Google Workspace
Google WorkspaceでSSOおよびユーザープロビジョニングを構成する
Verkada Command は、シングルサインオン(SSO)シナリオのために Google Workspace(およびその他のアイデンティティプロバイダ [IdP])と統合する機能を備えています。 Security Assertion Markup Language(SAML)は認証の側面を処理し、Google Workspace を使用して Command へのアクセスを管理できるようにします。
Verkada は、セキュリティの向上と設定の容易さのために SAML よりも OIDC を推奨します。
Google Workspace のための OIDC ベース SSO
Verkada Command は、Google Workspace と OpenID Connect(OIDC)を介したシングルサインオン(SSO)をサポートします。この統合により、既存の Google 資格情報を使用してシームレスかつ安全に認証でき、Command へのアクセスを効率化し全体的なセキュリティを向上させます。
OIDC は Pass アプリや Desk Station アプリではサポートされていません。
有効にする Enterprise Controlled Encryption (ECE) 追加のセキュリティのために。
OIDC の設定
にログインします Google Cloud コンソール.
Google Workspace 組織の下で新しいプロジェクトを作成するには、[新しいプロジェクト] をクリックします。
新しいプロジェクトで、[API とサービス] > [ライブラリ] に移動します。
a. 次の API を有効にします:
Identity and Access Management (IAM) API
Admin SDK API
[API とサービス] > [OAuth 同意画面] に移動します。ユーザータイプで [内部] を選択し、[作成] をクリックします。
[アプリを編集] をクリックします。
OAuth 同意画面を設定します。アプリに識別可能な名前(例: Verkada SSO OIDC)を付け、組織の Google Workspace を管理する担当部門(例: IT)のメールアドレスをサポート用メールとして入力します。[保存して続行] をクリックします。
OAuth スコープを設定します。
次のスコープを選択します:
userinfo.email
userinfo.profile
openid
[更新] をクリックします。
最後のオプションが表示されない場合は、次の操作が必要な場合があります テーブルに追加 の下で スコープを手動で追加.
[保存して続行] をクリックし、アプリケーションのダッシュボードに戻ります。
証明情報に移動します。[認証情報を作成] をクリックして OAuth クライアント ID を作成します。
アプリケーションタイプとして [ウェブアプリケーション] を選択します。クライアントに識別可能な名前を付け、許可されたリダイレクト URI のリストに次を追加します:
https://org-short-name.command.verkada.com/oidc/google/callback (org-short-name は Command 組織のショートネーム)
をクリックします 作成.
クライアント ID をコピーします。クライアントシークレットは使用しないことに注意してください。
Verkada Command の設定
Verkada Command で、[All Products] > [Admin] に移動します。
左側のナビゲーションで [Login & Access] を選択します。
[Single Sign-On Configuration] を選択します。
[OIDC Configuration] の下で、[Add New] をクリックします。
a. 切り替えをオンにします 有効にする。 b. (オプション)切り替えをオンにします OIDC SSO を必須にする。 c. の下で プロバイダを選択、選択します Google。 d. の下で クライアントとテナントを追加, クリック :plus:。
の中の クライアント ID フィールドに、Google Cloud Console からコピーしたクライアント ID を貼り付けます。
の中の テナント ID フィールドに、組織の Google Workspace で使用されているドメインを入力します(Google のメールが [email protected]の場合は、your-domain.com を入力します)。
をクリックします 完了 で設定を完了します。
h. メールドメイン, クリック :plus:.
存在するドメイン名を入力します(例: @verkada.com)。
をクリックします 完了.
[Login Test] の下で [Run Login Test] をクリックします。
ログインテストが成功すると OIDC 設定ページにリダイレクトされます。ログイン後、Associated Domains の下にホワイトリスト化する必要のあるドメインを追加してください。
ドメインが追加されたら、ログインテストを再実行します。この 2 回目のログインテストが正常に完了するまで SSO は有効になりません。
ドメインが確認されると、正常に検証されたことが表示されます。
Google Workspace SAML 統合
Verkada Command は、シングルサインオン(SSO)シナリオのために Google Workspace(およびその他のアイデンティティプロバイダ [IdP])と統合する機能を備えています。 Security Assertion Markup Language(SAML)は認証の側面を処理し、Google Workspace を使用して Command へのアクセスを管理できるようにします。
開始する前に
Verkada Command にすでに登録されており、同じカスタムドメインにユーザーアカウントが存在することを確認してください。Command をカスタムアプリケーションとして追加できます。
統合を最大限に活用するために、次の用語に慣れておいてください:
クライアント ID—クライアント ID。確認するには、次に移動します Admin > Privacy & Security > Single Sign-On Configuration > Add New.
フェデレーションデータ XML—Google Workspace インスタンスからの一意の情報で、Verkada が Google Workspace と Command インスタンス間のフェデレーションを設定するために使用します(これをダウンロードする手順は後述します)。
Google Workspace の設定
Google Workspace > Google 管理コンソール ダッシュボードに移動し、[ウェブとモバイルアプリ] を選択します。
[アプリを追加] ドロップダウンを選択し、[カスタム SAML アプリを追加] を選択します。
アプリケーション情報を入力します。任意の名前と説明を使用できます。
を取得します Verkada Command ロゴ を Google Workspace アプリに追加します。
[続行] をクリックします。
オプション 1 を使用して、フェデレーションメタデータ(XML)に対応する IdP メタデータをダウンロードし、[続行] をクリックします。
このファイルにより Verkada は Command で SSO を設定できます。後で使用できるように便利な場所に保存してください。
サービスプロバイダの詳細を(表示されているように)入力して SSO を構成するか、Verkada Command の新しい SSO 設定ページから詳細をコピーして、[続行] をクリックします。
a. の場合 ACS URL: 米国組織の場合: https://vauth.command.verkada.com/saml/sso/ 欧州組織の場合: https://saml.prod2.verkada.com/saml/sso/オーストラリア組織の場合: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. の場合 エンティティ ID: 米国組織の場合: https://vauth.command.verkada.com/saml/sso/ 欧州組織の場合: https://saml.prod2.verkada.com/saml/sso/オーストラリア組織の場合: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. の場合 開始 URL: 米国組織の場合: https://vauth.command.verkada.com/saml/login/ 欧州組織の場合: https://saml.prod2.verkada.com/saml/login/オーストラリア組織の場合: https://saml.prod-ap-syd.verkada.com/saml/login/
組織が作成された場所を参照して、 組織がどのリージョンにあるかを確認してください。
属性マッピングを(下記のように)入力して [完了] をクリックします。これにより Command がユーザーに関する正しい情報を受け取れるようになります。アプリ設定ページにリダイレクトされるはずです。
Command の設定
Verkada Command で、[All Products] > [Admin] に移動します。
[Login & Access] > [Single Sign On (SSO)] を選択します。
新しい設定を開始するか既存の設定を編集するには [追加] をクリックします。
[Identity Provider XML Metadata] の下で、メタデータファイルをアップロードします。
[Email Domains] の下で、組織にログインするために使用されるメールドメインを追加します。
次のいずれかの URL から Command にアクセスできることを確認します(設定時に使用した client-id を置き換えてください)。
を参照してください Admin > Data Privacy > Data Residency > Data Processing Location で、リージョンがどこにあるかを確認してください。
ログインを完了するために Google Workspace アプリの設定ページにリダイレクトされます。
モバイルアプリ経由でログインする
Android および iOS の Command は SAML を使用したログインをサポートしています。
メールアドレス欄にユーザーのメールを入力し、[次へ] をクリックします。
IdP(Google Workspace)にリダイレクトされてログイン処理を完了するはずです。
Google Workspace ユーザー プロビジョニング
Google Workspace のネイティブ統合により、組織は Google Workspace から Verkada Command へユーザーやグループを自動的に同期できます。これにより ID 管理や一般的なユーザーのオンボーディングが簡素化されます。
Okta や Azure との Verkada の SCIM 統合とは異なり、この統合は Google Workspace Admin SDK と Reports API を使用し、ドメイン全体委任を持つ Google サービスアカウント経由で認証されます。
統合を有効にすると、Command は次のことが可能になります:
選択した Google Workspace グループや組織単位(OU)からユーザーとグループをインポートする
それらを管理対象ユーザーおよびグループとして Command に同期する
スケジュールされたバックグラウンド同期や管理 UI からのオンデマンド同期によりディレクトリの正確性を維持する
Google サービスアカウントを作成する
Command が Google Workspace ドメインからユーザーとグループのデータを読み取るには、サービスアカウントを使用して Google の API に対して認証する必要があります。この種のアカウントはプログラムによるアクセス用に設計されており、適切な API スコープとドメイン全体委任で構成する必要があります。これらの設定はあなたの Google Cloud コンソール アカウントで構成されます。
ポリシーと役割を確認する
サービスアカウントを作成し、サービスアカウントの JSON キーを生成する権限がユーザーにあるかどうかを最初に確認する必要があります。テナントのセキュリティポリシーによってブロックされないようにするために:
に移動し、スーパ管理者の資格情報でサインインします。 Google Cloud コンソール プロジェクトセレクタのドロップダウンを左上で開き、トップレベル(タイプ: Organization)リソースを選択します。
左側のパネルから [IAM & Admin] → [IAM] に移動します。
[プリンシパル別に表示] の下で [アクセスを付与] をクリックします。
a. の下で
プリンシパルを追加 、ユーザーのメールアドレスを入力します。 b. の下で役割を割り当て 、検索して選択しますOrganization Policy Administrator 。 c. をクリックします保存 左側のパネルから [Organization Policies] を選択します。.
ポリシーの一覧で次を検索して無効にします:
サービスアカウントの作成を無効にする | 管理対象
には、左上でプロジェクトセレクタのドロップダウンを開きます。
の中の Google Cloud コンソール[新しいプロジェクト] をクリックします。
プロジェクト名を入力します(例:
Verkada User Sync )とプロジェクトを作成します。プロジェクトが作成されたら、左上のナビゲーションバーで選択されていることを確認します。
左側のサイドバーから [IAM & Admin] → [サービス アカウント] に移動します。
[+ サービス アカウントを作成] をクリックします。
次のフィールドを入力します:
名前:
説明的な名前を入力します(例: Verkada User Provisioning ))
ID: そのままにするかカスタマイズします(オプション)
説明: 次のようなメモを追加します: Workspace ディレクトリ データを読み取るために Verkada が使用 (オプション)
[作成して続行] をクリックします。
プロジェクトアクセスの付与ステップはスキップ — ここではロールは不要です。
[続行] → [完了] をクリックします。
サービスアカウントの一覧から、新しく作成したアカウントの OAuth 2 クライアント ID をコピーします。セットアップ完了のために後でこの ID が必要になります。
JSON キーを生成する
サービス アカウントの一覧からアカウント名をクリックするか、新しいサービス アカウントの横の三点リーダーを選択して [キーの管理] を選びます。
[キー] タブで、[キーを追加] → [新しいキーを作成] をクリックします。
JSON を選択して [作成] をクリックします。
1 つの .json ファイルがコンピュータにダウンロードされます。後で Verkada Command の統合設定時に使用するため、安全な場所に保存してください。
この JSON ファイルには、Command の Google Workspace 統合が OAuth 2.0 を介して Google API に認証するために使用する資格情報が含まれています。このファイルは Workspace データへのアクセスを提供するため機密として保管し、決して共有したり公開したりしないでください。
必要な Google API を有効にする
Verkada Command はユーザー、グループ、ドメイン、および監査ログを読み取るために特定の Google Workspace API へのアクセスを必要とします。統合が機能するためには、これらの API を Google Cloud プロジェクトで有効にする必要があります。
に移動し、スーパ管理者の資格情報でサインインします。 Google Cloud コンソールにサインインし、スーパ管理者の資格情報を使用します。
左側のサイドバーから [API とサービス] → [API ライブラリ] に移動します。
検索バーで Admin SDK API を見つけて選択し、[有効にする] をクリックします。
この API はユーザー、グループ、およびドメインのメタデータを読み取るために必要です。
(オプション)Reports API を検索して有効にすると、監査ログの監視やディレクトリの変更の検出が可能になります。
ドメイン全体委任を有効にする
サービスアカウントが管理者を代行してドメイン全体のユーザーおよびグループデータにアクセスできるようにするには、ドメイン全体委任を付与する必要があります。これにより、サービスアカウントは手動で再認証することなく管理者として読み取り操作を実行できます。
に移動します Google 管理コンソール にサインインし、Google Workspace テナントのスーパ管理者資格情報でログインします。
管理コンソールのホームページから、[セキュリティ] → [アクセスとデータ管理] → [API コントロール] に移動します。
API コントロールのページで、ドメイン全体委任のセクションまでスクロールし、[ドメイン全体の委任を管理] をクリックします。
[新規追加] をクリックし、次の詳細を入力します:
クライアント ID: サービスアカウントキー ファイルの OAuth 2 クライアント ID を貼り付けます(JSON の
client_idフィールド)。OAuth スコープ(カンマ区切り):
[許可] をクリックします。
新しい委任エントリがページに表示され、サービスアカウントが Verkada Command によってユーザー、グループ、および監査データの照会に使用できることが確認されます。
ユーザー属性値を設定する
ユーザーを Verkada Command に同期する前に、名、姓、メール、従業員 ID などの主要な属性が Google Workspace に正しく入力されていることを確認してください。
にサインインします Google 管理コンソール スーパ管理者アカウントを使用してログインします。
[ディレクトリ] → [ユーザー] に移動します。
更新したいユーザープロファイルを選択します。
[ユーザー情報] をクリックし、該当セクション(例: 基本情報 または 従業員情報)を展開します。
必要に応じて次のフィールドを更新します:
主要メールアドレス
名 および 姓
従業員 ID ([ 従業員情報)
の下) ([ 電話番号)
連絡先情報
変更を適用するには [保存] をクリックします。
次の属性は Google Workspace から Verkada Command に同期できます:
Google Workspace 属性名
Command フィールド
Command フィールド
名
メール
姓
名
姓
姓
部署
コストセンター
従業員 ID
従業員 ID
部署 ID
職種
役職
電話番号(主要 自宅/勤務/携帯)
電話番号
Google Workspace から同期されたユーザーとグループは Workspace 側でのみ管理され、Verkada Command では手動で編集できません。
ユーザーの電話番号が正しく Verkada Command に同期されるようにするには、国コードを含め、スペースやハイフンを入れずに国際形式で入力してください。 +14155552671
例:
Command で統合を有効にする 以下の権限が必要です: Org Admin
Verkada Command で、[All Products] > [Admin] に移動します。
この統合を設定するには権限が必要です。
組織設定で、[Login & Access] → [User Provisioning] → [Google Workspace] を選択します。 a. Google Workspace のスーパ管理者のメールアドレスを入力します。セキュリティと継続性のために、個人のユーザーアカウントではなく同等の管理権限を持つ専用のサービスアカウントを使用することを Verkada は推奨します。 a. Google Cloud コンソール プロジェクトで生成した JSON キーをアップロードします。 b. 認証が成功したら、[追加] をクリックして Command に同期したいグループおよび/または組織単位を選択します。 c. をクリックします 追加 有効にする.
最初の同期が正常に完了すると、いつでもオンデマンドで更新できる [今すぐ同期] ボタンが使用可能になります。
FAQ
最終更新
役に立ちましたか?