# Répertoires pour la gestion des utilisateurs et des groupes Les répertoires permettent aux organisations de segmenter la gestion des utilisateurs et des groupes en conteneurs à portée définie. Chaque répertoire peut inclure un sous-ensemble des utilisateurs ou des groupes d’utilisateurs d’une organisation (à la fois les groupes d’utilisateurs Command et les groupes de contrôle d’accès). Cette structure permet aux organisations de déléguer la gestion des utilisateurs à des administrateurs régionaux ou fonctionnels sans accorder d’autorisations à l’échelle de l’organisation. Par exemple, un administrateur gérant l’accès par badge pour le bureau de San Francisco peut être limité au « répertoire SF ». *** ## Répertoires dans Command Les répertoires permettent aux organisations de segmenter la gestion des utilisateurs et des groupes, offrant ainsi un contrôle sur les autorisations, la visibilité et le périmètre administratif. Avec les répertoires, vous pouvez : * Restreindre les autorisations de consultation, de modification ou de création des utilisateurs et des groupes à un répertoire spécifique. * Autoriser les administrateurs de contrôle d’accès à gérer les utilisateurs, les groupes d’accès et les identifiants d’un site sans affecter les autres sites. * Limiter la visibilité et les droits de modification afin que les administrateurs soumis à un répertoire ne puissent agir que sur les utilisateurs et les groupes de leur répertoire attribué. * Masquer éventuellement tous les utilisateurs et groupes en dehors du répertoire attribué à un administrateur. ### Organiser les répertoires Les organisations peuvent déplacer des utilisateurs et des groupes existants vers un répertoire ou en créer de nouveaux directement dans un répertoire. Les utilisateurs et les groupes sont organisés à partir de Global, le conteneur à l’échelle de l’organisation, dans des répertoires individuels. ### Global Global contient tous les utilisateurs et groupes par défaut. Seuls les rôles accordés au niveau de l’organisation offrent un contrôle administratif sur Global et sur tous les répertoires. Les utilisateurs synchronisés par SCIM sont synchronisés vers Global, et les groupes au niveau Global peuvent servir de sources d’attribution entre les répertoires. ### Répertoire Un répertoire est un conteneur logique pour les utilisateurs et les groupes au sein d’une organisation. Il est généralement utilisé pour représenter des sites, des régions, des campus, des unités commerciales ou des locataires, permettant une administration à portée définie. Les répertoires peuvent : * Contenir un sous-ensemble d’utilisateurs et de groupes (groupes Command et groupes de contrôle d’accès). * Exister uniquement sous Global (l’imbrication n’est pas prise en charge). * Être gérés indépendamment via des rôles à portée de répertoire. * Se remplir automatiquement avec des utilisateurs et des groupes via la synchronisation SCIM ou des groupes Command/Contrôle d’accès existants. * Se mettre à jour automatiquement lorsque des utilisateurs sont ajoutés ou supprimés des groupes synchronisés ou sources. * Restreindre éventuellement la visibilité afin que les administrateurs limités à un répertoire ne voient que les utilisateurs et groupes de leur répertoire. *** ## Gérer les répertoires ### Utilisateurs * Les utilisateurs peuvent être membres d’un ou plusieurs répertoires. * Les utilisateurs créés dans un répertoire ou ajoutés à un répertoire resteront néanmoins contenus dans Global. * Les utilisateurs synchronisés par SCIM sont toujours placés dans Global par défaut. ### Groupes Comme les utilisateurs, les groupes (à la fois les groupes Command et les groupes d’accès) peuvent être placés dans des répertoires. * Chaque groupe ne peut exister que dans un seul répertoire. * Un groupe ne peut contenir que des utilisateurs appartenant au même répertoire. * Les groupes sont soumis à la portée de leur répertoire et ne peuvent pas être référencés dans d’autres répertoires. * Les groupes peuvent être remplis automatiquement à l’aide de groupes synchronisés via SCIM ou de groupes Command/Contrôle d’accès existants comme sources d’attribution, garantissant que l’appartenance reste à jour sans modifications manuelles. *** ## Rôles et autorisations Les autorisations de gestion des utilisateurs dans Verkada sont accordées via les rôles Command et les rôles de gestion des utilisateurs d’accès. Par défaut, ces rôles offrent des autorisations sur tous les utilisateurs, les groupes Command et les groupes d’accès à travers l’organisation. Avec les répertoires, ces rôles peuvent éventuellement être limités à un répertoire spécifique. La version à l’échelle de l’organisation de ces rôles reste disponible. L’attribution d’un rôle à l’échelle de l’organisation à un utilisateur lui accorde des autorisations sur tous les utilisateurs et groupes dans Global et dans tous les répertoires. Les utilisateurs auxquels un de ces rôles a été attribué avant l’activation des répertoires conserveront automatiquement la version du rôle à l’échelle de l’organisation. ### Rôles et autorisations spécifiques aux répertoires | Rôle | Portée | Autorisations clés de gestion des utilisateurs | | --------------------------------------- | ----------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Admin de l’organisation** | À l’échelle de l’organisation | Créer et supprimer des répertoires. Gérer tous les utilisateurs et groupes Command, y compris la désactivation des utilisateurs, la suppression des utilisateurs et la suppression définitive des utilisateurs. | | **Admin utilisateur Command** | À l’échelle de l’organisation | Créer et modifier des utilisateurs et des groupes Command dans Global et dans tous les répertoires. Désactiver des utilisateurs, supprimer des utilisateurs et retirer des utilisateurs des répertoires. Ne peut pas supprimer définitivement des utilisateurs. | | **Visiteur d’utilisateurs Command\*** | À l’échelle de l’organisation | Afficher les utilisateurs et les groupes | | **Admin utilisateur d’accès** | À l’échelle de l’organisation | Créer, modifier et supprimer des utilisateurs et des groupes Command dans Global et dans tous les répertoires | | **Gestionnaire d’utilisateurs d’accès** | À l’échelle de l’organisation | Modifier les utilisateurs et les appartenances aux groupes d’accès dans Global et dans tous les répertoires | | **Gestionnaire d’identifiants d’accès** | À l’échelle de l’organisation | Modifier et supprimer les identifiants des utilisateurs (cartes, codes PIN, déverrouillages mobiles) dans Global et dans tous les répertoires | | **Admin utilisateur Command** | Répertoire | Créer et modifier des utilisateurs et des groupes Command dans le répertoire. Retirer des utilisateurs du répertoire (les utilisateurs reviennent à Global) ou désactiver des utilisateurs. Ne peut pas supprimer les utilisateurs ni les supprimer définitivement. | | **Visiteur d’utilisateurs Command** | Répertoire | Afficher les utilisateurs et les groupes dans le répertoire concerné | | **Admin utilisateur d’accès** | Répertoire | Créer, modifier et supprimer des utilisateurs et des groupes Command dans le répertoire | | **Gestionnaire d’utilisateurs d’accès** | Répertoire |

Créer des utilisateurs et des identifiants

Gérer l’appartenance aux groupes dans le répertoire

| | **Gestionnaire d’identifiants d’accès** | Répertoire | Créer et modifier les identifiants des utilisateurs dans le répertoire | Avec les rôles limités à un répertoire, les administrateurs ne peuvent voir et gérer que les utilisateurs, les groupes et les identifiants de leur répertoire attribué. L’accès et la visibilité en dehors du répertoire sont entièrement restreints. {% hint style="warning" %} **\*** Le rôle Visiteur d’utilisateurs Command n’est disponible à l’attribution aux utilisateurs que si la visibilité limitée des utilisateurs est activée. {% endhint %} *** ## Configuration ### Activer les répertoires Toutes les fonctionnalités des répertoires sont désactivées par défaut. Les répertoires peuvent être activés depuis le Gestionnaire de fonctionnalités. Une fois activés, les répertoires peuvent être créés et gérés depuis la **Admin >** **Gestion des utilisateurs** page dans Command. {% stepper %} {% step %} **Dans Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Sous Paramètres de l’organisation, sélectionnez Gestionnaire de fonctionnalités.** {% endstep %} {% step %} **Sous Command, sélectionnez Activer à côté de Répertoires.** {% endstep %} {% endstepper %} Après l’activation des répertoires : * Tous les utilisateurs, groupes et attributions de rôles existants restent visibles dans la vue Global. * Vous pouvez créer des répertoires pour gérer les utilisateurs et les groupes dans des zones à portée définie. * Pour masquer complètement les utilisateurs et groupes hors périmètre pour les administrateurs limités à un répertoire, activez **Visibilité limitée des utilisateurs pour les rôles de site** dans le Gestionnaire de fonctionnalités. {% hint style="danger" %} Vous ne pourrez pas activer les répertoires si votre organisation a des utilisateurs auxquels des rôles hérités de contrôle d’accès sont attribués. Voir [Rôles hérités de contrôle d’accès](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/users-and-credentials/add-and-modify-access-groups/legacy-access-control-roles) pour plus d’informations. {% endhint %} ### Créer un répertoire {% stepper %} {% step %} **Dans Verkada Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Dans la navigation de gauche, sélectionnez Gestion des utilisateurs.** {% endstep %} {% step %} **En haut à gauche, cliquez sur Global.** a. À côté de **Répertoires,** cliquez sur :plus:.\ b. Sélectionnez **Nouveau répertoire**.\ c. Saisissez un nom unique à l’échelle mondiale.\ d. Appuyez sur Entrée sur votre clavier pour enregistrer. {% endstep %} {% endstepper %} {% hint style="warning" %} La création automatique d’un répertoire à partir d’un site ne copiera que le nom du site lors de la création du répertoire. Les noms du répertoire et du site ne resteront pas synchronisés après la création. {% endhint %} Après la création des répertoires : * Déplacez les utilisateurs et les groupes existants de Global vers les répertoires souhaités. * Créez de nouveaux utilisateurs ou groupes directement dans un répertoire. * Remplissez automatiquement les répertoires à l’aide de groupes synchronisés via SCIM ou de groupes Command/Contrôle d’accès existants comme sources d’attribution. * Lorsque **Visibilité limitée des utilisateurs pour les rôles de site** est activé dans le Gestionnaire de fonctionnalités, les administrateurs limités à un répertoire ne peuvent voir que les utilisateurs et groupes de leur répertoire attribué. ### Ajouter des utilisateurs à un répertoire ### Utilisateur existant {% stepper %} {% step %} **Dans Verkada Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Allez dans Gestion des utilisateurs > Utilisateurs** ou sélectionnez Utilisateurs et autorisations puis cliquez sur Utilisateurs. {% endstep %} {% step %} **Sélectionnez un ou plusieurs utilisateurs puis cliquez sur Ajouter au répertoire.** a. Sélectionnez les répertoires nécessaires.\ b. Cliquez sur **Terminé.** {% endstep %} {% endstepper %} ### Nouvel utilisateur {% stepper %} {% step %} **Dans Verkada Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Allez dans Gestion des utilisateurs > Utilisateurs** ou sélectionnez Utilisateurs et autorisations puis cliquez sur Utilisateurs. {% endstep %} {% step %} **En haut à droite, cliquez sur Ajouter un utilisateur.** a. Suivez les instructions à l’écran pour créer un nouvel utilisateur.\ b. Sous **Répertoires**: 1. Sélectionnez les répertoires nécessaires. 2. Cliquez sur **Terminé.** e. Continuez avec les étapes de validation supplémentaire.\ f. Cliquez sur **Créer un nouvel utilisateur.** {% endstep %} {% endstepper %} ### Ajouter des groupes à un répertoire ### Groupes existants {% stepper %} {% step %} **Dans Verkada Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Allez dans Gestion des utilisateurs > Groupes** ou sélectionnez Utilisateurs et autorisations puis cliquez sur Groupes. {% endstep %} {% step %} **Sélectionnez un ou plusieurs groupes puis cliquez sur Ajouter au répertoire > Déplacer vers le répertoire.** {% endstep %} {% step %} **Sélectionnez un seul répertoire puis cliquez sur Terminé.** {% endstep %} {% endstepper %} {% hint style="danger" %} Lorsque vous déplacez un groupe vers un répertoire, tous ses utilisateurs sont ajoutés à ce répertoire s’ils n’en sont pas déjà membres. La suppression ultérieure du groupe ne supprime pas ses utilisateurs du répertoire. {% endhint %} ### Nouveaux groupes {% stepper %} {% step %} **Dans Verkada Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Allez dans Gestion des utilisateurs > Groupes** ou sélectionnez Utilisateurs et autorisations puis cliquez sur Groupes. {% endstep %} {% step %} **En haut à droite, cliquez sur Créer.** {% endstep %} {% step %} **Sélectionnez Groupe Command ou groupe d’accès.** a. Suivez les instructions à l’écran pour créer un nouveau groupe.\ b. Sous **Emplacement du répertoire**, sélectionnez un répertoire spécifique.\ c. Continuez avec les étapes de validation supplémentaire.\ d. Cliquez sur **Créer un groupe.** {% endstep %} {% endstepper %} ### Attribuer des rôles limités à un répertoire à un utilisateur ou à un groupe {% stepper %} {% step %} **Dans Verkada Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Allez dans Gestion des utilisateurs > Groupes** ou sélectionnez Utilisateurs et autorisations puis cliquez sur Groupes. {% endstep %} {% step %} **Sélectionnez l’utilisateur ou le groupe auquel attribuer des rôles limités à un répertoire.** {% endstep %} {% step %} **Sous Rôle de gestion des utilisateurs, cliquez sur Gérer.** {% endstep %} {% step %} **Localisez le répertoire souhaité et sélectionnez le rôle d’utilisateur d’accès pertinent.** {% endstep %} {% endstepper %} *** ## Synchroniser des utilisateurs vers un répertoire {% stepper %} {% step %} **Dans Verkada Command, allez dans Tous les produits > Admin.** {% endstep %} {% step %} **Dans la navigation de gauche, sélectionnez Utilisateurs et autorisations > Répertoires.** {% endstep %} {% step %} **En haut à gauche, sélectionnez Groupes.** {% endstep %} {% step %} **Cochez la case à côté du ou des groupes dans la liste à utiliser comme source d’attribution pour un répertoire.** {% endstep %} {% step %} **En haut à droite, cliquez sur Ajouter au répertoire > Synchroniser vers le répertoire.** a. Sélectionnez le répertoire vers lequel vous souhaitez synchroniser les utilisateurs de ce groupe.\ b. Cliquez sur **Confirmer.**\ c. Vous pouvez également aller sur la page d’un groupe individuel et choisir de synchroniser ses membres vers un répertoire. {% endstep %} {% endstepper %} {% hint style="danger" %} * Les groupes SCIM ne peuvent pas être ajoutés à un répertoire comme des groupes Command ou d’accès gérés localement. Ils ne peuvent que synchroniser leurs membres vers un répertoire. * Un groupe peut soit être ajouté à un répertoire, soit être configuré pour synchroniser ses membres. Il ne peut pas faire les deux. {% endhint %} *** ## Limiter la visibilité des utilisateurs Lorsque les répertoires sont activés, les admins de l’organisation peuvent activer le **Limiter la visibilité des utilisateurs** paramètre dans le Gestionnaire de fonctionnalités. Ce paramètre restreint les utilisateurs et groupes visibles dans Command et le contrôle d’accès en fonction du rôle attribué à l’utilisateur. Avec la visibilité limitée des utilisateurs activée, les utilisateurs ayant les rôles suivants ne voient que les utilisateurs et groupes associés à leurs sites attribués : * Admin de site * Agent de site * Gestionnaire du système d’accès * Admin de site d’accès * Gestionnaire de site d’accès * Agent de site d’accès * Admin de site Workplace Cela garantit que les gestionnaires au niveau du site et du système ne peuvent pas voir les utilisateurs en dehors de leurs emplacements attribués, ce qui améliore la confidentialité et maintient des limites d’accès appropriées.