Okta
Oktaを使用してSSOとユーザープロビジョニングを設定する
Verkada Command は、ユースケースに応じて、Okta(および他の ID プロバイダ [IdP])と 2 つの方法で統合できます:
セキュリティ・アサーション・マークアップ言語(SAML)
システム間のドメインをまたぐ ID 管理(SCIM)
SAML は認証プロセスを処理し、Command へのアクセス管理に Okta を使用できるようにします。これは、すでに Okta テナントに統合されている他の Software as a Service(SaaS)アプリケーションと同じです。つまり、Command を既存の ID フレームワークに組み込み、現在適用しているポリシーに基づいてアクセス制御できます。
SCIM は、Okta にすでに存在する既存のユーザーとグループを活用し、それらを Command と同期できます。これにより、現在の中央 ID プロバイダを維持し、Command を通じて既存のユーザーとグループを使ってアクセスを構成し、プラットフォームへのアクセスを制御できます。
Verkada は、セキュリティ強化と設定の容易さのために、SAML より OIDC を推奨しています。OIDC ではさらに Enterprise Controlled Encryption.
Okta 向け OIDC ベースの SSO
Verkada Command は、Okta と OpenID Connect(OIDC)を通じたシングルサインオン(SSO)をサポートしています。この統合により、ユーザーは既存の Okta 認証情報を使ってシームレスかつ安全に認証でき、Command へのアクセスを効率化し、全体的なセキュリティを強化できます。
OIDC は Desk Station アプリではサポートされていません。
有効にする Enterprise Controlled Encryption(ECE) を使用して、セキュリティを強化します。
OIDC の設定
Okta インスタンスに移動し、OIDC 設定を管理する新しいアプリケーションを作成します。サイドバーの Applications から Applications をクリックし、Create App Integration をクリックします。
Create a new app integration で、Sign-in method として OIDC - OpenID Connect を、Application type として Single-Page Application を選択します。
Sign-in redirect URIs でアプリケーションに識別しやすい名前を付け、次のリンクを Sign-in redirect URIs の一覧に追加します:
a. https://command.verkada.com/oidc/okta/callback b. http://<org-short-name>.command.verkada.com/oidc/okta/callback URL の <org-short-name> は、Command オーガナイゼーションの短い名前です。
(任意)Sign-out redirect URIs に次を追加します https://command.verkada.com/.
Assignments で、ひとまず Skip Group Assignment を選択し、Save をクリックします。
Assignments で、Assign ドロップダウンをクリックして、このアプリケーションをあなたの(および他の関連する)ユーザープロファイルに割り当てます。
General で、Client Credentials の下に表示されている Client ID をコピーします。
Command の設定
Verkada Command で、All Products > Admin に移動します。
左側のナビゲーションで、Login & Access を選択します。
Single Sign-On Configuration を選択します。
OIDC Configuration で、Add New をクリックします。
a. 次をオンに切り替えます Enable. b.(任意)次をオンに切り替えます Require OIDC SSO. c. 次の Select Provider, で Okta. d. 次の Add Client and Tenant, で :plus: をクリックします。
次の Client ID フィールドに、Okta からコピーした Client ID を貼り付けます。
次の Tenant ID フィールドに、Okta インスタンスの URL の先頭部分を入力します。次のようになります: https://yourinstancename.okta.com.
Click Done.
h. Email Domains, :plus: をクリックします.
存在するドメイン名を入力します(例: @verkada.com)。
Click Done.
Under Login Test click Run Login Test.
ログインテストが成功すると、OIDC 設定ページにリダイレクトされます。ログインしたら、ホワイトリストに追加する必要があるドメインを追加します。
ドメインを追加したら、もう一度ログインテストを実行します。2 回目のログインテストが正常に完了するまで SSO は有効になりません。
ドメインが確認されると、正常に検証されたことが表示されます。
Okta SAML 統合
開始する前に
統合を成功させるには、お住まいの地域に最適な方法を選択してください:
US のオーガナイゼーションでは、下記の手順に従って既存の Verkada アプリケーションを使用します。
EU および AUS のオーガナイゼーションでは、次のセクションの手順に従って Okta で新しいアプリ統合を構成します。
Verkada Okta アプリを作成する(US リージョン)
Okta にログインします。
Applications ページに移動し、Browse App Catalog をクリックします。
検索バーに Verkada と入力します。
Add Integration をクリックします。
Done をクリックします。
Okta で Verkada アプリの Sign On タブを選択し、Edit をクリックします。
Advanced Sign-On Settings までスクロールし、Command アカウントの Client ID を入力します。
Save を選択します。
Okta から新しいアプリ統合を構成する(EU & AUS リージョン)
Applications に移動し、Create App Integration を選択します。
Create a new app integration で SAML 2.0 を選択し、Next をクリックします。
"Create a SAML integration" ページの General Settings で、アプリケーション名を入力し、必要に応じてアプリケーションロゴを追加してから Next をクリックします。
configure SAML ページで、Single Sign-On URL と Audience URI(SP Entity ID)に次のリンクを入力します:
EU のオーガナイゼーションでは: https://saml.prod2.verkada.com/saml/sso/<client-ID>
AUS のオーガナイゼーションでは: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
次のチェックを入れます Use this for Recipient URL and Destination URL ボックス。
Client ID Command の設定から取得し、Okta アプリケーションに挿入したリンク内のものと置き換える必要があります。
アプリケーションのユーザー名は Okta の Username です。
Next をクリックします。フィードバックページで、「This is an internal app that we have created」とラベルの付いたボックスにチェックを入れます。Finish をクリックします。
attributes statements セクションで、次のように属性マッピングを設定します:
email>user.emailfirstName>user.firstNamelastName>user.lastName
設定
Okta で、アプリの Assignments タブを選択します。Assign をクリックし、People または Groups を選択して、これらのユーザーに SSO を有効にします。
アプリの Sign On タブを選択します。
SAML Signing Certificates までスクロールし、新しい証明書が存在しない場合は Generate new certificate をクリックします。
証明書の右側で Actions ドロップダウンを選択し、View IdP metadata をクリックします。
メタデータを右クリックし、"Save As" を選択して、XML ファイルとしてダウンロードします。
XML ファイルをダウンロードした後、 Command にアップロードします.
Verify Metadata セクションで、Run Login Test をクリックします。
トラブルシューティング
ユーザー名(メールアドレス)の更新は Command に自動的には反映されません。ユーザー名を変更する必要がある場合は、まずそのユーザーを SAML アプリから割り当て解除し、次にそのユーザーをアプリに再追加して変更を反映させます。
新しいユーザーが SSO でログインできない場合、Verkada バックエンドの SSO 設定にメールドメインが追加されていないことが原因の可能性があります。ユーザーのメールアドレスが、SSO 設定時に構成されたメールドメインの外にある場合、そのユーザーは SSO を使用できません。これが問題の原因であれば、SSO 設定を編集してこのドメインを追加し、問題を解決する必要があります。
SSO の設定で他に問題が発生した場合、 Verkada サポート.
Okta SCIM 統合
開始する前に
Verkada SCIM エンドポイントに接続するには API トークンが必要です。このトークンは Verkada オーガナイゼーションごとに固有です。次の方法を学びます SCIM API トークンを取得する.
統合を成功させるには、お住まいの地域に最適な方法を選択してください:
US のオーガナイゼーションでは、Create a Verkada Okta app の手順に従ってください。
EU および AUS のオーガナイゼーションでは、Enable SCIM provisioning in Okta app の手順に従ってください。
どのリージョンにいるかを確認するには、 Verkada 用にオーガナイゼーションが作成された場所を参照してください.
Verkada Okta アプリを作成する
US リージョン
Okta にログインします。
左側のナビゲーションパネルで Applications をクリックします。
上部で Browse App Catalog をクリックします。
4. 検索バーに Verkada と入力し、アプリをクリックしてから Add Integration をクリックします。
5. Application label に Verkada(または任意の一意の名前)を入力し、Done をクリックします。
EU & AUS リージョン
Okta にログインします。
Applications ページに移動し、Create App Integration をクリックします。
Create a new app integration で SAML 2.0 を選択し、Next をクリックします。
App name フィールドに名前を入力し、Next をクリックします。
Create SAML Integration で:
Single sign-on URL は:
EU のオーガナイゼーションでは: https://saml.prod2.verkada.com/saml/login/<org short name> ここで <org short name> はオーガナイゼーションの短い名前です。
AUS のオーガナイゼーションでは: https://saml.ap-syd.verkada.com/saml/login/<org short name> ここで <org short name> はオーガナイゼーションの短い名前です。
Audience URI(SP Entity ID)は:
EU のオーガナイゼーションでは: https://saml.prod2.verkada.com/saml/sso/<org short name> ここで <org short name> はオーガナイゼーションの短い名前です。
AUS のオーガナイゼーションでは: https://saml.ap-syd.verkada.com/saml/sso/<org short name> ここで <org short name> はオーガナイゼーションの短い名前です。
下にスクロールして Next をクリックします。
I’m an Okta customer adding an internal app のラジオボタンを選択し、Finish をクリックします(必要に応じて、Okta の追加質問はスキップできます)。
左側のナビゲーションで Applications をクリックし、(アプリに自動的にリダイレクトされない場合は)新しく作成したアプリをクリックします。
上部で General タブを選択します:
右上で、アプリの App Settings の Edit をクリックします。
Enable SCIM provisioning ボックスにチェックを入れます。
Save をクリックします。
SCIM Connection で:
新しく作成したアプリの上部で、Provisioning タブを選択します。
SCIM Connection settings の Edit をクリックします。
SCIM connector base URL は
EU のオーガナイゼーションでは、 https://scim.prod2.verkada.com/scim
AUS のオーガナイゼーションでは、 https://scim.ap-syd.verkada.com/scim
ユーザーの Unique identifier field には userName を入力します。
Push New Users、Push Profile Updates、Push Groups の各ボックスにチェックを入れます。
Authentication Mode ドロップダウンをクリックし、HTTP Header を選択します。
Authorization フィールドに、Command から SCIM トークンをコピーして貼り付けます。
Save をクリックします。
Verkada Okta アプリを構成する
US リージョン
Okta にログインします。
左側で Applications をクリックし、Verkada アプリをクリックします。
左側で Provisioning タブを選択します。
Provisioning タブ > Integration で:
Configure API Integration をクリックします。
Enable API integration ボックスにチェックを入れます。
API Token フィールドに、Command で生成された API トークンをコピーして貼り付けます。
Save をクリックします。
Provisioning タブ > Settings で:
To App を選択し、Edit をクリックします。
Create Users、Update User Attributes、Deactivate Users の Enable ボックスにチェックを入れます。
Save をクリックします。
Provisioning タブ > To App セクション > Verkada Attribute Mappings で、Go to Profile Editor をクリックします。
以下の例に示すように、属性が一致していることを確認します。表示されている数より多くの属性を追加できます。参照: SCIM 管理ユーザーに属性を追加する.
EU および AUS リージョン
Okta にログインします。
左側で Applications をクリックし、Verkada アプリをクリックします。
Provisioning タブ > Settings で:
To App を選択し、Edit をクリックします。
Create Users、Update User Attributes、Deactivate Users の Enable ボックスにチェックを入れます。
Save をクリックします。表示されている数より多くの属性を追加できます。参照: SCIM 管理ユーザーに属性を追加する.
SCIM 管理ユーザーへの追加属性
SCIM 管理ユーザーに属性を追加する(任意)
Verkada と Okta は次の属性をサポートしています: userName (デフォルト), givenName (デフォルト), familyName (デフォルト), title, employeeNumber, primaryPhone, department, organization.
また、次にマッピングすることで一意の識別子を Command に同期できます externalId フィールド。これにより、システム間でユーザーを識別したり、一意のユーザー参照にアクセス認証情報を同期したりするなどの高度なユースケースが可能になります。この値はデータベースに保存され、API 経由で照会できますが、Command UI には表示されません。
Command で US 以外の電話番号をプロビジョニングするには、Okta プロファイルのユーザーの電話番号に国番号を含めてください。
例:
US: 123-456-7890 → +1 123-456-7890
英国: 07123 456789 → +44 7123 456789
国際形式を使用すると、番号がCommandに正しくインポートされます。
Okta にログインします。
SCIM App Profileで属性を作成します。
Oktaで、 Directory > Profile Editor に移動します。
次を選択します Verkada SCIM管理アプリケーションの User。
Click Add Attribute を選択し、 下の 表
Click に記載されている属性の詳細を追加します。
属性をマッピングします
Profile Editor のまま、 Mappings をクリックします。
次を選択します Okta User to [Your SCIM App].
ドロップダウンをクリックして、マッピングしたいソースフィールド(例: user.nickName、employeeNumber、または他のカスタムフィールド)を見つけ、それを
appuser属性にマッピングします。フィールド間の矢印をクリックし、次を選択します Apply mapping on user create and update。
Click Save Mappings。
属性が入力されていることを確認します
次へ移動します Directory > People。
ユーザープロファイルを開き、マッピング元のソースフィールド(例: Nickname)に値があることを確認します。
次から SCIM App > Provisioning タブ、 Force Sync を使用して、必要に応じて更新をプッシュします。
以下の認証情報一覧を参照して、 使用可能なカード形式.
SCIM管理ユーザーにアクセス認証情報を追加します(任意)
Okta にログインします。
左側のナビゲーションで、Directory > Profile Editor を選択します。
次を選択します User (default) をユーザータイプとして。
Click Add Attribute そして、以下からカスタム属性を追加します 下の 表
左側のナビゲーションで、Applications を選択し、Verkada SCIM管理アプリケーションを開きます。
Provisioning タブで、To App > Go to Profile Editor を選択します。
Add Attribute をクリックし、上記の属性を同じ Data Type、Display Name、Variable Name、Description、ENUM 値で作成します。
次を設定します External namespace の値をすべての属性に対して次に設定します:
次を設定します Attribute type を Personal.
Click Save して属性を追加します。
Mappings をクリックして、Okta User アプリケーションの属性をSCIMアプリケーションにマッピングします。
次を選択します Okta User to YourSCIMApp を上部で選択し、Okta Default User に作成したカスタム属性をSCIMアプリケーションで作成したものにマッピングします。
Click Save Mappings をクリックし、 Apply updates now で変更を適用します。
これで、これらの属性はすべてのOktaアプリケーションのユーザープロファイルで使用できるようになります。 同期後、Command の Access > Access Users > User Profile > Credentials で認証情報を表示できます。
属性テーブル
以下の認証情報一覧を参照して、 使用可能なカード形式。すべての属性のデータ型は string です。
表示名
変数名 / 外部名
External Namespace
説明
ENUM
カード形式
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
アクセス認証情報のカード形式
チェックを外したままにする
カード番号
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
アクセス認証情報のカード番号
チェックを外したままにする
カード番号の16進数
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
カード番号の16進数表現
チェックを外したままにする
認証情報ステータス
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
カード認証情報のステータス
チェックボックス: active → active、deactivated → deactivated、deleted → deleted
施設コード
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
カードに関連付けられた施設コード
チェックを外したままにする
External ID
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
顧客定義の一意ID。UIには表示されません
チェックを外したままにする
部署ID
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Command でユーザーの部署をマッピングするために使用する識別子
チェックを外したままにする
役職
title
urn:ietf:params:scim:schemas:core:2.0:User
ユーザーの役職またはロール
チェックを外したままにする
社員番号
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
社員ID
チェックを外したままにする
電話番号
変数名: phoneNumber
外部名: phoneNumbers[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
勤務先の電話番号
チェックを外したままにする
部署
department
urn:ietf:params:scim:schemas:core:2.0:User
ユーザーの部署
チェックを外したままにする
組織
organization
urn:ietf:params:scim:schemas:core:2.0:User
会社または組織
チェックを外したままにする
ユーザーとグループをプロビジョニングします
アプリに追加されたユーザーは自動的にプッシュされます。グループは手動でプッシュする必要があります。
Okta 内のユーザー
Okta にログインします。
左側で Applications をクリックし、Verkada アプリをクリックします。
Assignments タブをクリックします。
Assign ドロップダウンをクリックし、Assign to People を選択します。
アプリにプロビジョニングしたいユーザーの Assign をクリックします。
そのユーザーの情報が表示されます。下部で Save and Go Back をクリックします。
Assign ページに戻ったら、Done をクリックします。
Okta 内のグループ
Okta にログインします。
左側で Applications をクリックし、Verkada アプリをクリックします。
Assign ドロップダウンをクリックし、Assign to Groups を選択します。
アプリにプロビジョニングしたいグループの Assign をクリックします。
そのグループの情報が表示されます。下部で Save and Go Back をクリックします。
Assign ページに戻ったら、Done をクリックします。
上部で Push Groups タブを選択します。
Push Groups ドロップダウンをクリックして、グループを見つけます(名前またはルールで検索)。
プッシュしたいグループを見つけて Save をクリックします。成功すると、Push Status が Active と表示されます。
その後、Command はSCIM経由でインポートされたユーザーとグループに SCIM Managed のタグを付けます。
Command からSCIM管理ユーザーを削除する
SCIM管理ユーザーがIDプロバイダで無効化された場合、次の2つの方法でCommandからユーザーを削除できます:
ユーザーを削除する – アカウントは Deleted Users ページに移動しますが、履歴、ロール、権限は保持されます。
ユーザーを完全に削除する – すべてのロール、認証情報、アクセスログ、および関連データが消去されます。ユーザーがSCIM経由で再プロビジョニングされると、Command は新しいユーザーレコードを作成します。
Command でいずれかの削除オプションを利用する前に、IDプロバイダ(IdP)でユーザーを無効化する必要があります。
既知の問題
ユーザー名(メールアドレス)の更新は Command に自動的には反映されません。ユーザー名を変更する必要がある場合は、まずそのユーザーを SAML アプリから割り当て解除し、次にそのユーザーをアプリに再追加して変更を反映させます。
新しいユーザーが SSO でログインできない場合、これはメールドメインが Verkada バックエンドのSSO構成に追加されていないことが原因である可能性があります。SSO設定時に提供したメールドメインの外にユーザーのメールアドレスがある場合、そのユーザーはSSOを使用できなくなります。これが原因であれば、SSO構成を編集してこのドメインを追加し、問題を修正する必要があります。
ユーザーのプロビジョニング中にこのエラーが発生した場合は、 "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", この Oktaの記事 のトラブルシューティング手順を参照してください。
SSO の設定で他に問題が発生した場合、 Verkada サポート.
実際の動作を見てみますか? こちらの ビデオチュートリアル.
最終更新
役に立ちましたか?