Contact Support

Intégration SCIM Okta

Découvrez comment configurer SCIM avec Okta

Verkada Command s'intègre à Okta en utilisant le System for Cross-Domain Identity Management (SCIM) pour l'approvisionnement automatisé des utilisateurs et des groupes.

SCIM synchronise les utilisateurs et les groupes d'Okta directement dans Command. Cela vous permet de :

  • Conserver Okta comme votre fournisseur d'identité central.

  • Mettre automatiquement à jour les utilisateurs et les groupes dans Command lorsque des modifications sont effectuées dans Okta.

  • Attribuer et gérer les autorisations dans Command en utilisant votre structure d’identité existante.

Si votre organisation utilise SCIM, les numéros de téléphone ne peuvent être approvisionnés que via SCIM. Vous ne pourrez pas modifier votre numéro de téléphone directement dans Command.

Voir Intégration Okta SAML pour le SAML étapes d'intégration.

Avant de commencer

1

Vous avez besoin d'un jeton API pour vous connecter au point de terminaison SCIM de Verkada. Ce jeton est unique pour chaque organisation Verkada. Découvrez comment obtenir un jeton API SCIM.

2

Pour une intégration réussie, choisissez la meilleure voie pour votre région :

Pour confirmer dans quelle région vous vous trouvez, reportez-vous à l’endroit où votre organisation a été créée pour Verkada.

Créer une application Verkada dans Okta

région US

Connectez-vous à Okta. Dans le panneau de navigation à gauche, cliquez sur Applications. En haut, cliquez sur Parcourir le catalogue d'applications. Dans la barre de recherche, tapez Verkada, cliquez sur l'application, puis cliquez sur Ajouter l'intégration. Pour Libellé de l'application, tapez Verkada (ou tout nom unique que vous préférez) et cliquez sur Terminé.

région EU et AUS

Connectez-vous à Okta. Accédez à la page Applications et cliquez sur Créer une intégration d'application. Sur Créer une nouvelle intégration d'application, sélectionnez SAML 2.0 et cliquez sur Suivant. Dans le champ Nom de l'application, saisissez un nom et cliquez sur Suivant. Sur Créer l'intégration SAML : a. Pour l'URL de connexion unique : Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/ où est le nom court de votre organisation. Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/login/ où est le nom court de votre organisation. b. Pour l'Audience URI (SP Entity ID) : Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/ où est le nom court de votre organisation. Pour les organisations AUS : https://saml.ap-syd.verkada.com/saml/sso/ où est le nom court de votre organisation. c. Faites défiler vers le bas et cliquez sur Suivant. Sélectionnez le bouton radio Je suis un client Okta ajoutant une application interne et cliquez sur Terminer (optionnellement, vous pouvez ignorer les questions supplémentaires d'Okta). Dans la navigation de gauche, cliquez sur Applications et cliquez sur votre application nouvellement créée (si vous n'êtes pas automatiquement redirigé vers votre application). En haut, sélectionnez l'onglet Général : a. En haut à droite, cliquez sur Modifier pour les paramètres de l'application. b. Cochez la case Activer l'approvisionnement SCIM. c. Cliquez sur Enregistrer. Sur Connexion SCIM : a. En haut de votre application nouvellement créée, sélectionnez l'onglet Provisioning. b. Cliquez sur Modifier pour les paramètres de connexion SCIM. c. Pour l'URL de base du connecteur SCIM Pour les organisations EU, https://scim.prod2.verkada.com/scim Pour les organisations AUS, https://scim.ap-syd.verkada.com/scim d. Pour le champ Identifiant unique pour les utilisateurs, saisissez userName. e. Cochez les cases Push New Users, Push Profile Updates et Push Groups. f. Cliquez sur le menu déroulant Authentication Mode et sélectionnez HTTP Header. Copiez et collez le jeton SCIM depuis Command dans le champ Authorization. Cliquez sur Enregistrer.

Configurer l'application Verkada dans Okta

région US

Connectez-vous à Okta. À gauche, cliquez sur Applications et cliquez sur l'application Verkada. À gauche, sélectionnez l'onglet Provisioning. Sous l'onglet Provisioning > Integration : a. Cliquez sur Configure API Integration. b. Cochez la case Enable API integration. c. Dans le champ API Token, copiez et collez votre jeton API généré par Command. d. Cliquez sur Enregistrer. Sous l'onglet Provisioning > Settings : a. Sélectionnez To App et cliquez sur Modifier. b. Cochez la case Enable pour Create Users, Update User Attributes et Deactivate Users. c. Cliquez sur Enregistrer. Sous l'onglet Provisioning > section To App > Verkada Attribute Mappings, cliquez sur Go to Profile Editor. Assurez-vous que les attributs correspondent, comme dans l'exemple ci-dessous. Vous pouvez ajouter plus d'attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.

région EU et AUS

Connectez-vous à Okta. À gauche, cliquez sur Applications et cliquez sur l'application Verkada. Sous l'onglet Provisioning > Settings : a. Sélectionnez To App et cliquez sur Modifier. b. Cochez la case Enable pour Create Users, Update User Attributes et Deactivate Users. c. Cliquez sur Enregistrer. Vous pouvez ajouter plus d'attributs que ceux affichés. Voir Ajouter des attributs aux utilisateurs gérés par SCIM.

Approvisionner les utilisateurs et les groupes

Les utilisateurs ajoutés à l'application sont poussés automatiquement ; les groupes doivent être poussés manuellement.

Utilisateurs dans Okta

Connectez-vous à Okta. À gauche, cliquez sur Applications et cliquez sur l'application Verkada. Cliquez sur l'onglet Assignments. Cliquez sur le menu déroulant Assign et sélectionnez Assign to People. Cliquez sur Assign pour les personnes que vous souhaitez approvisionner dans l'application. Vous verrez les informations de cet utilisateur. En bas, cliquez sur Enregistrer et Retour. Lorsque vous êtes redirigé vers la page Assign, cliquez sur Terminé.

Groupes dans Okta

Connectez-vous à Okta. À gauche, cliquez sur Applications et cliquez sur l'application Verkada. En haut, sélectionnez l'onglet Push Groups. Cliquez sur le menu déroulant Push Groups pour trouver des groupes (par nom ou par règle). Trouvez le groupe que vous souhaitez pousser et cliquez sur Enregistrer. Si réussi, le statut de Push affiche Actif. Command étiquette ensuite les utilisateurs et les groupes comme SCIM Managed, s'ils sont importés via SCIM.

Alternativement, vous pouvez utiliser le Assigner aux groupes option.

Connectez-vous à Okta. À gauche, cliquez sur Applications et cliquez sur l'application Verkada. Cliquez sur l'onglet Assignments. Cliquez sur le menu déroulant Assign et sélectionnez Assign to Groups. Cliquez sur Assign pour les groupes que vous souhaitez approvisionner dans l'application. Vous verrez les informations pour ce groupe. En bas, cliquez sur Enregistrer et Retour. Lorsque vous êtes redirigé vers la page Assign, cliquez sur Terminé.

Ajouter des attributs aux utilisateurs gérés par SCIM (optionnel)

région US

Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization

Comment ça fonctionne

Connectez-vous à Okta. Accédez à la page Applications et cliquez sur l'application Verkada. Sélectionnez l'onglet Provisioning. Sous Verkada Attribute Mappings, cliquez sur Go to Profile Editor. Dans Attributs, cliquez sur Add Attribute. Dans les champs Display name, Variable name et External name, saisissez le nom de l'attribut. Le nom externe d'un numéro de téléphone principal doit être saisi comme phoneNumbers.^[type==work].value. Dans le champ external namespace, saisissez urn:ietf:params:scim:schemas:core:2.0:User. Sous User Permission, sélectionnez le bouton radio Read-Write, puis cliquez sur Enregistrer.

région EU et AUS

Verkada et Okta prennent en charge ces attributs : userName (par défaut), givenName (par défaut), familyName (par défaut), title, employeeNumber, primaryPhone, department, organization

Pour approvisionner des numéros de téléphone hors des États-Unis dans Command, le numéro de téléphone de l'utilisateur dans le profil Okta doit inclure l'indicatif du pays. Par exemple, 0123 456 789 doit être saisi dans Okta comme +61 123 456 789 pour être correctement importé dans Command.

Comment ça fonctionne

Connectez-vous à Okta. Accédez à la page Applications et cliquez sur l'application Verkada. Allez dans l'onglet Provisioning > Go to Profile Editor. Cliquez sur Add Attribute. Dans la fenêtre contextuelle : a. Saisissez un nom d'affichage unique. a. Saisissez le nom de variable. Vous devrez vous en souvenir pour une utilisation future. b. Saisissez un nom externe. Doit être l'un des attributs pris en charge. c. Pour external namespace, saisissez urn:ietf:params:scim:schemas:core:2.0:User d. Sélectionnez le bouton radio Read-Write. e. Cliquez sur Enregistrer. Dans Profile Editor, cliquez sur Mappings. Impossible d'afficher le contenu. Cliquez sur Okta User to [nom de votre application verkada]. Trouvez votre attribut nouvellement créé et non mappé. Saisissez l'attribut utilisateur approprié pour l'utilisateur Okta afin de mapper l'attribut nouvellement créé. Cliquez sur Save Mappings.

Supprimer les utilisateurs gérés par SCIM de Command

Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez supprimer l’utilisateur de Command de deux façons :

  • Supprimer l’utilisateur – Le compte est déplacé vers la page Utilisateurs supprimés mais conserve les enregistrements historiques, les rôles et les autorisations.

  • Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est ré‑approvisionné via SCIM, Command crée un nouvel enregistrement utilisateur.

Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.

Ajouter des identifiants d'accès aux utilisateurs gérés par SCIM (optionnel)

1

Connectez-vous à Okta.

2

Dans la navigation de gauche, sélectionnez Directory > Profile Editor.

a. Sélectionnez Utilisateur (par défaut) comme type d'utilisateur. b. Cliquez Add Attribute et ajoutez les attributs personnalisés à partir de la table ci‑dessous.

3

Dans la navigation de gauche, sélectionnez Applications et ouvrez votre application Verkada gérée par SCIM.

4

Dans l'onglet Provisioning, sélectionnez To App > Go to Profile Editor.

5

Cliquez sur Add Attribute pour créer les attributs énumérés ci-dessus en utilisant exactement le même Type de données, Nom d'affichage, Nom de variable, Description et valeurs ENUM.

a. Définissez le External namespace valeur pour tous les attributs sur :

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

b. Définir Type d'attribut sur Personnel*.* c. Cliquez Enregistrer pour ajouter l'attribut.

6

Cliquez sur Mappings pour mapper les attributs de l'application Okta User vers votre application SCIM.

a. Sélectionnez Okta User vers YourSCIMApp en haut et mappez les attributs personnalisés créés pour l'utilisateur par défaut Okta à ceux créés sur votre application SCIM. b. Cliquez sur Save Mappings et Appliquer les mises à jour maintenant pour appliquer les modifications.

7

Les attributs devraient maintenant être disponibles pour être utilisés dans les profils de tous les utilisateurs de votre application Okta. Une fois synchronisés, vous pouvez voir les identifiants dans Command sous Accès > Utilisateurs d'accès > Profil utilisateur > Identifiants.

Tableau des attributs

Reportez-vous à cette liste d'identifiants pour la liste des formats de cartes acceptables.

Type de données

Nom d'affichage

Nom externe

Espace de noms externe

Description

ENUM

chaîne

Format de carte

cardFormat

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

Format de carte pour l'identifiant d'accès

Laisser décoché

chaîne

Numéro de carte

cardNumber

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

Numéro de carte pour l'identifiant d'accès

Laisser décoché

chaîne

Numéro de carte hexadécimal

cardNumberHex

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

Représentation hexadécimale du numéro de carte

Laisser décoché

chaîne

Statut des identifiants

credentialStatus

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

Statut de l'identifiant de carte

Case à cocher : active → active, deactivated → désactivé, deleted → supprimé

chaîne

Code d’établissement

facilityCode

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

Code d'installation associé à la carte

Laisser décoché

chaîne

ID externe

externalId

urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User

ID unique défini par le client, non affiché dans l'interface utilisateur

Laisser décoché

chaîne

ID du département

costCenter

urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User

Identifiant utilisé pour mapper le département de l'utilisateur dans Command

Laisser décoché

chaîne

Titre

title

urn:ietf:params:scim:schemas:core:2.0:User

Titre ou rôle de l'utilisateur

Laisser décoché

chaîne

Numéro d'employé

employeeNumber

urn:ietf:params:scim:schemas:core:2.0:User

ID employé

Laisser décoché

chaîne

Numéro de téléphone

phoneNumbers[type eq "work"].value

urn:ietf:params:scim:schemas:core:2.0:User

Numéro de téléphone professionnel

Laisser décoché

chaîne

Département

department

urn:ietf:params:scim:schemas:core:2.0:User

Département de l'utilisateur

Laisser décoché

chaîne

Organisation

organization

urn:ietf:params:scim:schemas:core:2.0:User

Entreprise ou organisation

Laisser décoché

Ajouter externalId aux utilisateurs gérés par SCIM (optionnel)

Vous pouvez synchroniser un identifiant unique de votre choix vers Command en le mappant au champ externalId. Cela permet des cas d'utilisation avancés comme la désambiguïsation des utilisateurs entre les systèmes ou la synchronisation des identifiants d'accès vers une référence utilisateur unique. Cette valeur n'est pas affichée dans l'interface Command mais est stockée dans la base de données et peut être interrogée via l'API.

Pour ajouter l'attribut externalId et le mapper depuis Okta :

1

Créer l'attribut dans le profil de l'application SCIM

  • Dans Okta, allez à Directory > Profile Editor

  • Sélectionnez votre application Verkada gérée par SCIM

  • Cliquez sur Add Attribute et ajoutez les détails de l'attribut tels qu'indiqués dans le tableau ci-dessus.

  • Cliquez sur Enregistrer

2

Mapper l'attribut

  • Toujours dans Profile Editor, cliquez sur Mappings

  • Choisissez Okta User vers [Votre application SCIM]

  • Trouvez le champ source que vous souhaitez mapper (par ex., user.nickName, employeeNumber ou un autre champ personnalisé)

  • Mappez-le vers verkadaExternalId

  • Cliquez sur la flèche entre les champs et sélectionnez Appliquer le mapping lors de la création et de la mise à jour de l'utilisateur

  • Cliquez sur Save Mappings

3

Confirmer que l'attribut est rempli

  • Accédez à Directory > People

  • Ouvrez un profil utilisateur et assurez-vous que le champ source que vous mappez (par ex., Surnom) a une valeur

  • Depuis le SCIM App > onglet Provisioning, utilisez Forcer la synchronisation pour pousser les mises à jour si nécessaire ​

Reportez-vous à cette liste d'identifiants pour la liste des formats de cartes acceptables.

Problèmes connus

  • La mise à jour des noms d'utilisateur (e-mails) n'est pas automatiquement appliquée dans Command. Si vous devez changer un nom d'utilisateur, désaffectez l'utilisateur de l'application SAML, puis réaffectez l'utilisateur à l'application pour que le changement prenne effet.

  • Si un nouvel utilisateur ne peut pas se connecter via SSO, cela peut être parce que le domaine de messagerie n'est pas ajouté à la configuration SSO dans l'arrière-plan de Verkada. Si l'e-mail de l'utilisateur est en dehors des domaines de messagerie fournis lors de la configuration du SSO, cela empêche l'utilisateur d'utiliser le SSO. Si c'est la cause du problème, vous devez modifier la configuration SSO et ajouter ce domaine pour remédier au problème.

  • Si vous rencontrez cette erreur lors de l'approvisionnement des utilisateurs "Erreur lors de la tentative de poussée de la mise à jour du profil pour l'utilisateur : Bad Request. Erreurs signalées par le serveur distant : Requête invalide", voir cet article Okta pour les étapes de dépannage.

  • Si vous rencontrez d'autres problèmes lors de la configuration du SSO, contactez le service d’assistance Verkada.

Vous préférez le voir en action ? Consultez la vidéo tutorielle.

Mis à jour

Ce contenu vous a-t-il été utile ?