver Microsoft Entra ID comme votre IdP central.
Mettre automatiquement à jour les utilisateurs et les groupes dans Command au fur et à mesure des modifications dans Entra ID.
Attribuer et gérer les autorisations dans Command en utilisant votre structure d’identité existante.

Si votre organisation utilise SCIM, les numéros de téléphone ne peuvent être approvisionnés que via SCIM. Vous ne pourrez pas modifier votre numéro de téléphone directement dans Command.

Voir Intégration SAML Microsoft Entra ID pour les étapes d’intégration SAML.

Configuration de SCIM dans Microsoft Entra ID

Avant de configurer SCIM dans Microsoft Entra ID, vous devez générer votre jeton secret dans Command.

Dans Verkada Command, allez dans Tous les produits > Admin.

Dans Paramètres de l’organisation, sélectionnez Connexion & Accès & Journaux > Approvisionnement des utilisateurs SCIM.

Cliquez sur Ajouter un domaine et saisissez tous les domaines de messagerie pertinents que vous prévoyez d’utiliser avec SCIM.

Cela génère un jeton SCIM, qui n’est visible qu’une seule fois.

a. Cliquez Copier et stockez le jeton dans un endroit sûr pour l’utiliser ultérieurement dans la configuration. b. Cliquez Actualiser pour générer un nouveau jeton si vous n’avez pas copié votre jeton ou s’il n’est pas visible.

Depuis la page d’accueil de Microsoft Entra ID, sélectionnez Applications d’entreprise > Nouvelle application > Créer votre propre application.

Dans le panneau latéral Créer votre propre application, tapez le nom de l’application, sélectionnez l’application hors galerie, puis cliquez sur Créer.

Sous Approvisionner des comptes d’utilisateurs, cliquez sur Commencer.

Sélectionnez Gérer > Approvisionnement.

Sur la page d’approvisionnement :

a. Définissez le mode d’approvisionnement sur Automatique. b. Définissez l’URL du locataire comme :

Pour les organisations américaines : https://api.command.verkada.com/scim
Pour les organisations de l’UE : https://scim.prod2.verkada.com/scim
Pour les organisations australiennes : https://scim.prod-ap-syd.verkada.com/scimRemarque : Pour confirmer dans quelle région vous vous trouvez, reportez-vous à l’endroit où votre organisation a été créée pour Verkada.

f. Renseignez le jeton SCIM généré dans Verkada Command (étape 2) comme jeton secret.

Cliquez sur Tester la connexion. Vous devriez voir une confirmation que la connexion SCIM a réussi.

Cliquez sur Enregistrer.

Configurer les attributs pour les groupes Microsoft Entra ID

Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappages et sélectionnez Provisionner les groupes Microsoft Entra ID.

Configurez vos mappages pour correspondre à cette capture d’écran du tableau de données :

Remarque : L’ externalId l’attribut est ajouté par défaut. Supprimez cet attribut pour éviter des problèmes avec la configuration.

(Facultatif) Si vous devez ajouter un mappage :

a. Cliquez Ajouter un nouveau mappage > sélectionnez le Attribut source pour correspondre à l’attribut Microsoft Entra ID ci‑dessus. b. Définissez le Attribut cible pour correspondre à l’ attribut customappsso ci‑dessus. c. Cliquez sur OK.

Cliquez sur Enregistrer et confirmez les modifications, si nécessaire.

En haut de la page, sélectionnez Approvisionnement pour revenir à la page Approvisionnement.

Configurer les attributs pour les utilisateurs Microsoft Entra ID

Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappages, puis sélectionnez Provisionner les utilisateurs Microsoft Entra ID pour modifier les mappages d’utilisateurs.

Mettez à jour vos mappages pour correspondre au tableau d’attributs ci‑dessous.

Remarque : L’ Changer l’attribut sous Attribut Microsoft Entra ID est ajouté en tant que Expression type de mappage.

Switch([IsSoftDeleted], , "False", "True", "True", "False")

Remarque : Attribut source est l’attribut Microsoft Entra ID et Attribut cible est l’attribut customerappsso. Si certains des attribut customappsso attributs ne sont pas disponibles en tant que Attribut cible, vous devrez peut‑être les ajouter à votre plateforme Microsoft Entra ID comme option. Pour ce faire, cochez la case Afficher les options avancées et cliquez sur Modifier la liste des attributs pour customappsso.

Remarque : Les utilisateurs gérés par SCIM n’ont plus la possibilité de modifier leur numéro de téléphone dans Command ; à la place, ceux‑ci ne peuvent être approvisionnés que via SCIM. Côté IdP, vous pouvez configurer votre mappage d’attributs de sorte que n’importe quel champ de votre instance IdP soit mappé au champ du numéro de téléphone dans Command. Vous pouvez également le configurer de sorte que le champ no dans l’IdP soit mappé au champ du numéro de téléphone champ dans Command. Cependant, même dans ce cas, les numéros de téléphone restent un champ verrouillé dans Command et ne peuvent être modifiés que via SCIM.

Cliquez sur Enregistrer pour confirmer les modifications.

En haut, sélectionnez Approvisionnement et activez l’état d’approvisionnement.

Selon les exigences, ajustez la portée vers l’une des options requises :

Synchroniser tous les utilisateurs et groupes.
Synchroniser uniquement les utilisateurs et groupes attribués.
Remarque : Assurez‑vous que les utilisateurs et groupes sont attribués à l’application d’entreprise sous Utilisateurs et groupes. Ceux qui sont attribués sont ceux approvisionnés et présents dans Command.

Vérifiez que les utilisateurs sont attribués à l’application. Une fois le cycle d’approvisionnement initial écoulé :

a. Vous devriez voir le nombre total d’utilisateurs et de groupes qui ont été approvisionnés avec succès sous Aperçu. b. Dans Command, vous devriez voir ces utilisateurs et groupes renseignés avec le tag Géré par SCIM . Ces utilisateurs et groupes synchronisés peuvent désormais être utilisés dans Command et se voir attribuer des autorisations pour contrôler l’accès à la plateforme Command.

Tableau des attributs

Supprimer les utilisateurs gérés par SCIM de Command

Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez supprimer l’utilisateur de Command de deux façons :

Supprimer l’utilisateur – Le compte est déplacé vers la page Utilisateurs supprimés mais conserve les enregistrements historiques, les rôles et les autorisations.
Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est ré‑approvisionné via SCIM, Command crée un nouvel enregistrement utilisateur.

Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.

(Facultatif) Ajouter des identifiants d’accès aux utilisateurs SCIM

Connectez‑vous à votre portail Azure.

Dans la barre de recherche, tapez et sélectionnez Applications d’entreprise.

Sélectionnez votre application Verkada SCIM.

Dans le panneau de gauche, cliquez sur Gérer > Approvisionnement.

Développez le sous‑menu Mappages et sélectionnez Provisionner les utilisateurs Microsoft Entra ID.

En bas, cliquez sur Afficher les options avancées > Modifier la liste d’attributs pour customappsso.

a. Ajoutez les attributs du tableau ci‑dessous. b. Cliquez sur Enregistrer.

Retournez à Provisionner les utilisateurs Microsoft Entra ID et sélectionnez Ajouter un nouveau mappage.

a. Utilisez extensionAttributes 1-5 comme Attributs source et mappez‑les aux nouveaux attributs que nous avons créés en utilisant Format de carte, Numéro de carte, Numéro de carte hexadécimal, Statut des identifiants, et Code d’établissement comme attributs cibles.

Référence Formats de cartes acceptables pour les formats de carte acceptés et leurs longueurs associées de code d’établissement, numéro de carte et/ou numéro de carte hexadécimal.
Statut des identifiants peut être "active", "désactivé" ou "supprimé"

d. Cliquez sur Enregistrer.

Tableau des attributs

Nom

Type

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat

Chaîne

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber

Chaîne

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex

Chaîne

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus

Chaîne

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode

Chaîne

Modifier l’enregistrement de l’application

Toute application d’entreprise activée pour SCIM créée sur Entra AD nécessite généralement son propre enregistrement d’application.

Dans la barre de recherche, tapez et sélectionnez Enregistrements d’applications.

Basculez vers l’onglet Toutes les applications et recherchez le nom de votre application Verkada SCIM.

Sur la page Aperçu, notez l’ID d’application (client) et l’ID de répertoire (locataire) de votre enregistrement d’application. Vous en aurez besoin plus tard pour configurer les identifiants pour votre application Command depuis votre enregistrement d’application.

Dans la navigation de gauche, cliquez sur Gérer.

a. Sous Certificats & secrets :

Cliquez sur Nouveau secret client.
Définissez la Description sur "Identifiants Verkada SCIM" et définissez la date d’expiration du secret selon votre préférence.
Copiez et stockez la valeur affichée dans le Valeur du nouveau secret client créé. Ceci ne sera affiché qu’une seule fois.

e. Sous Autorisations API:

Cliquez sur Ajouter des autorisations > Microsoft Graph.
Sélectionnez Autorisations d’application et recherchez "User.ReadWrite.All".
1. Cochez la case pour attribuer les autorisations.
2. Cliquez sur Ajouter des autorisations.
Pour éviter d’avoir à examiner et approuver manuellement toutes les modifications d’étape communiquées entre Azure Entra et votre application Command, sélectionnez Accorder le consentement d’administrateur pour Default Director.

Reportez‑vous à cette liste d’identifiants pour formats de cartes acceptables.

Accéder et mettre à jour vos identifiants

Pour définir les attributs d’extension et les informations d’identifiant pour un utilisateur particulier, utilisez les instructions de l’API Graph à : https://learn.microsoft.com/en-us/graph/extensibility-overview.

Remarque : Définir l’attribut credentialStatus sur active lors de la configuration d’un identifiant pour un utilisateur est nécessaire pour synchroniser avec succès les identifiants avec Command. Où le statut des identifiants (credentialStatus) est extensionAttribute4.

Exemple :

curl --location --request PATCH 'https://graph.microsoft.com/v1.0/users/<UserID>' \
--header 'Authorization: Bearer <secure token>' \
--header 'Content-Type: application/json' \
--data '{
    "onPremisesExtensionAttributes": {
        "extensionAttribute1": "Standard 26-bit Wiegand",
        "extensionAttribute2": "7777",
        "extensionAttribute3": "7",
        "extensionAttribute4": "active",
        "extensionAttribute5": "111"
    }
}'

Synchroniser l’ID externe vers Verkada

Le champ externalId vous permet d’attribuer un identifiant persistant et globalement unique à vos utilisateurs via Microsoft Entra que Verkada peut référencer à travers les intégrations. C’est particulièrement utile dans les grands environnements d’entreprise où les utilisateurs peuvent devoir être distingués entre les systèmes, ou lorsque la synchronisation des identifiants (par ex. cartes d’accès) doit être liée à une clé d’identité unique. Verkada prend en charge la réception et le stockage de cette valeur dans le cadre de son schéma d’utilisateur SCIM. Le champ est sensible à la casse et est généralement configuré pour accepter une valeur de chaîne provenant d’un attribut désigné dans votre instance Microsoft Entra. Cette fonctionnalité prend en charge des flux de travail avancés tels que la gestion personnalisée des identifiants, l’automatisation du cycle de vie des employés et l’appariement cohérent des utilisateurs entre les organisations.

Mapper externalId d’Azure vers Verkada

Pour synchroniser une valeur externalId personnalisée depuis Microsoft Entra ID (Azure) vers Verkada, suivez ces étapes :

Connectez‑vous à votre portail Azure.

Dans la barre de recherche, tapez et sélectionnez Applications d’entreprise.

Sélectionnez votre application Verkada SCIM.

Dans le panneau de gauche, cliquez sur Gérer > Approvisionnement.

Développez le sous‑menu Mappages et sélectionnez Provisionner les utilisateurs Microsoft Entra ID.

Faites défiler vers le bas et cliquez sur Afficher les options avancées > Modifier la liste d’attributs pour customappsso.

Ajoutez le nouvel attribut suivant :

urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId

Type : Chaîne
Sensible à la casse : Oui

Cliquez sur Enregistrer.

Retournez à Provisionner les utilisateurs Microsoft Entra ID et cliquez sur Ajouter un nouveau mappage.

Pour Attribut source, sélectionnez le champ d’Azure AD où votre ID externe est stocké (par ex. extensionAttribute1, employeeId, etc.).

Pour Attribut cible, utilisez : urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId

Cliquez sur OK puis sur Enregistrer.

Une fois provisionnée, la valeur external_id sera stockée dans l’enregistrement SCIM de l’utilisateur au sein de Verkada. Cela fournit aux utilisateurs un ID flexible interrogeable via API qui reste unique pour leur organisation et entièrement sous leur contrôle, sans être lié aux identifiants internes de Verkada ni exposé dans l’interface utilisateur.

Vous préférez le voir en action ? Consultez la vidéo tutorielle.

Mis à jour il y a 1 jour

Ce contenu vous a-t-il été utile ?