Google Workspace
Google WorkspaceでSSOとユーザープロビジョニングを構成する
Verkada Command は、シングルサインオン(SSO)シナリオのために Google Workspace(およびその他の Identity Providers[IdP])と連携できる機能を備えています。 Security Assertion Markup Language(SAML)は認証側を処理し、Google Workspace を使用して Command へのアクセスを管理できるようにします。
Google Workspace 向け OIDC ベースの SSO
Verkada Command は、Google Workspace と OpenID Connect(OIDC)によるシングルサインオン(SSO)をサポートします。この統合により、既存の Google 資格情報を使用してユーザーがシームレスかつ安全に認証でき、Command へのアクセスが簡素化され全体的なセキュリティが向上します。
OIDC は Pass アプリや Desk Station アプリではサポートされていません。
OIDC の設定
にログインします Google Cloud コンソール.
Google Workspace 組織の下で新しいプロジェクトを作成するには、[New Project] をクリックします。
新しいプロジェクトで、APIs & Services > Library に移動します。
a. 次の API を有効にします:
Identity and Access Management(IAM)API
Admin SDK API
APIs & Services > OAuth Consent Screen に移動します。User Type は Internal を選択し、[Create] をクリックします。
[Edit App] をクリックします。
OAuth 同意画面を設定します。アプリに識別可能な名前(例:Verkada SSO OIDC)を付け、組織の Google Workspace を管理する担当部門のメール(例:IT)をアプリのユーザーサポート用メールとして設定します。[Save and Continue] をクリックします。
OAuth スコープを設定します。
次のスコープを選択してください:
userinfo.email
userinfo.profile
openid
[Update] をクリックします。
最後のオプションが表示されない場合は、次を行う必要があるかもしれません。 Add To Table の下で Manually add scopes.
[Save and Continue] をクリックしてアプリのダッシュボードに戻ります。
Credentials に移動します。[Create Credentials] をクリックして OAuth クライアント ID を作成します。
アプリケーションタイプとして Web application を選択します。クライアントに識別可能な名前を付け、以下を承認済みリダイレクト URI の一覧に追加します:
https://org-short-name.command.verkada.com/oidc/google/callback (org-short-name は Command 組織の短縮名)
をクリックします Create.
クライアント ID をコピーします。クライアントシークレットは使用しないことに注意してください。
Verkada Command の設定
Verkada Command で、All Products > Admin に移動します。
左側のナビゲーションで Login & Access を選択します。
Single Sign-On Configuration を選択します。
OIDC Configuration の下で、[Add New] をクリックします。
a. 切り替えをオンにします 有効にする。 b.(オプション)切り替えをオンにします Require OIDC SSO。 c. 次の項目の下で、 Select Provider、選択します Google。 d. 次の項目の下で、 Add Client and Tenant, クリック :plus:。
で、 Client ID フィールドに、Google Cloud Console からコピーしたクライアント ID を貼り付けます。
で、 Tenant ID フィールドには、組織の Google Workspace で使用されているドメインを入力します(Google のメールが [email protected]の場合は your-domain.com を入力)。
上の Done をクリックして設定を完了します。
h。 Email Domains, クリック :plus:.
存在するドメイン名を入力します(例:@verkada.com)。
をクリックします Done.
Login Test の下で Run Login Test をクリックします。
ログイントテストが成功すると OIDC 設定ページにリダイレクトされます。ログイン後、Associated Domains の下にホワイトリスト化する必要のあるドメインを追加してください。
ドメインを追加したら、再度ログイントテストを実行します。この2回目のログイントテストが正常に完了するまで SSO は有効になりません。
ドメインが検証されると、正常に検証されたことが表示されます。
Google Workspace SAML 統合
Verkada Command は、シングルサインオン(SSO)シナリオのために Google Workspace(およびその他の Identity Providers[IdP])と連携できる機能を備えています。 Security Assertion Markup Language(SAML)は認証側を処理し、Google Workspace を使用して Command へのアクセスを管理できるようにします。
開始する前に
あらかじめ Verkada Command に登録されており、同じカスタムドメイン内にユーザー用のアカウントが存在することを確認してください。Command をカスタムアプリケーションとして追加できます。
統合を最大限に活用するために、以下の用語に慣れてください:
Client ID—Client ID。場所を探すには、次へ移動します: Admin > Privacy & Security > Single Sign-On Configuration > Add New.
Federation Data XML—Google Workspace インスタンスから取得される一意の情報で、Google Workspace と Command の間でフェデレーションを設定するために Verkada が使用するものです(後述の手順でダウンロード方法を説明します)。
Google Workspace の設定
Google Workspace > Google Admin ダッシュボードに移動し、Web and mobile apps を選択します。
[Add app] のドロップダウンを選択し、[Add custom SAML app] を選択します。
アプリケーション情報を入力します。名前や説明は任意で構いません。
次を取得します: Verkada Command ロゴ を Google Workspace アプリケーションに追加します。
[Continue] をクリックします。
Option 1 を使用して、フェデレーションメタデータ(Extensible Markup Language(XML))に対応する IdP メタデータをダウンロードし、[Continue] をクリックします。
このファイルにより Verkada は Command で SSO を構成できます。後で使用するために分かりやすい場所に保存してください。
サービスプロバイダの詳細(表示されているとおり)を入力して SSO を設定するか、Verkada Command の New SSO Configuration ページから詳細をコピーして、[Continue] をクリックします。
a. に対して、 ACS URL: 米国組織の場合: https://vauth.command.verkada.com/saml/sso/ 欧州組織の場合: https://saml.prod2.verkada.com/saml/sso/オーストラリア組織の場合: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. に対して、 Entity ID: 米国組織の場合: https://vauth.command.verkada.com/saml/sso/ 欧州組織の場合: https://saml.prod2.verkada.com/saml/sso/オーストラリア組織の場合: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. に対して、 Start URL: 米国組織の場合: https://vauth.command.verkada.com/saml/login/ 欧州組織の場合: https://saml.prod2.verkada.com/saml/login/オーストラリア組織の場合: https://saml.prod-ap-syd.verkada.com/saml/login/
組織が作成された場所を参照して、 どのリージョンに組織があるかを確認してください。
属性マッピングを(下に示すように)入力し、[Finish] をクリックします。これにより Command がユーザーに関する正しい情報を受け取れるようになります。アプリ設定ページにリダイレクトされるはずです。
Command の設定
Verkada Command で、All Products > Admin に移動します。
Login & Access > Single Sign On(SSO)を選択します。
新しい設定を開始するか既存の設定を編集するには、[Add] をクリックします。
Identity Provider XML Metadata の下で、メタデータファイルをアップロードします。
Email Domains の下で、組織にログインするために使用するメールドメインを追加します。
次の URL のいずれかで Command にアクセスできることを確認します(セットアップ時に使用した client-id を置き換えてください)。
次を参照してください: Admin > Data Privacy > Data Residency > Data Processing Location で、リージョンがどこにあるかを確認します。
ログインを完了するために Google Workspace アプリ設定ページにリダイレクトされます。
モバイルアプリ経由でのログイン
メールアドレス欄にユーザーのメールを入力し、[Next] をクリックします。
IdP(Google Workspace)にリダイレクトされてログイン処理を完了するはずです。
Google Workspace ユーザー プロビジョニング
Google Workspace のネイティブ統合により、組織は Google Workspace から Verkada Command へ自動的にユーザーとグループを同期できます。これにより ID 管理とユーザーのオンボーディングが簡素化されます。
Okta や Azure との Verkada の SCIM 統合とは異なり、この統合は Google Workspace の Admin SDK と Reports API を使用し、ドメイン全体の委任で認証された Google サービスアカウントを通じて行われます。
統合が有効な場合、Command は次のことができます:
選択された Google Workspace グループまたは組織単位(OU)からユーザーとグループを取り込む
それらを管理対象のユーザーとグループとして Command に同期する
スケジュールされたバックグラウンド同期や管理画面からのオンデマンド同期によりディレクトリの正確性を維持する
Google サービスアカウントを作成する
Command が Google Workspace ドメインからユーザーおよびグループデータを読み取るには、サービスアカウントを使用して Google の API に対して認証する必要があります。この種のアカウントはプログラム的なアクセス用に設計されており、正しい API スコープとドメイン全体の委任で構成する必要があります。これらの設定はあなたの Google Cloud コンソール アカウントで構成されます。
ポリシーとロールを確認する
サービスアカウントを作成しサービスアカウント JSON キーを生成する権限がユーザーにあるかどうかを最初に確認する必要があります。テナントのセキュリティポリシーによってブロックされないようにするために:
に移動し、Super Admin の資格情報でサインインします。 Google Cloud コンソール トップ左隅で Project Selector のドロップダウンを開き、最上位(Type: Organization)リソースを選択します。
左側のパネルから IAM & Admin → IAM に移動します。
[View by principals] の下で [Grant Access] をクリックします。
a. の下で、
Add principals 、ユーザーのメールアドレスを入力します。 b. の下で、Assign roles 、検索して選択しますOrganization Policy Administrator 。. c. [Save] をクリックします。左側のパネルから Organization Policies を選択します。 ポリシーの一覧で次を検索して無効にします:.
Disable service account creation | Managed
Disable service account creation | Managed (Legacy)
[New Project] をクリックします。
で、 Google Cloud コンソールプロジェクト名を入力します(例:
Verkada User Sync
)そしてプロジェクトを作成します。 プロジェクトが作成されたら、ナビゲーションバーの左上に選択されていることを確認します。左側のサイドバーから IAM & Admin → Service Accounts に移動します。
[+ Create Service Account] をクリックします。
次のフィールドに入力します:
名前:
説明的な名前を入力します(例:
Verkada User Provisioning ID: そのままにするかカスタマイズします(任意))
説明: 次のようなメモを追加します:
Used by Verkada to read Workspace directory data (任意) [Create and Continue] をクリックします。 Grant Project Access ステップはスキップします — ここではロールは不要です。
[Continue] → [Done] をクリックします。
サービスアカウントの一覧から、新しく作成したアカウントの OAuth 2 クライアント ID をコピーします。設定を完了する際にこの ID が必要になります。
JSON キーを生成する
Service Accounts の一覧からアカウント名をクリックするか、新しいサービスアカウントの横にある三点メニューを選択して [Manage keys] を選びます。
[Keys] タブで [Add Key] → [Create new key] をクリックします。
JSON を選択して [Create] をクリックします。
一つの
.json
ファイルがコンピュータにダウンロードされます。Verkada Command で統合を設定する際に使用するため、安全な場所に保存してください。 この JSON ファイルには、Command の Google Workspace 統合が OAuth 2.0 を介して Google API に認証するために使用する資格情報が含まれています。このファイルは Workspace データへのアクセスを提供するため機密扱いとし、共有したり公開したりしてはいけません。 必要な Google API を有効化する
Verkada Command はユーザー、グループ、ドメイン、監査ログを読み取るために特定の Google Workspace API へのアクセスを必要とします。統合が機能する前に、これらの API を Google Cloud プロジェクトで有効にする必要があります。
にサインインし、Super Admin の資格情報で認証します。
左側のサイドバーから APIs & Services → API Library に移動します。
に移動し、Super Admin の資格情報でサインインします。 Google Cloud コンソール検索バーで Admin SDK API を見つけて選択し、[Enable] をクリックします。
この API はユーザー、グループ、ドメインのメタデータを読み取るために必要です。
(オプション)Reports API を検索して有効にすると、監査ログの監視やディレクトリ変更の検出が可能になります。
ドメイン全体の委任を有効にする
サービスアカウントが管理者を代行してドメイン全体のユーザーおよびグループデータにアクセスできるようにするには、ドメイン全体の委任を付与する必要があります。これにより、管理者の代わりに手動再認証を必要とせずに読み取り操作を実行できるようになります。
に移動します
Google Admin Console
にサインインし、Google Workspace テナントの Super Administrator 資格情報で認証します。 Admin Console のホームページから、Security → Access & data control → API Controls に移動します。 API Controls ページで、Domain-wide Delegation セクションまでスクロールし、[Manage Domain Wide Delegation] をクリックします。
[Add New] をクリックし、次の詳細を入力します:
Client ID:
サービスアカウントキー ファイルの OAuth 2 クライアント ID(JSON の
client_id フィールド)を貼り付けます。
OAuth スコープ(カンマ区切り):https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,
ユーザー属性値を設定する
ユーザーを Verkada Command に同期する前に、名、姓、メール、従業員 ID などの主要属性が Google Workspace に正しく入力されていることを確認してください。
に Super Admin アカウントでサインインします。
ディレクトリ → Users に移動します。
更新したいユーザープロファイルを選択します。 Admin Console のホームページから、Security → Access & data control → API Controls に移動します。 [User information] をクリックし、該当するセクション(例:Basic information や Employee information)を展開します。
必要に応じて次のフィールドを更新します:
プライマリメールアドレス
名
および
姓
従業員 ID ( Employee information
の下) 電話番号 連絡先情報)
[Save] をクリックして変更を適用します。 電話番号 次の属性は Google Workspace から Verkada Command に同期できます:)
Google Workspace の属性名
Command 上のフィールド
First Name
Last Name
Last Name
従業員 ID
Department
Employee information
Cost center
Department ID
Department ID
Job title
Employee Title
の下)
の下)
電話番号(Primary Home/Work/Mobile)
Phone Number
Google Workspace から同期されたユーザーとグループは Workspace 側でのみ管理され、Verkada Command 上で手動編集することはできません。
ユーザーの電話番号が正しく Verkada Command に同期されるよう、国番号を含む国際形式(スペースやハイフンなし)で入力してください。
例:
Org Admin
権限が必要です。 Org Settings で、Login & Access → User Provisioning → Google Workspace を選択します。 a. Google Workspace の Super Admin のメールアドレスを入力します。セキュリティと継続性の観点から、個人のユーザーアカウントではなく同等の管理権限を持つ専用のサービスアカウントを使用することを Verkada は推奨します。 a. Google Cloud Console プロジェクトで生成した JSON キーをアップロードします。 b. 認証が成功したら、[Add] をクリックして Command に同期したいグループおよび/または組織単位を選択します。 c. [ ] をクリックします。最初の同期が正常に完了すると、いつでもオンデマンドで更新できる [Sync Now] ボタンが利用可能になります。
Verkada Command で、All Products > Admin に移動します。
よくある質問
ユーザーは定期的に自動で同期されますか? はい、ユーザーは 40 分ごとに Google Workspace アカウントから Verkada Command に自動的に同期されます。 a. Enter the email address of your Google Workspace Super Admin. For security and continuity, Verkada recommends using a dedicated service account that has equivalent admin permissions, rather than a personal user account. a. Upload the JSON key you generated in your Google Cloud Console project. b. Once authentication succeeds, click 有効にする.
Add
to select the Groups and/or Organizational Units you want to sync to Command.
c. Click
最終更新
役に立ちましたか?