Google Workspace
Google Workspaceを使用してSSOとユーザープロビジョニングを設定する
Verkada Command は、シングルサインオン(SSO)シナリオ向けに、Google Workspace(ほかの IDプロバイダ[IdP]も含む)と統合する機能を備えています。 Security Assertion Markup Language(SAML)は認証部分を担い、Google Workspace を Command へのアクセス管理に使用できるようにします。
Verkada は、セキュリティの強化と設定の容易さのために、SAML より OIDC を推奨しています。
Google Workspace 向けの OIDC ベースの SSO
Verkada Command は、Google Workspace と OpenID Connect(OIDC)を通じたシングルサインオン(SSO)をサポートしています。この統合により、既存の Google 認証情報を使用して、シームレスかつ安全にユーザーが認証でき、Command へのアクセスが効率化され、全体的なセキュリティも向上します。
OIDC は Desk Station アプリではサポートされていません。
有効にする Enterprise Controlled Encryption(ECE) によってセキュリティを強化します。
OIDC の設定
にログインします Google Cloud コンソール.
[新しいプロジェクト]をクリックして、Google Workspace 組織の下に新しいプロジェクトを作成します。
新しいプロジェクトで、[APIs & Services]>[Library]に移動します。
a. 以下の API を有効にします:
Identity and Access Management(IAM)API
Admin SDK API
[APIs & Services]>[OAuth Consent Screen]に移動します。ユーザータイプとして[Internal]を選択し、[Create]をクリックします。
[Edit App]をクリックします。
OAuth Consent Screen を設定します。アプリに識別しやすい名前(例:Verkada SSO OIDC)を付け、組織の Google Workspace を管理する担当部署(例:IT)のメールアドレスをアプリのユーザーサポート用メールとして入力します。[Save and Continue]をクリックします。
OAuth スコープを設定します。
次のスコープを選択します:
userinfo.email
userinfo.profile
openid
[Update]をクリックします。
最後のオプションが表示されない場合は、次を行う必要があるかもしれません 表に追加 の下で スコープを手動で追加.
[Save and Continue]をクリックし、アプリケーションのダッシュボードに戻ります。
[Credentials]に移動します。[Create Credentials]をクリックして、OAuth クライアント ID を作成します。
アプリケーションの種類として[Web application]を選択します。クライアントに識別しやすい名前を付け、承認済みのリダイレクト URI の一覧に次を追加します:
https://org-short-name.command.verkada.com/oidc/google/callback (org-short-name は Command 組織の短縮名です)
[Create]をクリック 作成.
クライアント ID をコピーします。クライアント シークレットは使用しないことに注意してください。
Verkada Command の設定
Verkada Command で、[All Products]>[Admin]に移動します。
左側のナビゲーションで、[Login & Access]を選択します。
[Single Sign-On Configuration]を選択します。
[OIDC Configuration]の下で、[Add New]をクリックします。
a. をオンにします 有効にする。 b.(任意)をオンにします OIDC SSO を必須にする。 c. の下で プロバイダを選択、選択 Google。 d. 以下で クライアントとテナントを追加 、:plus: をクリックします。
次の項目で クライアントID フィールドに、Google Cloud Console からコピーしたクライアントIDを貼り付けます。
次の項目で テナントID フィールドに、組織の Google Workspace で使用されているドメインを入力します(Google のメールアドレスが [email protected]の場合は、your-domain.com を入力します)。
をクリックします 完了 して設定を完了します。
h. メールドメイン、 :plus: をクリック.
現在のドメイン名を入力します(例:@verkada.com)。
[Create]をクリック 完了.
ログインテストの下で[ログインテストを実行]をクリックします。
ログインテストが成功すると、OIDC 設定ページにリダイレクトされるはずです。ログインしたら、Associated Domains の下にホワイトリストに追加する必要があるドメインを追加します。
ドメインを追加したら、ログインテストをもう一度実行します。2 回目のログインテストが正常に完了するまで、SSO は有効になりません。
ドメインが確認されると、正常に検証されたことが表示されます。
Google Workspace SAML 統合
Verkada Command は、シングルサインオン(SSO)シナリオ向けに、Google Workspace(ほかの IDプロバイダ[IdP]も含む)と統合する機能を備えています。 Security Assertion Markup Language(SAML)は認証部分を担い、Google Workspace を Command へのアクセス管理に使用できるようにします。
始める前に
Verkada Command にすでに登録されており、同じカスタムドメインにユーザーのアカウントが存在することを確認してください。Command をカスタムアプリケーションとして追加できます。
統合を最大限に活用するため、これらの用語に慣れておいてください。
クライアントID—クライアントID。場所を確認するには、 管理者 > プライバシーとセキュリティ > シングルサインオン設定 > 新規追加.
フェデレーションデータ XML—Verkada が Google Workspace と Command インスタンス間のフェデレーションを設定できるようにする、Google Workspace インスタンス固有の情報(これをダウンロードする手順は後ほど説明します)。
Google Workspace の設定
Google Workspace > Google 管理コンソール に移動し、Web アプリとモバイルアプリ を選択します。
[アプリを追加]ドロップダウンを選択し、[カスタム SAML アプリを追加]を選択します。
アプリケーション情報を入力します。名前と説明は任意のものを使用できます。
以下を取得します Verkada Command ロゴ を、Google Workspace アプリケーションに追加します。
[続行]をクリックします。
オプション 1 を使用して、フェデレーションメタデータの Extensible Markup Language(XML)に対応する IdP メタデータをダウンロードし、[続行]をクリックします。
このファイルにより、Verkada は Command で SSO を設定できます。今後使用できるよう、わかりやすい場所に保存してください。
サービスプロバイダの詳細を(表示されているとおりに)入力して SSO を設定するか、(Verkada Command の)[新しい SSO 設定]ページから詳細をコピーし、[続行]をクリックします。
a. 次の項目で ACS URL: 米国のオーガナイゼーションの場合: https://vauth.command.verkada.com/saml/sso/ EU のオーガナイゼーションの場合: https://saml.prod2.verkada.com/saml/sso/AUS のオーガナイゼーションの場合: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. 次の項目について Entity ID: 米国のオーガナイゼーションの場合: https://vauth.command.verkada.com/saml/sso/ EU のオーガナイゼーションの場合: https://saml.prod2.verkada.com/saml/sso/AUS のオーガナイゼーションの場合: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. 次の項目について Start URL: 米国のオーガナイゼーションの場合: https://vauth.command.verkada.com/saml/login/ EU のオーガナイゼーションの場合: https://saml.prod2.verkada.com/saml/login/AUS のオーガナイゼーションの場合: https://saml.prod-ap-syd.verkada.com/saml/login/
オーガナイゼーションが作成された場所を確認し、 オーガナイゼーションがどのリージョンにあるかを確認します。
属性マッピング(下図のとおり)を入力し、[完了]をクリックします。これにより、Command がユーザーに関する正しい情報を受け取るようになります。アプリの設定ページにリダイレクトされます。
Command 設定
Verkada Command で、[すべての製品]>[管理者]に移動します。
[ログインとアクセス]>[シングルサインオン(SSO)]を選択します。
[追加]をクリックして新しい設定を開始するか、既存の設定を編集します。
[Identity Provider XML Metadata]の下で、メタデータファイルをアップロードします。
[Email Domains]の下で、オーガナイゼーションへのログインに使用するメールドメインを追加します。
次の URL のいずれかで Command にアクセスできることを確認します( client-id は設定時に使用したものに置き換えてください)。
US のオーガナイゼーションの場合: https://vauth.command.verkada.com/saml/login/
EU のオーガナイゼーションの場合: https://saml.prod2.verkada.com/saml/login/
AUS のオーガナイゼーションの場合: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
参照: [管理者]>[データプライバシー]>[データレジデンシー]>[データ処理場所] を確認して、リージョンの場所を確認します。
ログインを完了するため、Google Workspace アプリの設定ページにリダイレクトされます。
モバイルアプリからログインする
Android および iOS 版の Command は、SAML 経由のログインをサポートしています。
メールアドレス欄にユーザーのメールアドレスを入力し、[次へ]をクリックします。
ログインを完了するため、IdP(Google Workspace)にリダイレクトされます。
Google Workspace ユーザープロビジョニング
Google Workspace のネイティブ統合により、オーガナイゼーションは Google Workspace のユーザーとグループを Verkada Command に自動同期できます。これにより、ID管理と一般的なユーザーのオンボーディングが簡素化されます。
Verkada の Okta または Azure との SCIM 統合とは異なり、この統合では Google Workspace Admin SDK と Reports API を使用し、ドメイン全体への委任を持つ Google サービスアカウントを通じて認証されます。
統合を有効にすると、Command では次のことが可能になります:
選択した Google Workspace グループまたは組織部門(OU)からユーザーとグループをインポートする
それらを管理対象のユーザーとグループとして Command に同期する
管理 UI からの定期バックグラウンド同期とオンデマンド同期でディレクトリの正確性を維持する
Google サービスアカウントを作成する
Command が Google Workspace ドメインからユーザーおよびグループのデータを読み取れるようにするには、サービスアカウントを使用して Google の API に認証する必要があります。この種類のアカウントはプログラムによるアクセス向けに設計されており、正しい API スコープとドメイン全体への委任で構成する必要があります。これらの設定は、 Google Cloud コンソール アカウントで設定します。
ポリシーと役割を確認する
まず、サービスアカウントを作成し、サービスアカウント JSON キーを生成する権限がユーザーにあるかを確認する必要があります。テナントのセキュリティポリシーによってブロックされないようにするには、次の操作を行います:
次へ移動し、 Google Cloud コンソール Super Admin の認証情報でサインインします。
左上の[プロジェクト セレクタ]ドロップダウンを開き、最上位(種類: Organization)リソースを選択します。
左側のパネルから、[IAM と管理]→[IAM]に移動します。
[プリンシパルで表示]の下で[アクセス権を付与]をクリックします。
a. 次の項目について プリンシパルを追加で、ユーザーのメールアドレスを入力します。 b. ロールを割り当てで、検索して次を選択します Organization Policy Administrator。 c. 保存.
左側のパネルから、[Organization Policies] を選択します。
ポリシーの一覧で、以下を検索して無効化します。
サービス アカウントを作成する
次の項目で Google Cloud コンソールで、左上にある [Project Selector] ドロップダウンを開きます。
[New Project] をクリックします。
プロジェクト名を入力し(例: Verkada User Sync)、プロジェクトを作成します。
プロジェクトが作成されたら、左上のナビゲーションバーでそれが選択されていることを確認します。
左側のサイドバーから、[IAM & Admin] → [Service Accounts] に移動します。
[+ Create Service Account] をクリックします。
以下のフィールドに入力します。
名前: わかりやすい名前を入力します(例: Verkada User Provisioning)
ID: そのままにするか、カスタマイズします(任意)
説明: 次のようなメモを追加します Verkada が Workspace ディレクトリ データを読み取るために使用 (任意)
[Create and Continue] をクリックします。
[Grant Project Access] の手順はスキップします — ここではロールは不要です。
[Continue] → [Done] をクリックします。
サービス アカウントの一覧から、新しく作成したアカウントの OAuth 2 Client ID をコピーします。この ID は、後でセットアップを完了するために必要です。
JSON キーを生成する
[Service Accounts] の一覧で、アカウント名をクリックするか、新しいサービス アカウントの横にある 3 点アイコンを選択して [Manage keys] を選びます。
[Keys] タブで、[Add Key] → [Create new key] をクリックします。
[JSON] を選択して [Create] をクリックします。
A .json ファイルがコンピューターにダウンロードされます。後で Verkada Command で連携を設定するときに使えるよう、安全な場所に保存してください。
この JSON ファイルには、Command の Google Workspace 連携が OAuth 2.0 経由で Google APIs に認証するために使用する認証情報が含まれています。このファイルは Workspace データへのアクセスを提供するため、安全に保管し、共有したり公開したりしないでください。
必要な Google APIs を有効にする
Verkada Command では、ユーザー、グループ、ドメイン、監査ログを読み取るために、特定の Google Workspace APIs へのアクセスが必要です。連携を機能させるには、これらの APIs を事前に Google Cloud プロジェクトで有効にする必要があります。
次へ移動し、 Google Cloud コンソールで、Super Admin の認証情報を使用してサインインします。
左側のサイドバーから、[APIs & Services] → [API Library] に移動します。
検索バーで Admin SDK API を見つけて選択し、[Enable] をクリックします。
この API は、ユーザー、グループ、およびドメインのメタデータを読み取るために必要です。
(オプション)Reports API を検索して有効にし、監査ログの監視とディレクトリ変更の検出を可能にします。
ドメイン全体の委任を有効にする
サービスアカウントが管理者になりすまし、ドメイン全体のユーザーおよびグループデータにアクセスできるようにするには、ドメイン全体の委任を付与する必要があります。これにより、サービスアカウントは手動の再認証を必要とせず、管理者に代わって読み取り操作を実行できます。
次へ移動します Google Admin Console に移動し、Google Workspace テナントのスーパー管理者の認証情報でサインインします。
Admin Console のホームページから、セキュリティ → アクセスコントロールとデータ制御 → API Controls に移動します。
API Controls ページで、ドメイン全体の委任セクションまでスクロールし、[Manage Domain Wide Delegation]をクリックします。
[Add New]をクリックし、次の詳細を入力します:
クライアント ID: サービスアカウントのキーファイル(JSON 内の
client_idフィールド)の OAuth 2 クライアント ID を貼り付けます。OAuth スコープ(カンマ区切り):
[Authorize]をクリックします。
新しい委任エントリがページに表示され、サービスアカウントを使用して Verkada Command からユーザー、グループ、監査データをクエリできることが確認されます。
ユーザー属性値を設定する
ユーザーを Verkada Command に同期する前に、主要な属性(名、姓、メール、社員 ID など)が Google Workspace に正しく入力されていることを確認します。
にサインインします Google Admin Console スーパー管理者アカウントを使用して。
ディレクトリ → ユーザー に移動します。
更新したいユーザープロフィールを選択します。
[User information]をクリックし、該当するセクション(たとえば、基本情報や社員情報)を展開します。
必要に応じて、次のフィールドを更新します:
主要メールアドレス
名 および 姓
社員 ID ( Employee information)
電話番号 ( 連絡先情報)
[Save]をクリックして変更を適用します。
以下の属性は、Google Workspace から Verkada Command に同期できます:
Google Workspace の属性名
Command フィールド
メール
メール
名
名
姓
姓
部署
部署
コストセンター
部署 ID
社員 ID
社員 ID
役職
社員役職
電話番号(主要/自宅/勤務先/携帯)
電話番号
Google Workspace から同期されたユーザーとグループは Workspace 内でのみ管理され、Verkada Command では編集できません。Command への同期を正常に行うには、ユーザーに名、姓、メールアドレスが必要です。
ユーザーの電話番号を Verkada Command に正しく同期するには、国番号を含め、スペースやハイフンを入れずに国際形式で入力してください。
例: +14155552671
Command で統合を有効にする
この統合を設定するには Org Admin 権限が必要です。
Verkada Command で、[All Products]>[Admin]に移動します。
Org Settings で、ログインとアクセス → ユーザープロビジョニング → Google Workspace を選択します。
a. Google Workspace のスーパー管理者のメールアドレスを入力します。セキュリティと継続性のため、Verkada では、個人のユーザーアカウントではなく、同等の管理者権限を持つ専用のサービスアカウントを使用することを推奨しています。 a. Google Cloud Console プロジェクトで生成した JSON キーをアップロードします。 b. 認証が成功したら、 追加 をクリックして、Command に同期したいグループや組織部門を選択します。 c. クリックします 有効にする.
最初の同期が正常に完了すると、いつでもオンデマンドで更新できる[Sync Now]ボタンが利用可能になります。
FAQ
最終更新
役に立ちましたか?