Microsoft Entra ID

Microsoft Entra ID（Azure AD）でSSOとユーザープロビジョニングを構成する

ユースケースによっては、 Verkada Command は、他のアイデンティティプロバイダ（IdP）と同様に、以下の役割で Microsoft Entra ID と統合する機能を備えています：

Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)

SAML は認証側を担当し、Microsoft Entra ID を Command へのアクセス管理に使用できるようにします。これは他の SaaS アプリケーションが既にあなたの Microsoft Entra ID テナントに統合されているのと同じです。つまり、Command を既存のアイデンティティフレームワークに組み込み、現在のポリシーに基づいてユーザーを承認できます。

SCIM は Microsoft Entra ID に既に存在するユーザーとグループを活用して Command と同期することを可能にします。これにより、現在の中央 IdP を維持し、既存のユーザーとグループを使って Command 内の権限を構成できます。

Verkada は、強化されたセキュリティとより簡単な構成のために SAML より OIDC を推奨します。OIDC はまた、 Enterprise Controlled Encryption.

Azure Entra 向け OIDC ベースの SSO

Verkada Command は Azure Entra を使った OpenID Connect（OIDC）によるシングルサインオン（SSO）をサポートします。この統合により、ユーザーは既存の Azure Entra 資格情報を使用してシームレスかつ安全に認証でき、Command へのアクセスが簡素化され全体的なセキュリティが向上します。

OIDC は Pass アプリまたは Desk Station アプリではサポートされていません。

有効にする Enterprise Controlled Encryption（ECE）でセキュリティを強化します。

Azure Entra の構成

にログインします Azure Entra ポータル.

「アプリの登録」を検索して選択します。

「新しい登録」をクリックします。

a. アプリケーションに名前を付けます Verkada SSO OIDC。 b. 「 サポートされているアカウントの種類」 で、 「この組織ディレクトリ内のアカウントのみ（シングルテナントのみ）」を選択します。 c. 「 リダイレクト URI」の下で、 シングルページアプリケーション （SPA）をプラットフォームとして選択し、次のコールバック URL を追加します：

https://command.verkada.com/oidc/aad/callback
https://org-short-name.command.verkada.com/oidc/aad/callback （URI 内の org-short-name をあなたの Command 組織の short-name に置き換えてください。）

コールバック URI に末尾のスラッシュがないことを確認してください。

「登録」をクリックします。

アプリケーション（クライアント）ID とディレクトリ（テナント）ID をコピーして安全な場所に保存してください。Verkada Command でのセットアップ完了にこれらが必要になります。

左側で「管理」>「API の公開」をクリックします。

a. 「 スコープを追加」をクリックします。 b. 「 保存して続行」をクリックします。 c. 次の項目に verkada_ece を入力します：

スコープ名
管理者同意表示名
管理者同意の説明
ユーザー同意表示名
ユーザー同意の説明

d. 「 誰が同意できますか？」 を 管理者とユーザー」に設定します。 e. 「 スコープを追加」をクリックします。

Verkada Command の構成

Verkada Command で、All Products > Admin に移動します。

左側のナビゲーションで「ログインとアクセス」を選択します。

「シングルサインオンの構成」を選択します。

OIDC 構成の下で「新規追加」をクリックします。

a. 「 有効にする」をオンに切り替えます。 b. （任意）「 OIDC SSO を必須にする」をオンに切り替えます。 c. 「 プロバイダを選択、 で、 Azure Entra。 d. 「 クライアントとテナントを追加」 で「:plus:」をクリックします。

「 クライアント ID 」フィールドに、Azure Entra からコピーしたクライアント ID を貼り付けます。
「「テナント ID
」フィールドに、Azure Entra からコピーしたテナント ID を貼り付けます。「.

完了」をクリックします。 e. 「 メールドメイン」.

で「:plus:」をクリックします
」フィールドに、Azure Entra からコピーしたテナント ID を貼り付けます。「.

使用するドメイン名を入力します（例: @verkada.com）。

「ログインテストを実行」をクリックします。

ログインテストが成功すると OIDC 構成ページにリダイレクトされるはずです。ログイン後、ホワイトリストに追加する必要のあるドメインを追加してください。

ドメインを追加したら、再度ログインテストを実行してください。2 回目のログインテストが正常に完了するまで SSO は有効になりません。

ドメインが検証されると、正常に検証されたことが表示されます。

Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)

Microsoft Entra ID の SAML 統合

Microsoft Entra ID で SAML を設定する

Verkada Command はギャラリーアプリケーションとして登録されており、Microsoft Entra ID マーケットプレイス内で見つけることができます。つまり、Microsoft Entra ID Free、Microsoft Entra ID P1、および Microsoft Entra ID P2 のライセンスで利用できます。 開始するには、あなたのclient-ID が必要です。生成方法とメールドメインの構成方法を学んでから、この記事に戻って残りの手順を完了してください。Verkada Command を Microsoft Entra ID ディレクトリにエンタープライズアプリケーションとして追加します：Microsoft Entra ID の概要ページに移動し、「エンタープライズアプリケーション」を選択します。

ページ上部で「新しいアプリケーション」を選択し、Verkada Command を検索します。

Verkada Command を選択して「作成」をクリックします。

アプリケーションの追加には数分かかる場合があるため、しばらくお待ちください。 Microsoft Entra ID テナント ページが更新されると、以下に示すようなメニューが表示されます。.

「シングルサインオンを設定」で「開始」をクリックします。

シングルサインオンの方法として SAML を選択します。

必要に応じて「編集」をクリックして SAML 接続をさらに構成します。

次のフィールドを構成します。Microsoft Entra ID に追加する前に、各 URL の末尾にクライアント ID を追加する必要があります。注記の下の例を参照してください。

a. 「

識別子 」：米国組織の場合：https://vauth.command.verkada.com/saml/sso EU 組織の場合： https://saml.prod2.verkada.com/saml/sso オーストラリア組織の場合：https://saml.prod-ap-syd.verkada.com/saml/sso b. 「

応答 URL 」：https://vauth.command.verkada.com/saml/sso EU 組織の場合： https://saml.prod2.verkada.com/saml/sso オーストラリア組織の場合： https://saml.prod-ap-syd.verkada.com/saml/sso b. 「

c. 「 サインオン URLhttps://vauth.command.verkada.com/saml/sso 」： https://saml.prod2.verkada.com/saml/sso https://vauth.command.verkada.com/saml/login https://saml.prod-ap-syd.verkada.com/saml/sso b. 「

https://saml.prod2.verkada.com/saml/login どのリージョンに所属しているかを確認するには、.

あなたの組織が Verkada のために作成された場所を参照してください

「保存」をクリックします。

「属性とクレーム」で「編集」をクリックし、次の属性と一致するようにしてください：

「SAML 署名証明書」で、このフェデレーションメタデータ XML を Command にインポートします。

「ダウンロード」をクリックして後で保存します。

メールに対して別のソース属性を使用する場合は、使用したいソース属性に従って属性を構成してください。

表示される次のダイアログには、統合が確定した後に使用できるツールが含まれます。

フェデレーションメタデータ XML を Command にアップロードする Microsoft Entra ID の手順を完了してメタデータをダウンロードしたら、 XML メタデータファイルをアップロード

してください（Command 内で）。

Microsoft Entra ID で SAML 接続をテストする

ファイルをアップロードしたら、Microsoft Entra ID 側で「テスト」をクリックして統合をテストします。通知が Command アカウントを持つすべてのユーザーに送信されます（組織への招待）。

「現在のユーザーとしてサインイン」でログインします。すべてが正しく設定されていれば、Command プラットフォームにリダイレクトされるはずです。

シングルサインオンでログインし、Command へのアクセスを確認します。

現時点では Microsoft Entra ID はアプリへのアクセスにネストされたグループをサポートしていません。すべてのユーザーはグループの直接メンバーである必要があります。

モバイルアプリ経由でのログイン

「 Command の Android と iOS は SAML を介したログインをサポートしています。 メールアドレス フィールドにメールアドレスを入力し、「次へ」

ユーザープロビジョニング

Microsoft Entra ID の SCIM 統合

Verkada Command は System for Cross-Domain Identity Management（SCIM）を使用して Microsoft Entra ID と統合し、ユーザーとグループの自動プロビジョニングを行います。

SCIM は Microsoft Entra ID からユーザーとグループを直接 Command に同期します。これにより次のことが可能になります：
Microsoft Entra ID を中央の IdP として維持する。
Entra ID で変更が発生した際に、Command 内のユーザーとグループを自動的に更新する。

既存のアイデンティティ構造を使用して Command 内で権限を割り当ておよび管理する。

組織が SCIM を使用している場合、電話番号は SCIM を通じてのみプロビジョニングできます。Command 側で電話番号を直接編集することはできません。

Microsoft Entra ID で SCIM を構成する前に、Command でシークレットトークンを生成する必要があります。

Verkada Command で、All Products > Admin に移動します。

Org Settings の下で、Login & Access & Logs > SCIM Users Provisioning を選択します。

「ドメインを追加」をクリックし、SCIM と一緒に使用する予定の関連するメールドメインをすべて入力します。

これにより SCIM トークンが生成され、 一度だけ表示されます。

a. 「 トークンをコピーして安全な場所に保存し、後で構成で使用してください。 b. トークンをコピーしていないか表示されない場合は、 「更新」 をクリックして新しいトークンを生成します。 Microsoft Entra ID のホームページから、Enterprise applications > New application > Create your own application を選択します。

「Create your own application」サイドパネルでアプリケーション名を入力し、非ギャラリーアプリケーションを選択して「作成」をクリックします。

「Provision User Accounts」の下で「開始」をクリックします。

「管理」>「プロビジョニング」を選択します。

プロビジョニングページで：

a. プロビジョニングモードを「自動」に設定します。 b. テナント URL を次のように設定します：

米国組織の場合：

https://api.command.verkada.com/scim https://scim.prod2.verkada.com/scim
https://saml.prod2.verkada.com/saml/sso https://scim.prod-ap-syd.verkada.com/scim
https://saml.prod-ap-syd.verkada.com/saml/sso どのリージョンに所属しているかを確認するには、

あなたの組織が Verkada のために作成された場所を参照してください f. Verkada Command（ステップ 2）で生成した SCIM.

トークン をシークレットトークンとして入力します。 「接続テスト」をクリックします。SCIM 接続が成功したことを確認するメッセージが表示されるはずです。

Microsoft Entra ID グループの属性を構成する

あなたの組織が Verkada のために作成された場所を参照してください

Entra ID ポータルで、マッピングのドロップダウンを展開して「Microsoft Entra ID グループのプロビジョニング」を選択します。

マッピングを次のデータテーブルのスクリーンショットと一致するように構成します：

「

externalId 」属性はデフォルトで追加されます。構成の問題を避けるためにこの属性を削除してください。 （任意）マッピングを追加する必要がある場合：

「新しいマッピングを追加」

a. 「 > で、 「ソース属性」 を選択して上記の Microsoft Entra ID 属性と一致させます。 b. 「 ターゲット属性 」を上記の customappsso 属性と一致するように設定します。 c. 「 OK 」をクリックします。.

必要に応じて「保存」をクリックして変更を確認します。

ページ上部で「プロビジョニング」を選択してプロビジョニングページに戻ります。

Microsoft Entra ID ユーザーの属性を構成する

Entra ID ポータルでマッピングのドロップダウンを展開し、「Microsoft Entra ID ユーザーのプロビジョニング」を選択してユーザーマッピングを変更します。

属性テーブルに一致するようにマッピングを更新します。

externalId Microsoft Entra ID 属性の下でスイッチ 属性が「 式（Expression） 」マッピングタイプとして追加されます。

Switch([IsSoftDeleted], , "False", "True", "True", "False")

customappsso 属性

Microsoft Entra ID 属性

userName

userPrincipalName

active

Switch([IsSoftDeleted], , "False", "True", "True", "False")

title

jobTitle

name.givenName

givenName

name.familyName

surname

phoneNumbers[type eq "work"].value

telephoneNumber

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber

employeeId

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization

companyName

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

department

「ソース属性」は Microsoft Entra ID 属性であり、「ターゲット属性」は customerappsso 属性です。もし任意の 属性と一致するように設定します。 c. 「 属性が ターゲット属性として利用できない場合は、Microsoft Entra ID プラットフォームにそれらをオプションとして追加する必要があるかもしれません。その場合は「詳細オプションを表示」ボックスをチェックして、 「カスタム appsso の属性リストを編集」 をクリックしてください。 SCIM 管理下のユーザーは Command で電話番号を編集するオプションがなくなり、代わりに SCIM を通じてのみプロビジョニングされます。IDP 側では、IDP インスタンス内の任意のフィールドを Command の.

電話番号 フィールドにマップするよう属性マッピングを設定できます。また、IDP の no フィールドを Command の フィールドにマップするように設定することも可能です。しかし、この場合でも電話番号は Command 内で フィールドにマップするよう属性マッピングを設定できます。また、IDP の ロックされた フィールドとなり、SCIM を通じてのみ編集可能です。 変更を確定するには「保存」をクリックします。

上部で「プロビジョニング」を選択し、プロビジョニングステータスをオンに切り替えます。

要件に応じて、スコープを次の必要なオプションのいずれかに調整します：

すべてのユーザーとグループを同期する。

割り当てられたユーザーとグループのみを同期する。
ユーザーとグループが「ユーザーとグループ」の下でエンタープライズアプリケーションに割り当てられていることを確認してください。割り当てられたものが Command にプロビジョニングされ表示されます。

ユーザーがアプリケーションに割り当てられていることを確認してください。初回のプロビジョニングサイクルが経過したら：

a. 「概要」の下に、正常にプロビジョニングされたユーザーとグループの合計数が表示されるはずです。

. b. Command では、これらのユーザーとグループが関連する SCIM 管理タグで表示されているはずです。これらの同期されたユーザーとグループは Command 内で使用できるようになり、Command プラットフォームへのアクセスを制御するために権限を割り当てることができます。 Command から SCIM 管理下のユーザーを削除する IdP で SCIM 管理下のユーザーが無効化された場合、Command からそのユーザーを次の 2 つの方法で削除できます：

ユーザーを削除する

– アカウントは「削除されたユーザー」ページに移動しますが、履歴記録、役割、および権限は保持されます。

ユーザーを完全に削除する – すべての役割、認証情報、アクセスログ、および関連データが消去されます。ユーザーが SCIM を通じて再プロビジョニングされた場合、Command は新しいユーザーレコードを作成します。
削除オプションを Command で利用可能にする前に、IdP 側でユーザーを無効化する必要があります。 （任意）SCIM ユーザーにアクセス認証情報を追加する

Azure ポータル

検索バーに「Enterprise Applications」と入力して選択します。

にログインします あなたの Verkada SCIM アプリケーションを選択します。.

左側のパネルで「管理」>「プロビジョニング」をクリックします。

マッピングのサブメニューを展開して「Microsoft Entra ID ユーザーのプロビジョニング」を選択します。

下部で「詳細オプションを表示」>「カスタム appsso の属性リストを編集」をクリックします。

a. 下の表から属性を追加します。 b. 「保存」をクリックします。

「Microsoft Entra ID ユーザーのプロビジョニング」に戻り、「新しいマッピングを追加」を選択します。

a. extensionAttributes 1-5 を「ソース属性」として使用し、 それらを Card Format、Card Number、Card Number Hex、Credential Status、.

および

Facility Code として作成した新しい属性にマップします。 参照 許容されるカード形式 受け入れられるカード形式とそれに関連するファシリティコード、カード番号、および/またはカード番号の 16 進表現の長さについては参照してください。 Credential Status は「active」「deactivated」「deleted」のいずれかにできます

d. 「属性テーブル」をクリックします。
名前種類

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat それらを Card Format、Card Number、Card Number Hex、Credential Status、.

文字列

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus