Microsoft Entra ID
Microsoft Entra ID(Azure AD)でSSOとユーザープロビジョニングを構成する
使用例によっては、 Verkada Command は、他のアイデンティティプロバイダ(IdP)と同様に、以下の能力で Microsoft Entra ID と統合することができます:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML は認証側を扱い、Microsoft Entra ID を Command へのアクセス管理に使用できるようにします。これは、他のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションが既に Microsoft Entra ID テナントに統合されているのと同様です。つまり、既存のアイデンティティフレームワークに Command を組み込み、現在のポリシーに基づいてユーザーを認可できます。
SCIM は、Microsoft Entra ID に既に存在する既存のユーザーとグループを活用して Command と同期することを可能にします。これにより、現在の中央 IdP を維持し、既存のユーザーとグループを使用して Command 内で権限を設定できます。
Verkada は、強化されたセキュリティとより簡単な構成のために SAML より OIDC を推奨します。OIDC はまた、 Enterprise Controlled Encryption.
Azure Entra 向け OIDC ベースの SSO
Verkada Command は、Azure Entra を用いた OpenID Connect(OIDC)によるシングルサインオン(SSO)をサポートしています。この統合により、ユーザーは既存の Azure Entra 資格情報を使用してシームレスかつ安全に認証でき、Command へのアクセスが簡素化され全体的なセキュリティが向上します。
OIDC は Pass アプリまたは Desk Station アプリではサポートされていません。
有効にする Enterprise Controlled Encryption (ECE) でセキュリティを強化します。
Azure Entra の構成
にログインします Azure Entra ポータル.
「アプリの登録」を検索して選択します。
「新規登録」をクリックします。
a. アプリケーションに名前を付けます Verkada SSO OIDC。 b. 「 サポートされているアカウントの種類」 の下で、選択します この組織ディレクトリのアカウントのみ(単一テナントのみ)。 c. 「 リダイレクト URI」の下で、選択します シングルページアプリケーション (SPA)をプラットフォームとして選び、次のコールバック URL を追加します:
https://org-short-name.command.verkada.com/oidc/aad/callback (URI 内の org-short-name をあなたの Command 組織のショートネームに置き換えてください。)
コールバック URI に末尾のスラッシュがないことを確認してください。
「登録」をクリックします。
アプリケーション(クライアント)ID とディレクトリ(テナント)ID をコピーして安全な場所に保管してください。Verkada Command の設定を完了する際に必要になります。
左側で「管理」>「API の公開」をクリックします。
a. 「 スコープの追加」 をクリックします。 b. 「保存して続行 」をクリックします。 c. 次のフィールドに「 verkada_ece
」を入力します:
スコープ名
管理者同意表示名
管理者同意の説明
ユーザー同意表示名
ユーザー同意の説明 d. 「 誰が同意できますか?」 を 管理者とユーザー に設定します。
e. 「
Verkada Commandで、[All Products] > [Admin] に移動します。
スコープを追加」
をクリックします。
Verkada Command の構成
左ナビゲーションで「ログインとアクセス」を選択します。 「シングルサインオンの構成」を選択します。 OIDC 構成の下で「新規追加」をクリックします。 a. 「 c. 「 有効にする の下で、選択します 」をオンに切り替えます。 b. (任意)「 OIDC SSO を必須にする 」をオンに切り替えます。
「プロバイダを選択」で、 Azure Entra を選択します。
「プロバイダを選択」で、 d. 「 クライアントとテナントを追加」
の下で「:plus:」をクリックします。 「.
クライアント ID 」フィールドに、Azure Entra からコピーしたクライアント ID を貼り付けます。 「.
テナント ID
の下で「:plus:」をクリックします。 「.
」フィールドに、Azure Entra からコピーしたテナント ID を貼り付けます。
「
完了
」をクリックします。
e. 「
使用例によっては、 Verkada Command は、他のアイデンティティプロバイダ(IdP)と同様に、以下の能力で Microsoft Entra ID と統合することができます:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML は認証側を扱い、Microsoft Entra ID を Command へのアクセス管理に使用できるようにします。これは、他のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションが既に Microsoft Entra ID テナントに統合されているのと同様です。つまり、既存のアイデンティティフレームワークに Command を組み込み、現在のポリシーに基づいてユーザーを認可できます。
SCIM は、Microsoft Entra ID に既に存在する既存のユーザーとグループを活用して Command と同期することを可能にします。これにより、現在の中央 IdP を維持し、既存のユーザーとグループを使用して Command 内で権限を設定できます。
メールドメイン
」の下で「:plus:」をクリックします。
使用するドメイン名(例: @verkada.com)を入力します。 「ログインテストを実行」をクリックします。ログインテストが成功すると OIDC 構成ページにリダイレクトされます。ログイン後、ホワイトリストに追加する必要のあるドメインを追加してください。 ドメインを追加したら、ログインテストをもう一度実行してください。この 2 回目のログインテストが正常に完了するまで SSO は有効になりません。ドメインが検証されると、正常に検証されたことが表示されます。
Microsoft Entra ID SAML 統合
Microsoft Entra ID で SAML を設定する
Verkada Command はギャラリーアプリケーションとして登録されており、Microsoft Entra ID マーケットプレイス内で見つけることができます。つまり、Microsoft Entra ID Free、Microsoft Entra ID P1、および Microsoft Entra ID P2 のライセンスで利用できます。 開始するには、あなたの クライアント ID が必要です。生成方法とメールドメインの構成方法を確認してから、本記事に戻って残りの手順を完了してください。.
Verkada Command を Microsoft Entra ID ディレクトリにエンタープライズアプリケーションとして追加します:Microsoft Entra ID の概要ページに移動し、「エンタープライズアプリケーション」を選択します。
ページ上部で「新しいアプリケーション」を選択し、Verkada Command を検索します。
Verkada Command を選択し、「作成」をクリックします。
アプリケーションを追加するのに数分かかる場合があるので、しばらくお待ちください。
Microsoft Entra ID
テナント ページが更新されると、類似のメニューが表示されるはずです(下図参照)。「シングルサインオンのセットアップ」で「開始」をクリックします。 シングルサインオンの方法として SAML を選択します。 必要に応じて「編集」をクリックして SAML 接続をさらに構成します。 次のフィールドを構成します。各 URL の末尾にクライアント ID を追加してから Microsoft Entra ID に追加する必要があります。以下の注記の下に例があります。a. 「 識別子
」の場合: 米国組織向け: https://vauth.command.verkada.com/saml/sso「シングルサインオンのセットアップ」で「開始」をクリックします。 シングルサインオンの方法として SAML を選択します。 必要に応じて「編集」をクリックして SAML 接続をさらに構成します。 次のフィールドを構成します。各 URL の末尾にクライアント ID を追加してから Microsoft Entra ID に追加する必要があります。以下の注記の下に例があります。 a. 「 識別子
欧州組織向け: https://saml.prod2.verkada.com/saml/sso「シングルサインオンのセットアップ」で「開始」をクリックします。 オーストラリア組織向け: 必要に応じて「編集」をクリックして SAML 接続をさらに構成します。 https://saml.prod-ap-syd.verkada.com/saml/sso a. 「 識別子
b. 「 応答 URL(Reply URL).
」の場合
c. 「
サインオン URL
」の場合
https://vauth.command.verkada.com/saml/login
https://saml.prod2.verkada.com/saml/login
どのリージョンに所属しているかを確認するには、
あなたの組織が Verkada 用に作成された場所を参照してください 「保存」をクリックします。 「属性とクレーム」で「編集」をクリックし、次の属性と一致するようにします:
「SAML 署名証明書」で、このフェデレーションメタデータ XML を Command にインポートします。
「ダウンロード」をクリックして後で保存します。
メール用に別のソース属性を使用する場合は、使用したいソース属性に従って属性を構成してください。
表示される次のダイアログには、統合が完了した後に使用できるツールが含まれています。
Command にフェデレーションメタデータ XML をアップロードする
Microsoft Entra ID の手順を完了してメタデータをダウンロードしたら、
XML メタデータファイルをアップロード
「プロバイダを選択」で、 して Command に取り込みます。 Microsoft Entra ID で SAML 接続をテストする ファイルをアップロードしたら、Microsoft Entra ID で「テスト」をクリックして統合をテストします。通知が Command アカウントを持つすべてのユーザーに送信されます(組織への招待)。「現在のユーザーとしてサインイン」でログインします。すべてが正しく設定されていれば、Command プラットフォームにリダイレクトされるはずです。
Microsoft Entra ID は現時点でアプリアクセスのためのネストされたグループをサポートしていません。すべてのユーザーは割り当てのためにグループの直接メンバーである必要があります。
モバイルアプリ経由でログインする
Command の Android および iOS は SAML を通じたログインをサポートしています。
メールアドレス
フィールドにメールアドレスを入力して「
次へ
」をクリックします。IdP(Microsoft Entra ID)にリダイレクトされてログインプロセスを完了するはずです。
ユーザー プロビジョニング
Microsoft Entra ID SCIM 統合
Verkada Commandで、[All Products] > [Admin] に移動します。
Verkada Command は、System for Cross-Domain Identity Management(SCIM)を使用して Microsoft Entra ID と統合し、ユーザーおよびグループの自動プロビジョニングを行います。
SCIM は Microsoft Entra ID からユーザーとグループを直接 Command に同期します。これにより以下が可能になります:
Microsoft Entra ID を中央の IdP として維持する。 Entra ID に変更が発生した際に Command 内のユーザーとグループを自動的に更新する。
a. 「 既存のアイデンティティ構造を使用して Command 内で権限を割り当ておよび管理する。 組織が SCIM を使用している場合、電話番号は SCIM を通じてのみプロビジョニングできます。Command 内で電話番号を直接編集することはできません。 Microsoft Entra ID での SCIM の構成 Microsoft Entra ID で SCIM を構成する前に、Command でシークレットトークンを生成する必要があります。
「組織設定」の下で「ログインとアクセスとログ」>「SCIM ユーザープロビジョニング」を選択します。
「ドメインを追加」をクリックし、SCIM で使用するすべての関連メールドメインを入力します。
これにより SCIM トークンが生成され、
そのトークンは一度しか表示されません。
トークンをコピーして安全な場所に保管し、構成で後で使用してください。 b. トークンをコピーしていない、または表示されていない場合は「
更新
」をクリックして新しいトークンを生成します。 Microsoft Entra ID のホームページから「エンタープライズアプリケーション」>「新しいアプリケーション」>「独自のアプリケーションを作成」を選択します。
必要に応じて「編集」をクリックして SAML 接続をさらに構成します。 「独自のアプリケーションを作成」サイドパネルでアプリケーション名を入力し、ノンギャラリーアプリケーションを選択して「作成」をクリックします。
「管理」>「プロビジョニング」を選択します。 プロビジョニングページで:.
a. プロビジョニングモードを「自動」に設定します。 b. テナント URL を次のように設定します: 米国組織向け: https://api.command.verkada.com/scim
https://scim.prod2.verkada.com/scim
」の場合
https://scim.prod-ap-syd.verkada.com/scim
どのリージョンに所属しているかを確認するには、
あなたの組織が Verkada 用に作成された場所を参照してください
f. Verkada Command(手順 2)で生成された SCIM トークン をシークレットトークンとして入力します。
「接続のテスト」をクリックします。SCIM 接続が成功したことを確認するメッセージが表示されるはずです。
a. 「 Microsoft Entra ID グループの属性を構成する Entra ID ポータルで「マッピング」ドロップダウンを展開し、「Microsoft Entra ID グループのプロビジョニング」を選択します。 マッピングを次のデータテーブルのスクリーンショットに一致するように構成します: 「 externalId 」属性はデフォルトで追加されます。構成上の問題を回避するためにこの属性を削除してください。 (オプション)マッピングを追加する必要がある場合: 「新しいマッピングを追加」 > 「.
ソース属性
」を選択して、上記の Microsoft Entra ID 属性に一致させます。 b. 「
ターゲット属性
」を上記の「
customappsso
f. Verkada Command(手順 2)で生成された SCIM 」属性に一致するように設定します。 c. 「 OK 」をクリックします。 必要に応じて「保存」をクリックして変更を確認します。
ページ上部で「プロビジョニング」を選択してプロビジョニングページに戻ります。
マッピングを下記の属性テーブルに一致するように更新します。
Microsoft Entra ID 属性の下の「
Switch
ページ上部で「プロビジョニング」を選択してプロビジョニングページに戻ります。
」属性は「
式(Expression)
」マッピングタイプとして追加されます。
Switch([IsSoftDeleted], , "False", "True", "True", "False")
customappsso 属性
Microsoft Entra ID 属性
userName
userPrincipalName
active
title
jobTitle
name.givenName
givenName
name.familyName
surname (オプション)マッピングを追加する必要がある場合: phoneNumbers[type eq "work"].value telephoneNumberurn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber employeeId urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization companyName.
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department department ソース属性は Microsoft Entra ID 属性であり、ターゲット属性は customappsso 属性です。もし任意の 属性が「 ターゲット属性 department 」として利用できない場合は、それらを Microsoft Entra ID プラットフォームにオプションとして追加する必要があるかもしれません。そのためには「詳細オプションを表示」ボックスをチェックし、 「customappsso の属性リストを編集」 をクリックしてください。
SCIM 管理されたユーザーは Command で電話番号を編集するオプションがなくなり、SCIM を通じてのみプロビジョニングできます。IDP 側では、IDP インスタンス内の任意のフィールドを Command の
電話番号
フィールドにマップするように属性マッピングを設定できます。また、IDP の
no
フィールドを Command の
フィールドにマップするように設定することもできます。しかしこの場合でも、電話番号は Command 内で
ロックされた
フィールドとなり、SCIM を通じてのみ編集可能です。 「保存」をクリックして変更を確認します。上部で「プロビジョニング」を選択し、プロビジョニングステータスをオンに切り替えます。 要件に応じて、スコープを次の必須オプションのいずれかに調整します: すべてのユーザーとグループを同期する。
割り当てられたユーザーとグループのみを同期する。
「ユーザーとグループ」下でユーザーとグループがエンタープライズアプリケーションに割り当てられていることを確認します。割り当てられたものがプロビジョニングされ Command に存在するものです。
ユーザーがアプリケーションに割り当てられていることを確認します。初回プロビジョニングサイクルが経過したら: a. 「概要」の下に正常にプロビジョニングされたユーザーとグループの合計数が表示されるはずです。
b. Command では、これらのユーザーとグループが関連する「 SCIM 管理
」タグで表示されるはずです。これらの同期されたユーザーとグループは Command 内で使用でき、Command プラットフォームへのアクセスを制御するための権限を割り当てることができます。
Command から SCIM 管理されたユーザーを削除する
ユーザーを削除する
– アカウントは「削除済みユーザー」ページに移動しますが、履歴レコード、役割、および権限は保持されます。
ユーザーを完全に削除する
– すべての役割、認証情報、アクセスログ、および関連データが消去されます。ユーザーが再び SCIM を通じてプロビジョニングされた場合、Command は新しいユーザーレコードを作成します。
Command でこれらの削除オプションを使用可能にする前に、必ず IdP でユーザーを無効化してください。
(オプション)SCIM ユーザーにアクセス資格情報を追加する Azure ポータル.
検索バーに入力して「エンタープライズアプリケーション」を選択します。
あなたの Verkada SCIM アプリケーションを選択します。 左側のパネルで「管理」>「プロビジョニング」をクリックします。 「マッピング」サブメニューを展開し、「Microsoft Entra ID ユーザーのプロビジョニング」を選択します。 下部で「詳細オプションを表示」>「customappsso の属性リストを編集」をクリックします。 a. 下の表から属性を追加します。 b. 「 保存 」をクリックします。
「Microsoft Entra ID ユーザーのプロビジョニング」に戻り、「新しいマッピングを追加」を選択します。 a. extensionAttributes 1-5 を「 ソース属性
」として使用し、次のように作成した新しい属性にマップします: Card Format、Card Number、Card Number Hex、Credential Status、
および Azure ポータル.
Facility Code
をターゲット属性として使用します。
参照
許容されるカード形式
受け入れられるカード形式とそれに関連するファシリティコード、カード番号、および/またはカード番号ヘックスの長さについては参照してください。
Credential Status
受け入れられるカード形式とそれに関連するファシリティコード、カード番号、および/またはカード番号ヘックスの長さについては参照してください。
は「active」、「deactivated」、または「deleted」にすることができます
受け入れられるカード形式とそれに関連するファシリティコード、カード番号、および/またはカード番号ヘックスの長さについては参照してください。
d. 「
受け入れられるカード形式とそれに関連するファシリティコード、カード番号、および/またはカード番号ヘックスの長さについては参照してください。
属性テーブル
受け入れられるカード形式とそれに関連するファシリティコード、カード番号、および/またはカード番号ヘックスの長さについては参照してください。
」をクリックします。
名前
タイプ
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
String
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
の下で「:plus:」をクリックします。 urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode.
アプリ登録の編集 Entra AD 上で作成されたすべての SCIM 対応エンタープライズアプリケーションは、通常それぞれ専用のアプリ登録を必要とします。 検索バーに入力して「アプリの登録」を選択します。「すべてのアプリケーション」タブに切り替えて、あなたの Verkada SCIM アプリケーションの名前を検索します。 「概要」でアプリ登録のアプリケーション(クライアント)ID とディレクトリ(テナント)ID を確認してください。これらは後でアプリ登録から Command アプリケーションの資格情報を構成するために必要になります。
左側のナビゲーションで「管理」をクリックします。 a. 「 証明書とシークレット: 」の下で
クライアント ID 新しいクライアントシークレット:
の下で「:plus:」をクリックします。 を作成します。
「説明」を次のように設定します: " Verkada SCIM Credentials"」とし、希望の証明書有効期限を設定します。".
作成された新しいクライアントシークレットの「
の下で「:plus:」をクリックします。 値.
」に表示された値をコピーして保存してください。 これは一度しか表示されません。.
API 権限 「権限の追加」>「Microsoft Graph」を選択します。.
「
アプリケーションの権限 」を選択し、.
"User.ReadWrite.All" を検索します。 チェックボックスをオンにして権限を割り当てます。 Switch 「権限の追加」をクリックします。
Azure Entra とあなたの Command アプリケーション間で通信されるすべての段階的な変更を手動でレビューおよび承認する手間を避けるために、
」属性を
に設定することが、資格情報を Command と正常に同期するために必要です。credentialStatus は extensionAttribute4 です。
例:
curl --location --request PATCH 'https://graph.microsoft.com/v1.0/users/<UserID>' \
--header 'Authorization: Bearer <secure token>' \
ユーザーを削除する
– アカウントは「削除済みユーザー」ページに移動しますが、履歴レコード、役割、および権限は保持されます。
ユーザーを完全に削除する
– すべての役割、認証情報、アクセスログ、および関連データが消去されます。ユーザーが再び SCIM を通じてプロビジョニングされた場合、Command は新しいユーザーレコードを作成します。
--header 'Content-Type: application/json' \
--data '{
"onPremisesExtensionAttributes": {
"extensionAttribute1": "Standard 26-bit Wiegand",
"extensionAttribute2": "7777",
」の場合
"extensionAttribute3": "7",
"extensionAttribute4": "active",
"extensionAttribute5": "111"
外部 ID を Verkada に同期する
externalId フィールドを使用すると、Microsoft Entra を通じてユーザーに永続的でグローバルに一意な識別子を割り当てることができ、Verkada は統合全体でこれを参照できます。これは、ユーザーをシステム間で識別する必要がある大規模な企業環境や、資格情報(例:アクセスカード)の同期を一意の識別キーに結び付ける必要がある場合に特に有用です。Verkada はこの値を SCIM ユーザースキーマの一部として受け取り保存することをサポートします。フィールドは大文字小文字を区別し、通常は Microsoft Entra インスタンス内の指定された属性から文字列値を受け取るように構成されます。この機能は、カスタム資格情報管理、従業員ライフサイクルの自動化、および組織間での一貫したユーザーマッピングなどの高度なワークフローをサポートします。
Azure から Verkada へ externalId をマップする Microsoft Entra ID(Azure)から Verkada にカスタム externalId 値を同期するには、次の手順に従ってください: Azure ポータルにログインします。.
最終更新
役に立ちましたか?