Microsoft Entra ID
Microsoft Entra ID(Azure AD)を使用してSSOとユーザープロビジョニングを設定する
ユースケースによっては、 Verkada Command は、以下の機能において、Microsoft Entra ID やその他の ID プロバイダ(IdP)と統合することができます:
セキュリティ・アサーション・マークアップ・ランゲージ(SAML)
System for Cross-Domain Identity Management(SCIM)
SAML は認証面を担い、他の Software as a Service(SaaS)アプリケーションと同様に Microsoft Entra ID を使用して Command へのアクセスを管理できるようにします。つまり、Command を既存の ID フレームワークに組み込み、現在のポリシーに基づいてユーザーを認可できます。
SCIM は、Microsoft Entra ID にすでに存在する既存のユーザーとグループを活用し、それらを Command と同期できます。これにより、現在の中央 ID プロバイダを維持したまま、既存のユーザーとグループを使用して Command の権限を設定できます。
Verkada では、セキュリティ強化と設定の容易さのために SAML よりも OIDC を推奨しています。OIDC により、 Enterprise Controlled Encryption.
Azure Entra 向け OIDC ベースの SSO
Verkada Command は、Azure Entra を使用した OpenID Connect(OIDC)によるシングルサインオン(SSO)をサポートしています。この統合により、ユーザーは既存の Azure Entra 認証情報を使ってシームレスかつ安全に認証でき、Command へのアクセスを簡素化し、全体的なセキュリティを強化できます。
OIDC は Desk Station アプリではサポートされていません。
有効にする Enterprise Controlled Encryption(ECE) で、セキュリティを強化します。
Azure Entra の設定
にサインインします Azure Entra ポータル.
App registrations を検索して選択します。
[New Registration] をクリックします。
a. アプリケーション名を Verkada SSO OIDC b. [ Supported account types, ] で この組織ディレクトリ内のアカウントのみ(単一テナントのみ)を選択します。 c. [ Redirect URI] で、 Single-page application (SPA)をプラットフォームとして選択し、次のコールバック URL を追加します:
https://org-short-name.command.verkada.com/oidc/aad/callback (URI 内の org-short-name は、Command 組織の short-name に置き換えてください。)
コールバック URI に末尾のスラッシュがないことを確認してください。
[Register] をクリックします。
アプリケーション(クライアント)ID とディレクトリ(テナント)ID をコピーし、安全な場所に保管してください。Verkada Command でのセットアップを完了するために必要になります。
左側で、[Manage] > [Expose an API] をクリックします。
a. [ Add a scope. b. [ Save and continue] をクリックします。 c. 次を入力します: verkada_ece 次のフィールドに対して:
スコープ名
管理者同意の表示名
管理者の同意の説明
ユーザーの同意の表示名
ユーザーの同意の説明
d. 設定 誰が同意できますか? に 管理者とユーザー。 e. クリック スコープを追加。
Verkada Command の構成
Verkada Command で、[All Products] > [Admin] に移動します。
左側のナビゲーションで、[Login & Access] を選択します。
[Single Sign-On Configuration] を選択します。
[OIDC Configuration] の下で、[Add New] をクリックします。
a. オンに切り替える 有効にします。 b. (任意) オンに切り替える OIDC SSO を必須にする。 c. [ [Provider] を選択し、 ] で Azure Entra。 d. の下で [Add Client and Tenant] をクリック します。
の Client ID フィールドに、Azure Entra からコピーした Client ID を貼り付けます。
の Tenant ID フィールドに、Azure Entra からコピーした Tenant ID を貼り付けます。
クリック 完了.
e. の下で Email Domains, :plus: をクリック.
登録済みのドメイン名を入力します(例: @verkada.com)。
クリック 完了.
[Run Login Test] をクリックします。
ログインテストが成功すると、OIDC 設定ページにリダイレクトされるはずです。ログインしたら、ホワイトリストに追加する必要があるドメインを追加します。
ドメインを追加したら、もう一度ログインテストを実行します。2 回目のログインテストが正常に完了するまで、SSO は有効になりません。
ドメインが確認されると、正常に検証されたことが表示されるはずです。
Microsoft Entra ID SAML 統合
ユースケースによっては、 Verkada Command は、以下の機能において、Microsoft Entra ID やその他の ID プロバイダ(IdP)と統合することができます:
セキュリティ・アサーション・マークアップ・ランゲージ(SAML)
System for Cross-Domain Identity Management(SCIM)
SAML は認証面を担い、他の Software as a Service(SaaS)アプリケーションと同様に Microsoft Entra ID を使用して Command へのアクセスを管理できるようにします。つまり、Command を既存の ID フレームワークに組み込み、現在のポリシーに基づいてユーザーを認可できます。
SCIM は、Microsoft Entra ID にすでに存在する既存のユーザーとグループを活用し、それらを Command と同期できます。これにより、現在の中央 ID プロバイダを維持したまま、既存のユーザーとグループを使用して Command の権限を設定できます。
Microsoft Entra ID で SAML を設定する
Verkada Command はギャラリーアプリケーションとして登録されており、Microsoft Entra ID マーケットプレイス内で見つけることができます。つまり、Microsoft Entra ID Free、Microsoft Entra ID P1、Microsoft Entra ID P2 ライセンスで利用できます。
開始するには、 client-IDが必要です。 その生成方法とメールドメインの構成方法を学び、その後この手順の残りを完了するためにこの記事に戻ってください。
Microsoft Entra ID ディレクトリに Verkada Command をエンタープライズアプリケーションとして追加します。Microsoft Entra ID の概要ページに移動し、[Enterprise applications] を選択します。
ページ上部で、[New Application] を選択し、Verkada Command を検索します。
Verkada Command を選択し、[Create] をクリックします。 アプリケーションを追加するには数分かかる場合があるため、しばらくお待ちください。 Microsoft Entra ID テナント.
ページが更新されたら、同様のメニューが表示されるはずです(以下参照)。
シングルサインオンの設定で、「開始する」をクリックします。
シングルサインオン方式として SAML を選択します。
必要に応じて、「編集」をクリックして SAML 接続をさらに設定します。
次のフィールドを設定します。Microsoft Entra ID に追加する前に、各 URL の末尾にクライアント ID を追加する必要があります。下の注記の例を参照してください。
a. 識別子: 米国のオーガナイゼーションの場合: https://vauth.command.verkada.com/saml/sso EU のオーガナイゼーションの場合: https://saml.prod2.verkada.com/saml/ssoオーストラリアのオーガナイゼーションの場合: https://saml.prod-ap-syd.verkada.com/saml/sso
b. 返信 URL: 米国のオーガナイゼーションの場合: https://vauth.command.verkada.com/saml/sso EU のオーガナイゼーションの場合: https://saml.prod2.verkada.com/saml/sso オーストラリアのオーガナイゼーションの場合: https://saml.prod-ap-syd.verkada.com/saml/sso
c. サインオン URL: 米国のオーガナイゼーションの場合: https://vauth.command.verkada.com/saml/login EU のオーガナイゼーションの場合: https://saml.prod2.verkada.com/saml/login オーストラリアのオーガナイゼーションの場合: https://saml.prod-ap-syd.verkada.com/saml/sso
どの地域に所在しているかを確認するには、 Verkada 用にオーガナイゼーションが作成された場所.
「保存」をクリックします。
[属性とクレーム] で「編集」をクリックし、これらの属性に一致させます。
メールに別のソース属性を使用する場合は、使用したいソース属性に従って属性を設定してください。
[SAML 署名証明書] で、このフェデレーション メタデータ XML を Command にインポートします。
後で保存するには、「ダウンロード」をクリックします。
表示される次のダイアログには、統合完了後に使用できるツールが含まれます。
Verkada Command に戻って 設定を完了します.
Microsoft Entra ID で SAML 接続をテストする
ファイルがアップロードされたら、Microsoft Entra ID で「テスト」をクリックして統合をテストします。Command アカウントを持つすべてのユーザーに通知が送信されます(オーガナイゼーションへの招待)。
現在のユーザーとしてサインインしてログインします。すべて正しく設定されていれば、Command プラットフォームにリダイレクトされます。
シングルサインオンでログインして、Command へのアクセスを確認します。
現在、Microsoft Entra ID はアプリのアクセスに対するネストされたグループをサポートしていません。割り当てを行うには、すべてのユーザーがグループの直接メンバーである必要があります。
モバイルアプリからログインする
Android および iOS の Command アプリは、SAML ベースのログインをサポートしています。
Command アプリを開きます。
メールアドレス欄にメールアドレスを入力し、「次へ」をクリックします。
ログインを完了するために、IDプロバイダ(Microsoft Entra ID)へリダイレクトされるはずです。
Microsoft Entra ID SCIM 統合
Verkada Command は、ユーザーとグループの自動プロビジョニングのために、System for Cross-Domain Identity Management(SCIM)を使用して Microsoft Entra ID と統合します。
SCIM は、Microsoft Entra ID のユーザーとグループを Command に直接同期します。これにより、次のことが可能になります。
Microsoft Entra ID を中央の IDプロバイダとして維持する。
Entra ID で変更が発生すると、Command のユーザーとグループを自動的に更新する。
既存の ID 構造を使用して、Command で権限を割り当て、管理する。
オーガナイゼーションで SCIM を使用している場合、電話番号は SCIM を通じてのみプロビジョニングできます。Command で直接電話番号を編集することはできません。
Microsoft Entra ID での SCIM 設定
Microsoft Entra IDでSCIMを設定する前に、Commandでシークレットトークンを生成する必要があります。
Verkada Command で、[All Products] > [Admin] に移動します。
[Org Settings] で、[Login & Access & Logs] > [SCIM Users Provisioning] を選択します。
[Add Domain] をクリックし、SCIMで使用する予定の関連するすべてのメールドメインを入力します。
これにより、SCIMトークンが生成されます。 これは一度しか表示できません。
a. [ コピー し、後で設定に使用できるよう、トークンを安全な場所に保管します。 b. [次へ] をクリック 更新 トークンをコピーしなかった場合、または表示されない場合は、新しいトークンを生成します。
Microsoft Entra IDのホームページから、[Enterprise applications] > [New application] > [Create your own application] を選択します。
[Create your own application] のサイドパネルで、アプリケーション名を入力し、非ギャラリーアプリケーションを選択して、[Create] をクリックします。
[Provision User Accounts] で、[Get started] をクリックします。
[Manage] > [Provisioning] を選択します。
プロビジョニングページで:
a. [Provisioning Mode] を [Automatic] に設定します。 b. [Tenant URL] を次のように設定します:
USのオーガナイゼーションの場合: https://api.command.verkada.com/scim
EU のオーガナイゼーションの場合: https://scim.prod2.verkada.com/scim
オーストラリアのオーガナイゼーションの場合: https://scim.prod-ap-syd.verkada.com/scim
どのリージョンに所在しているかを確認するには、 Verkada用にオーガナイゼーションが作成された場所を参照してください.
f. SCIM トークン Verkada Commandで生成された(手順2)ものをシークレットトークンとして入力します。
[Test Connection] をクリックします。SCIM接続が成功したことを示す確認メッセージが表示されるはずです。
「保存」をクリックします。
Microsoft Entra IDグループの属性を設定する
Entra IDポータルで、[Mappings] ドロップダウンをクリックして展開し、[Provision Microsoft Entra ID Groups] を選択します。
マッピングを、このデータテーブルのスクリーンショットに一致するように設定します:
この externalId 属性はデフォルトで追加されています。設定に関する問題を避けるため、この属性を削除してください。
(任意)マッピングを追加する必要がある場合:
a. [ [Add New Mapping] > [Source attribute] を選択します ソース属性 が上記のMicrosoft Entra IDattributeに一致するように設定します。 b. [ ターゲット属性 が customappsso 上記の属性に一致するように設定します。 c. [ OK.
必要に応じて、[Save] をクリックして変更を確認します。
ページ上部で [Provisioning] を選択し、[Provisioning] ページに戻ります。
Microsoft Entra IDユーザーの属性を設定する
Entra IDポータルで、[Mappings] ドロップダウンをクリックして展開し、次に [Provision Microsoft Entra ID Users] を選択してユーザーマッピングを変更します。
マッピングを、以下の属性テーブルに一致するように更新します。
この Switch Microsoft Entra ID Attribute の下の属性は、 Expression マッピングタイプとして追加されます。
Switch([IsSoftDeleted], , "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
costCenter
ソース属性は Microsoft Entra ID 属性で、ターゲット属性は customerappsso 属性です。もし customappsso 属性のいずれかが ターゲット属性として利用できない場合は、Microsoft Entra ID プラットフォームにオプションとして追加する必要がある場合があります。そのためには、 詳細オプションを表示 ボックスにチェックを入れ、 customappsso の属性リストを編集.
SCIM 管理ユーザーは Command 内で電話番号を編集するオプションがなくなり、SCIM 経由でのみプロビジョニングできます。IDP 側では、IDP インスタンス内の任意のフィールドを Command の 電話番号 フィールドにマッピングするように属性マッピングを設定できます。また、IDP の いいえ フィールドを Command の 電話番号 フィールドにマッピングするようにも設定できます。ただし、この場合でも、電話番号は Command 内では ロックされた フィールドのままであり、SCIM 経由でのみ編集できます。
変更を確定するには[保存]をクリックします。
上部で[プロビジョニング]を選択し、[プロビジョニングの状態]をオンに切り替えます。
要件に応じて、スコープを次のいずれかの必要なオプションに調整します。
すべてのユーザーとグループを同期する。
割り当てられたユーザーとグループのみを同期する。
[ユーザーとグループ]で、ユーザーとグループがエンタープライズ アプリケーションに割り当てられていることを確認します。割り当て済みのものがプロビジョニングされ、Command に表示されます。
ユーザーがアプリケーションに割り当てられていることを確認します。初回のプロビジョニング サイクルが終了したら、次のことを確認します。
a. 次の項目の下に、正常にプロビジョニングされたユーザーとグループの合計数が表示されるはずです。 概要。 b. Command では、これらのユーザーとグループに関連付けられた SCIM 管理 タグが表示されるはずです。これらの同期済みユーザーとグループは、Command で使用でき、Command プラットフォームへのアクセスを制御する権限を割り当てられるようになります。
SCIM 管理ユーザーを Command から削除する
SCIM 管理ユーザーが ID プロバイダで無効化された場合、Command からユーザーを削除する方法は 2 つあります。
ユーザーを削除する – アカウントは[削除済みユーザー]ページに移動しますが、履歴記録、役割、権限は保持されます。
ユーザーを完全に削除する – すべての役割、認証情報、アクセスログ、関連データが消去されます。ユーザーが SCIM 経由で再プロビジョニングされると、Command は新しいユーザー レコードを作成します。
どちらの削除オプションも Command で利用できるようになる前に、ID プロバイダ (IdP) でユーザーを無効化する必要があります。
(任意)SCIM ユーザーにアクセス認証情報を追加する
にサインインします Azure ポータル.
検索バーに「Enterprise Applications」と入力して選択します。
Verkada の SCIM アプリケーションを選択します。
左側のパネルで、[管理]>[プロビジョニング]をクリックします。
[マッピング]サブメニューを展開し、[Microsoft Entra ID ユーザーのプロビジョニング]を選択します。
下部で、[詳細オプションを表示]>[customappsso の属性リストを編集]をクリックします。
a. 以下の表の属性を追加します。 b. 保存.
[Microsoft Entra ID ユーザーのプロビジョニング]に戻り、[新しいマッピングを追加]を選択します。
a. extensionAttributes 1-5 を ソース属性 として使用し、 カード形式、カード番号、カード番号 Hex、認証情報ステータス、 および 施設コード 用に作成した新しい属性にターゲット属性としてマッピングします。
参照 使用可能なカード形式 については、受け入れ可能なカード形式と、それぞれに関連付けられた施設コード、カード番号、および/またはカード番号 Hex の長さを確認してください。
認証情報ステータス "active"、"deactivated"、または "deleted" にできます
クリック 保存.
b. 部門識別子を同期するには、希望するソース属性(例: department またはカスタム拡張属性)を使って新しいマッピングを追加し、ターゲット属性を costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter) に設定します。これにより、部門 ID の値が Command に同期されます。
属性テーブル
名前
種類
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
文字列
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
文字列
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
文字列
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
文字列
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
文字列
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
文字列
アプリ登録を編集する
Entra AD で作成される SCIM 有効のエンタープライズ アプリケーションは、通常それぞれ個別のアプリ登録が必要です。
検索バーに「App registrations」と入力して選択します。
[All Applications]タブに切り替え、Verkada の SCIM アプリケーション名を検索します。
[概要]で、アプリ登録のアプリケーション (クライアント) ID とディレクトリ (テナント) ID を控えます。後で、アプリ登録から Command アプリケーションの認証情報を構成する際に必要になります。
左側のナビゲーションで、[管理]をクリックします。
a. 次の項目の下で 証明書とシークレット:
クリック 新しいクライアント シークレット.
次を設定します。 説明 を「Verkada SCIM Credentials" にし、希望する証明書の有効期限を設定します。
新しく作成したクライアント シークレットの 値 に表示される値をコピーして保存します。 これは一度しか表示されません。
e. の下で API 権限:
クリック [権限の追加]>[Microsoft Graph]を追加します。
[ アプリケーションの権限 ]を選択し、「User.ReadWrite.All".
」を検索します。
クリック 権限を割り当てるためにチェックボックスをオンにします。.
Azure Entra と Command アプリケーションの間でやり取りされるすべての段階的な変更を手動で確認して承認する必要がないようにするには、次を選択します。 既定のディレクトリに対して管理者の同意を付与する.
認証情報のこの一覧を参照してください 使用可能なカード形式.
認証情報へのアクセスと更新
特定のユーザーの拡張属性と認証情報情報を設定するには、次の Graph API 手順を使用します: https://learn.microsoft.com/en-us/graph/extensibility-overview.
次を設定すること credentialStatus 属性を active ユーザーの認証情報を設定するときに、Command と認証情報を正常に同期するために必要です。ここで、credential status (credentialStatus) は extensionAttribute4 です。
例:
外部 ID を Verkada に同期する
externalId フィールドを使用すると、Microsoft Entra を通じてユーザーに永続的でグローバルに一意な識別子を割り当てることができ、Verkada はそれを統合全体で参照できます。これは、ユーザーをシステム間で区別する必要がある大規模な企業環境や、認証情報(例: アクセスカード)の同期を一意の ID キーに結び付ける必要がある場合に特に便利です。Verkada は、この値を SCIM ユーザー スキーマの一部として受信し、保存することをサポートしています。このフィールドは大文字と小文字を区別し、通常は Microsoft Entra インスタンス内の指定された属性から文字列値を受け入れるように構成されます。この機能は、カスタム認証情報管理、従業員ライフサイクルの自動化、組織間での一貫したユーザー マッピングなどの高度なワークフローをサポートします。
Azure の externalId を Verkada にマッピングする
Microsoft Entra ID (Azure) のカスタム externalId 値を Verkada に同期するには、次の手順に従います。
Azure ポータルにログインします。
検索バーに「Enterprise Applications」と入力して選択します。
Verkada の SCIM アプリケーションを選択します。
左側のパネルで、[管理]>[プロビジョニング]をクリックします。
[マッピング]サブメニューを展開し、[Microsoft Entra ID ユーザーのプロビジョニング]を選択します。
一番下までスクロールし、[詳細オプションを表示]>[customappsso の属性リストを編集]をクリックします。
次の新しい属性を追加します。
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
種類: 文字列
大文字小文字を区別: はい
「保存」をクリックします。
[Microsoft Entra ID ユーザーのプロビジョニング]に戻り、[新しいマッピングを追加]をクリックします。
ソース属性には、Azure AD で外部 ID が保存されているフィールド(例: extensionAttribute1、employeeId など)を選択します。
ターゲット属性には次を使用します: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
[OK]をクリックし、その後[保存]をクリックします。
プロビジョニングされると、external_id 値は Verkada 内のユーザーの SCIM レコードに保存されます。これにより、ユーザーは自組織に固有で完全に管理下にある、柔軟で API で照会可能な ID を利用でき、Verkada の内部識別子に結び付けられたり、ユーザー インターフェイスに表示されたりすることはありません。
実際の動作を見たいですか? こちらの ビデオチュートリアル.
最終更新
役に立ちましたか?