Okta
OktaでSSOおよびユーザープロビジョニングを構成する
Verkada Command は、ユースケースに応じて 2 つの機能(Okta を含む他の ID プロバイダ [IdP] と連携する能力)で統合することができます:
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML 認証プロセスを処理し、Okta を使用して Command へのアクセスを管理できるようにします。これは、Okta テナントに既に統合されている他の SaaS アプリケーションと同様です。つまり、Command を既存の識別フレームワークに組み込み、現在のポリシーに基づいてアクセスコントロールを行うことができます。
SCIM Okta に既に存在する既存のユーザーおよびグループを活用し、これらを Command と同期することを可能にします。これにより、現在の中央の ID プロバイダを維持し、Command を通じて既存のユーザーとグループを使ってプラットフォームへのアクセスを設定できます。
Verkada は、セキュリティ強化と設定の容易さのために SAML よりも OIDC を推奨します。OIDC はまた以下を可能にします Enterprise Controlled Encryption.
Okta 用の OIDC ベース SSO
Verkada Command は Okta と OpenID Connect (OIDC) によるシングルサインオン (SSO) をサポートします。この統合により、ユーザーは既存の Okta 資格情報を使用してシームレスかつ安全に認証でき、Command へのアクセスを簡素化し全体的なセキュリティを向上させます。
OIDC は Pass アプリまたは Desk Station アプリではサポートされていません。
有効にする Enterprise Controlled Encryption (ECE) セキュリティ強化のため。
OIDC の設定
Okta インスタンスに移動して、OIDC 設定を管理する新しいアプリケーションを作成します。アプリケーションのサイドバーの Applications をクリックし、Create App Integration をクリックします。
Create a new app integration の下で、Sign-in method として OIDC - OpenID Connect を選択し、Application type として Single-Page Application を選択します。
Sign-in redirect URIs の下で、アプリケーションに識別可能な名前を付け、次のリンクを Sign-in redirect URIs のリストに追加します:
a. https://command.verkada.com/oidc/okta/callback b. https://.command.verkada.com/oidc/okta/callback URL の 部分は Command 組織のショートネームです。
(オプション)Sign-out redirect URIs の下に次を追加します https://command.verkada.com/.
Assignments の下で、まず Skip Group Assignment を選択して Save をクリックします。
Assignments の下で、Assign ドロップダウンをクリックして、このアプリケーションをあなたの(および関連する)ユーザープロフィールに割り当てます。
General の下で、Client Credentials に表示されている Client ID をコピーします。
Command の設定
Verkada Commandで、[All Products] > [Admin] に移動します。
左のナビゲーションで Login & Access を選択します。
Single Sign-On Configuration を選択します。
OIDC Configuration の下で、Add New をクリックします。
a. トグルをオンにします 有効にする。 b.(オプション)トグルをオンにします OIDC SSO を必須にする。 c. の下で Select Provider, を選択します Okta。 d. の下で Add Client and Tenant, クリック :plus:。
In the Client ID フィールドに、Okta からコピーした Client ID を貼り付けます。
In the Tenant ID フィールドには Okta インスタンスの URL の最初の部分を入力します。次のようになります: https://yourinstancename.okta.com.
クリック 完了.
h. Email Domains, クリック :plus:.
使用しているドメイン名を入力します(例: @verkada.com)。
クリック 完了.
Login Test の下で Run Login Test をクリックします。
ログインテストが成功すると OIDC 設定ページにリダイレクトされるはずです。ログインしたら、ホワイトリストに登録する必要のあるドメインを追加してください。
ドメインを追加したら、もう一度ログインテストを実行します。この 2 回目のログインテストが成功するまで SSO は有効になりません。
ドメインが確認されると、正常に検証されたことが表示されます。
Okta SAML 統合
始める前に
統合を成功させるには、地域に最適な手順を選択してください:
米国(US)組織の場合, 既存の Verkada アプリケーションを使用し、以下の手順に従います。
EU および AUS の組織の場合, Okta で新しいアプリ統合を設定するために次のセクションの手順に従ってください。
Verkada Okta アプリを作成する(米国組織)
Okta にログインします。
Applications ページに移動し、Browse App Catalog をクリックします。
検索バーに Verkada と入力します。
Add をクリックします。
Done をクリックします。
Okta で新しいアプリ統合を構成する(EU 組織)
Applications に移動し、Create App Integration を選択します。
新しいアプリ統合を作成し、SAML 2.0 を選択して Next をクリックします。
"Create a SAML integration" ページの General Settings でアプリ名を入力し、必要に応じてアプリのロゴを追加してから Next をクリックします。
configure SAML ページで Single sign-on URL と Entity ID を入力します。 EU 組織の Single sign-on URL:
EU 組織の場合: https://saml.prod2.verkada.com/saml/sso/<client-ID>
AUS 組織の場合: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID> EU 組織の Audience URI (SP Entity ID):
EU 組織の場合: https://saml.prod2.verkada.com/saml/sso/<client-ID>
AUS 組織の場合: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
注:client-ID は Command の設定から取得し、Okta アプリケーションに挿入するリンク内で置き換えてください。
アプリケーションのユーザー名は Okta の Username です。
attributes statements セクションで、属性のマッピングを次のように設定します:
email>user.emailfirstName>user.firstNamelastName>user.lastName
フィードバックページで「This is an internal app that we have created(これは当社が作成した内部アプリです)」というラベルの付いたチェックボックスにチェックを入れます。
属性マッピング
Directory > Profile Editor > Verkada アプリを選択 > 属性を確認 に移動します
Mappings and Verify App to Okta user mappings をクリックして確認します
User to App mappings:
設定
Okta で Verkada アプリの Sign On タブを選択し、Edit をクリックします。
Advanced Sign-On Settings までスクロールし、次の値を入力します Client ID あなたの Command アカウントから。
Save を選択します。
さらに下にスクロールして SAML Signing Certificates のところで、新しい証明書が存在しない場合は Generate new certificate をクリックします。
証明書の右側で Actions ドロップダウンを選択し、View IdP metadata をクリックします。
メタデータを右クリックして、名前を付けて保存を選択し、XML ファイル形式でダウンロードします。
XML ファイルをダウンロードしたら、次を行う必要があります それを Command にアップロードします.
Verify Metadata セクションで Run Login Test をクリックします。
トラブルシューティング
ユーザー名(メールアドレス)の更新は自動的に Command に反映されません。ユーザー名を変更する必要がある場合は、SAML アプリからユーザーの割り当てを解除し、その後ユーザーを再度アプリに追加して変更を反映させてください。
新しいユーザーが SSO でログインできない場合、これは SSO が設定された際に提供されたメールドメインにユーザーのメールが含まれていないため、Verkada バックエンドの SSO 設定にそのメールドメインが追加されていないことが原因である可能性があります。ユーザーのメールが SSO 設定で提供されたメールドメインの外部にある場合、そのユーザーは SSO を使用できません。問題がこれに該当する場合は、SSO 設定を編集して該当ドメインを追加する必要があります。
SSO の設定に関して他の問題が発生する場合、連絡してください Verkada サポート.
Okta SCIM 統合
始める前に
Verkada の SCIM エンドポイントに接続するには API トークンが必要です。このトークンは Verkada 組織ごとに固有です。方法については、 SCIM API トークンを取得する.
統合を成功させるには、地域に最適な手順を選択してください:
米国(US)組織の場合手順については、Create a Verkada Okta app を参照してください。
EU および AUS の組織の場合手順については、Enable SCIM provisioning in Okta app を参照してください。
ご自身のリージョンを確認するには、 Verkada の組織が作成された場所を参照してください.
Verkada Okta アプリを作成する
US リージョン
Okta にログインします。
左のナビゲーションパネルで Applications をクリックします。
上部で Browse App Catalog をクリックします。
検索バーに Verkada と入力し、アプリをクリックしてから Add Integration をクリックします。
Application label に Verkada(または任意の一意の名前)を入力し、Done をクリックします。
EU および AUS リージョン
Okta にログインします。
Applications ページに移動し、Create App Integration をクリックします。
Create a new app integration で SAML 2.0 を選択して Next をクリックします。
App name フィールドに名前を入力して Next をクリックします。
Create SAML Integration のページで:
Single sign-on URL の場合:
EU 組織の場合: https://saml.prod2.verkada.com/saml/login/<org short name> ここで <org short name> はあなたの組織のショートネームです。
AUS 組織の場合: https://saml.ap-syd.verkada.com/saml/login/<org short name> ここで <org short name> はあなたの組織のショートネームです。
Audience URI (SP Entity ID) の場合:
EU 組織の場合: https://saml.prod2.verkada.com/saml/sso/<org short name> ここで <org short name> はあなたの組織のショートネームです。
AUS 組織の場合: https://saml.ap-syd.verkada.com/saml/sso/<org short name> ここで <org short name> はあなたの組織のショートネームです。
下にスクロールして Next をクリックします。
“I’m an Okta customer adding an internal app” のラジオボタンを選択し Finish をクリックします(任意で Okta の追加質問をスキップできます)。
左のナビゲーションで Applications をクリックし、作成したアプリをクリックします(自動的にリダイレクトされない場合)。
上部で General タブを選択します:
右上でアプリの App Settings の Edit をクリックします。
Enable SCIM provisioning のチェックボックスにチェックを入れます。
Save をクリックします。
On SCIM Connection:
作成したアプリの上部で Provisioning タブを選択します。
SCIM Connection 設定の Edit をクリックします。
SCIM connector base URL の場合
EU 組織の場合、 https://scim.prod2.verkada.com/scim
AUS 組織の場合、 https://scim.ap-syd.verkada.com/scim
Unique identifier field for users には userName を入力します。
Push New Users、Push Profile Updates、Push Groups のチェックボックスにチェックを入れます。
Authentication Mode ドロップダウンをクリックして HTTP Header を選択します。
Authorization フィールドに Command からの SCIM トークンをコピーして貼り付けます。
Save をクリックします。
Okta で Verkada アプリを構成する
US リージョン
Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
左で Provisioning タブを選択します。
Provisioning タブ > Integration の下で:
Configure API Integration をクリックします。
Enable API integration のチェックボックスにチェックを入れます。
API Token フィールドに Command で生成された API トークンをコピーして貼り付けます。
Save をクリックします。
Provisioning タブ > Settings の下で:
To App を選択して Edit をクリックします。
Create Users、Update User Attributes、Deactivate Users に対して Enable ボックスにチェックを入れます。
Save をクリックします。
Provisioning タブ > To App セクション > Verkada Attribute Mappings で Go to Profile Editor をクリックします。
属性が例のように一致していることを確認します。表示されている以上の属性を追加できます。参照してください: SCIM 管理ユーザーに属性を追加する.
EU および AUS リージョン
Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
Provisioning タブ > Settings の下で:
To App を選択して Edit をクリックします。
Create Users、Update User Attributes、Deactivate Users に対して Enable ボックスにチェックを入れます。
Save をクリックします。表示されている以上の属性を追加できます。参照してください: SCIM 管理ユーザーに属性を追加する.
ユーザーとグループをプロビジョニングする
アプリに追加されたユーザーは自動的にプッシュされます。グループは手動でプッシュする必要があります。
Okta 内のユーザー
Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
Assignments タブをクリックします。
Assign ドロップダウンをクリックして Assign to People を選択します。
アプリにプロビジョニングしたい人物に対して Assign をクリックします。
そのユーザーの情報が表示されます。下部で Save and Go Back をクリックします。
Assign ページにリダイレクトされたら Done をクリックします。
Okta 内のグループ
Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
上部で Push Groups タブを選択します。
Push Groups ドロップダウンをクリックして、グループ(名前またはルールで)を検索します。
プッシュしたいグループを見つけて Save をクリックします。成功した場合、Push Status は Active と表示されます。
その後、Command は SCIM 経由でインポートされたユーザーとグループに対して SCIM Managed とタグを付けます。
左で Applications をクリックし、Verkada アプリを選択します。
Assignments タブをクリックします。
Assign ドロップダウンをクリックして Assign to Groups を選択します。
アプリにプロビジョニングしたいグループに対して Assign をクリックします。
そのグループの情報が表示されます。下部で Save and Go Back をクリックします。
Assign ページにリダイレクトされたら Done をクリックします。
SCIM 管理ユーザーに属性を追加する(オプション)
US リージョン
Verkada と Okta は次の属性をサポートします: userName (デフォルト)、 givenName (デフォルト)、 familyName (デフォルト)、 title, employeeNumber, primaryPhone, department, organization
仕組み
Okta にログインします。
Applications ページに移動し、Verkada アプリをクリックします。
Provisioning タブを選択します。
Verkada Attribute Mappings の下で Go to Profile Editor をクリックします。
Attributes で Add Attribute をクリックします。
Display name、Variable name、External name のフィールドに属性名を入力します。主な電話番号の external name は phoneNumbers.^[type==work].value と入力する必要があります。
external namespace フィールドに urn:ietf:params:scim:schemas:core:2.0:User と入力します。
User Permission の下で Read-Write のラジオボタンを選択し、Save をクリックします。
EU および AUS リージョン
Verkada と Okta は次の属性をサポートします: userName (デフォルト)、 givenName (デフォルト)、 familyName (デフォルト)、 title, employeeNumber, primaryPhone, department, organization
Command に米国外の電話番号をプロビジョニングするには、Okta のプロファイル内のユーザーの電話番号に国番号が必要です。例えば 0123 456 789 は Okta では +61 123 456 789 のように入力する必要があり、正しく Command に取り込まれます。
仕組み
Okta にログインします。
Applications ページに移動し、Verkada アプリをクリックします。
Provisioning タブ > Go to Profile Editor に移動します。
Add Attribute をクリックします。
ポップアップウィンドウで:
一意の表示名を入力します。
変数名を入力します。これは将来使用するために覚えておく必要があります。
外部名を入力します。サポートされている属性のいずれかである必要があります。
external namespace には urn:ietf:params:scim:schemas:core:2.0:User を入力します。
Read-Write のラジオボタンを選択します。
Save をクリックします。
Profile Editor で Mappings をクリックします。
Okta User to [あなたの Verkada アプリ名] をクリックします。
マッピングされていない新しく作成した属性を見つけます。
新しく作成した属性をマップするために、Okta ユーザーの適切なユーザー属性を入力します。
Save Mappings をクリックします。
Command から SCIM 管理ユーザーを削除する
ID プロバイダで SCIM 管理ユーザーが無効化された場合、Command からユーザーを削除する方法は 2 つあります:
ユーザーを削除する – アカウントは Deleted Users ページに移動しますが、履歴記録、ロール、権限は保持されます。
ユーザーを完全に削除する – すべてのロール、資格情報、アクセスログ、および関連データが消去されます。ユーザーが再び SCIM 経由でプロビジョニングされた場合、Command は新しいユーザーレコードを作成します。
削除オプションのいずれかを実行する前に、ID プロバイダ(IdP)でユーザーを無効化する必要があります。
SCIM 管理ユーザーにアクセス資格情報を追加する(オプション)
Okta にログインします。
左のナビゲーションで Directory > Profile Editor を選択します。
a. を選択します User(デフォルト) をユーザータイプとして選択します。 b. をクリックします Add Attribute そして上記のカスタム属性をテーブルから追加します。 テーブル 以下。
左のナビゲーションで Applications を選択し、Verkada の SCIM 管理アプリケーションを開きます。
Provisioning タブで To App > Go to Profile Editor を選択します。
Add Attribute をクリックして、上記に記載された属性を同じデータ型、表示名、変数名、説明、および ENUM 値を使用して作成します。
a. 次の値を設定します External namespace すべての属性に対して値を:
b. 次に設定します 属性タイプ へ Personal*.* c. をクリックします Save 属性を追加します。
Mappings をクリックして、Okta User アプリケーションから SCIM アプリケーションへの属性をマップします。
a. を選択します Okta User to YourSCIMApp の上部で、Okta Default User 用に作成したカスタム属性を SCIM アプリケーションで作成した属性にマッピングします。 b. をクリックします Save Mappings および Apply updates now をクリックして変更を適用します。
これらの属性は、すべての Okta アプリケーションのユーザープロファイルで使用可能になります。同期が完了すると、Command の Access > Access Users > User Profile > Credentials で資格情報を表示できます。
属性テーブル
受け入れ可能なカード形式のリストについては、この資格情報のリストを参照してください: 受け入れ可能なカード形式.
データ型
表示名
外部名
外部ネームスペース
説明
ENUM
string
カード形式
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
アクセス資格情報のカード形式
チェックを入れない
string
カード番号
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
アクセス資格情報のカード番号
チェックを入れない
string
Card Number Hex
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
カード番号の16進表現
チェックを入れない
string
資格情報ステータス
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
カード資格情報のステータス
チェックボックス: active → active、deactivated → deactivated、deleted → deleted
string
ファシリティコード
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
カードに関連付けられたファシリティコード
チェックを入れない
string
外部 ID
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
顧客定義の一意の ID、UI には表示されません
チェックを入れない
string
部門 ID
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Command 内でユーザーの部署をマッピングするために使用される識別子
チェックを入れない
string
役職
title
urn:ietf:params:scim:schemas:core:2.0:User
ユーザーの役職または職務
チェックを入れない
string
従業員番号
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
従業員 ID
チェックを入れない
string
電話番号
phoneNumbers[type eq "work"].value
urn:ietf:params:scim:schemas:core:2.0:User
勤務先の電話番号
チェックを入れない
string
部門
department
urn:ietf:params:scim:schemas:core:2.0:User
ユーザーの部門
チェックを入れない
string
組織
organization
urn:ietf:params:scim:schemas:core:2.0:User
会社または組織
チェックを入れない
SCIM 管理ユーザーに externalId を追加する(オプション)
externalId フィールドにマッピングすることで、任意の一意の識別子を Command に同期できます。これにより、システム間でユーザーを区別したり、アクセス資格情報を一意のユーザー参照に同期したりするなどの高度なユースケースが可能になります。この値は Command の UI には表示されませんが、データベースに保存され、API 経由で照会できます。
externalId 属性を追加し、Okta からマッピングするには:
SCIM アプリプロファイルに属性を作成する
Okta で、に移動します Directory > Profile Editor
あなたの Verkada SCIM 管理アプリケーション
クリック Add Attribute を選択し、上の表に記載されている属性の詳細を追加します。
クリック Save\
属性をマップする
引き続き Profile Editor で、クリックします Mappings
選択します Okta User to [Your SCIM App]
マップしたいソースフィールド(例:user.nickName、employeeNumber、または他のカスタムフィールド)を見つけます。
それを verkadaExternalId にマップします。
フィールド間の矢印をクリックして、次を選択します ユーザー作成および更新時にマッピングを適用する
クリック Save Mappings
属性が入力されていることを確認する
に移動します Directory > People
ユーザープロファイルを開き、マッピング元のフィールド(例:ニックネーム)に値があることを確認します。
から SCIM App > Provisioning tab, 次の操作を使用します Force Sync 必要に応じて更新をプッシュします\
受け入れ可能なカード形式のリストについては、この資格情報のリストを参照してください: 受け入れ可能なカード形式.
既知の問題
ユーザー名(メールアドレス)の更新は自動的に Command に反映されません。ユーザー名を変更する必要がある場合は、SAML アプリからユーザーの割り当てを解除し、その後ユーザーを再度アプリに追加して変更を反映させてください。
新しいユーザーが SSO でログインできない場合、これは SSO が設定された際に提供されたメールドメインにユーザーのメールが含まれていないため、Verkada バックエンドの SSO 設定にそのメールドメインが追加されていないことが原因である可能性があります。ユーザーのメールが SSO 設定で提供されたメールドメインの外部にある場合、そのユーザーは SSO を使用できません。問題がこれに該当する場合は、SSO 設定を編集して該当ドメインを追加する必要があります。
プロビジョニング中にこのエラーが発生した場合 "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", トラブルシューティング手順についてはこの Okta 記事 を参照してください。
SSO の設定に関して他の問題が発生する場合、連絡してください Verkada サポート.
実際の動作を見てみたいですか? 以下をチェックしてください: ビデオチュートリアル.
最終更新
役に立ちましたか?