Okta

OktaでSSOとユーザープロビジョニングを構成する

Verkada Command は、使用例に応じて 2 つの機能（Okta を含む他のアイデンティティプロバイダ [IdP] と）で統合できる能力を持っています：

Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)

SAML 認証プロセスを処理し、Okta を使用して Command へのアクセスを管理できるようにします。これは、Okta テナントにすでに統合されている他の SaaS アプリケーションと同様です。つまり、Command を既存のアイデンティティフレームワークに組み込み、現在のポリシーに基づいてアクセスコントロールを適用できます。

SCIM Okta にすでに存在する既存のユーザーとグループを活用し、それらを Command と同期することができます。これにより、現在の中央アイデンティティプロバイダを維持し、既存のユーザーとグループを通じて Command でアクセスを構成してプラットフォームへのアクセスを制御できます。

Verkada は、セキュリティ強化と設定の容易さのために SAML よりも OIDC を推奨します。OIDC はまた次を可能にします： Enterprise Controlled Encryption.

Okta 向け OIDC ベースの SSO

Verkada Command は Okta と OpenID Connect (OIDC) を使用したシングルサインオン (SSO) をサポートします。この統合により、既存の Okta 資格情報を使用してユーザーがシームレスかつ安全に認証でき、Command へのアクセスが簡素化され、全体的なセキュリティが向上します。

OIDC は Pass アプリまたは Desk Station アプリではサポートされていません。

有効にする Enterprise Controlled Encryption (ECE) セキュリティ強化のため。

OIDC の設定

Okta インスタンスに移動して、OIDC 設定を管理するための新しいアプリケーションを作成します。アプリケーションのサイドバーの Applications をクリックし、Create App Integration をクリックしてください。

Create a new app integration の下で、Sign-in method として OIDC - OpenID Connect を、Application type として Single-Page Application を選択してください。

Sign-in redirect URIs の下で、アプリケーションに識別可能な名前を付け、次のリンクを Sign-in redirect URIs のリストに追加してください：

a. https://command.verkada.com/oidc/okta/callback b. https://.command.verkada.com/oidc/okta/callback URL の中の部分は、あなたの Command 組織のショートネームです。

（オプション）Sign-out redirect URIs の下に次を追加してください https://command.verkada.com/.

Assignments の下で、まず Skip Group Assignment を選択してから Save をクリックします。

Assignments の下で、Assign ドロップダウンをクリックして、このアプリケーションをあなたの（および関連する）ユーザープロファイルに割り当てます。

General の下で、Client Credentials の下に表示されている Client ID をコピーします。

Command の設定

Verkada Command で、All Products > Admin に移動します。

左のナビゲーションで Login & Access を選択します。

Single Sign-On Configuration を選択します。

OIDC Configuration の下で、Add New をクリックします。

a. 切り替えをオンにして 有効にする。 b.（オプション）切り替えをオンにして OIDC SSO を必須にする。 c. の下で Select Provider, 選択 Okta。 d. の下で Add Client and Tenant, クリック :plus:。

の中の Client ID フィールドに Okta からコピーした Client ID を貼り付けます。
の中の Tenant ID フィールドに Okta インスタンスの URL の最初の部分を入力します。次のような形式になります： https://yourinstancename.okta.com.
クリック完了.

h. Email Domains, クリック :plus:.

（例：@verkada.com）など、存在するドメイン名を入力してください。
クリック完了.

Login Test の下で Run Login Test をクリックします。

ログインテストが成功すると OIDC 設定ページにリダイレクトされるはずです。ログインしたら、ホワイトリスト登録する必要のあるドメインを追加してください。

ドメインを追加したら、再度ログインテストを実行してください。2 回目のログインテストが正常に完了するまで SSO は有効になりません。

ドメインが検証されると、正常に検証されたことが表示されます。

Okta SAML 統合

開始する前に

統合を成功させるために、地域に最適な方法を選択してください：

コマンドアカウントで SAML を有効にする
米国組織の場合, 以下の手順に従って既存の Verkada アプリケーションを使用します。
EU および AUS の組織の場合, Okta で新しいアプリ統合を設定するために次のセクションの手順に従ってください。

Verkada Okta アプリを作成する（米国組織）

Okta にログインします。
Applications ページに移動し、Browse App Catalog をクリックします。
検索バーに Verkada と入力します。
Add をクリックします。
Done をクリックします。

Okta から新しいアプリ統合を構成する（EU 組織）

Applications に移動し、Create App Integration を選択します。
新しいアプリ統合を作成し、SAML 2.0 を選択して Next をクリックします。
"Create a SAML integration" ページの General Settings の下で、アプリケーション名を入力し、必要に応じてアプリロゴを追加してから Next をクリックします。
configure SAML ページで、Single sign-on URL と Entity ID を入力してください。 EU 組織向けの Single sign-on URL：
EU 組織の場合： https://saml.prod2.verkada.com/saml/sso/<client-ID>
AUS 組織の場合： https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID> EU 組織向けの Audience URI (SP Entity ID)：
EU 組織の場合： https://saml.prod2.verkada.com/saml/sso/<client-ID>
AUS 組織の場合： https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
注：client-ID は Command の設定から取得して、Okta アプリケーションに挿入するリンク内で置き換えてください。
アプリケーションのユーザー名は Okta のユーザー名です。
attributes statements セクションで、属性マッピングを次のように設定します：
- email > user.email
- firstName > user.firstName
- lastName > user.lastName
フィードバックページで「This is an internal app that we have created（これは私たちが作成した内部アプリです）」のチェックボックスをオンにしてください。

属性マッピング

Directory > Profile Editor に移動し、Verkada アプリを選択して属性を確認してください。
Mappings and Verify App to Okta user mappings をクリックして確認します
ユーザーからアプリへのマッピング：

構成

Okta で Verkada アプリの Sign On タブを選択し、Edit をクリックします。

Advanced Sign-On Settings にスクロールして、次を入力します： Client ID あなたの Command アカウントから。

Save を選択します。

さらに下にスクロールして SAML Signing Certificates のところで、新しい証明書が存在しない場合は Generate new certificate をクリックします。

証明書の右側の Actions ドロップダウンを選択し、View IdP metadata をクリックします。

メタデータを右クリックして「名前を付けて保存」を選択し、XML ファイル形式でダウンロードします。

XML ファイルをダウンロードしたら、次の操作を行う必要があります： それを Command にアップロードします.

Verify Metadata セクションで Run Login Test をクリックします。

トラブルシューティング

ユーザー名（メールアドレス）の更新は自動的に Command に反映されません。ユーザー名を変更する必要がある場合は、SAML アプリからユーザーの割り当てを解除し、変更が反映されるようにユーザーを再度アプリに追加してください。
新しいユーザーが SSO でログインできない場合、それは SSO 設定で Verkada サイドの SSO 構成にメールドメインが追加されていないことが原因である可能性があります。ユーザーのメールが SSO 設定時に提供されたメールドメインの外部にある場合、ユーザーは SSO を使用できなくなります。これが問題の原因である場合は、SSO 構成を編集してそのドメインを追加する必要があります。
SSO の設定で他の問題が発生した場合、次に連絡してください： Verkada サポート.

Okta SCIM 統合

開始する前に

Verkada の SCIM エンドポイントに接続するには API トークンが必要です。このトークンは Verkada 組織ごとに一意です。方法については、 SCIM API トークンを取得する.

統合を成功させるために、地域に最適な方法を選択してください：

米国組織の場合Create a Verkada Okta app の手順に従ってください。
EU および AUS の組織の場合Enable SCIM provisioning in Okta app の手順に従ってください。

自分がどの地域にいるかを確認するには、 Verkada の組織が作成された場所を参照してください.

Verkada Okta アプリを作成する

米国リージョン

Okta にログインします。
左のナビゲーションパネルで Applications をクリックします。
上部で Browse App Catalog をクリックします。
検索バーに Verkada と入力し、アプリをクリックしてから Add Integration をクリックします。
Application label に Verkada（または任意の一意の名前）を入力し、Done をクリックします。

EU および AUS リージョン

Okta にログインします。
Applications ページに移動し、Create App Integration をクリックします。
Create a new app integration で SAML 2.0 を選択し、Next をクリックします。
App name フィールドに名前を入力して Next をクリックします。
Create SAML Integration：
1. Single sign-on URL：
  EU 組織の場合： https://saml.prod2.verkada.com/saml/login/<org short name> ここで、 <org short name> はあなたの組織のショートネームです。
  AUS 組織の場合： https://saml.ap-syd.verkada.com/saml/login/<org short name> ここで、 <org short name> はあなたの組織のショートネームです。
2. For Audience URI (SP Entity ID)：
  EU 組織の場合： https://saml.prod2.verkada.com/saml/sso/<org short name> ここで、 <org short name> はあなたの組織のショートネームです。
  AUS 組織の場合： https://saml.ap-syd .verkada.com/saml/sso/<org short name> ここで、 <org short name> はあなたの組織のショートネームです。
3. 下にスクロールして Next をクリックします。
I’m an Okta customer adding an internal app ラジオボタンを選択し Finish をクリックします（必要に応じて Okta の追加の質問をスキップできます）。
左のナビゲーションで Applications をクリックし、作成した新しいアプリをクリックします（自動的にリダイレクトされない場合）。
上部で General タブを選択します：
1. 右上でアプリの App Settings の Edit をクリックします。
2. Enable SCIM provisioning ボックスにチェックを入れてください。
3. Save をクリックします。
On SCIM Connection：
1. 作成した新しいアプリの上部で Provisioning タブを選択します。
2. SCIM Connection 設定の Edit をクリックします。
3. SCIM connector base URL に対して
  EU 組織の場合、 https://scim.prod2.verkada.com/scim
  AUS 組織の場合、 https://scim.ap-syd.verkada.com/scim
4. Unique identifier field for users に対して userName を入力します。
5. Push New Users、Push Profile Updates、Push Groups のボックスにチェックを入れます。
6. Authentication Mode ドロップダウンをクリックして HTTP Header を選択します。
Authorization フィールドに Command からの SCIM トークンをコピーして貼り付けます。
Save をクリックします。

Okta で Verkada アプリを構成する

米国リージョン

Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
左で Provisioning タブを選択します。
Provisioning タブ > Integration の下で：
1. Configure API Integration をクリックします。
2. Enable API integration ボックスにチェックを入れます。
3. API Token フィールドに、Command が生成した API トークンをコピーして貼り付けます。
4. Save をクリックします。
Provisioning タブ > Settings の下で：
1. To App を選択して Edit をクリックします。
2. Create Users、Update User Attributes、および Deactivate Users の Enable ボックスにチェックを入れます。
3. Save をクリックします。
Provisioning タブ > To App セクション > Verkada Attribute Mappings で Go to Profile Editor をクリックします。
属性が以下の例のように一致していることを確認してください。ここに示したより多くの属性を追加することもできます。参照： SCIM 管理ユーザーに属性を追加する.

EU および AUS リージョン

Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
Provisioning タブ > Settings の下で：
1. To App を選択して Edit をクリックします。
2. Create Users、Update User Attributes、および Deactivate Users の Enable ボックスにチェックを入れます。
3. Save をクリックします。ここに示したより多くの属性を追加できます。参照： SCIM 管理ユーザーに属性を追加する.

ユーザーおよびグループのプロビジョニング

アプリに追加されたユーザーは自動でプッシュされます。グループは手動でプッシュする必要があります。

Okta 内のユーザー

Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
Assignments タブをクリックします。
Assign ドロップダウンをクリックして Assign to People を選択します。
アプリにプロビジョニングしたい人物に対して Assign をクリックします。
そのユーザーの情報が表示されます。下部で Save and Go Back をクリックします。
Assign ページにリダイレクトされたら Done をクリックします。

Okta 内のグループ

Okta にログインします。
左で Applications をクリックし、Verkada アプリをクリックします。
上部で Push Groups タブを選択します。
Push Groups ドロップダウンをクリックしてグループ（名前またはルールで）を検索します。
プッシュしたいグループを見つけて Save をクリックします。成功すると Push Status が Active と表示されます。
Command は、ユーザーとグループが SCIM 経由でインポートされた場合、それらを SCIM Managed としてタグ付けします。
左で Applications をクリックし、Verkada アプリを選択します。
Assignments タブをクリックします。
Assign ドロップダウンをクリックして Assign to Groups を選択します。
アプリにプロビジョニングしたいグループに対して Assign をクリックします。
そのグループの情報が表示されます。下部で Save and Go Back をクリックします。
Assign ページにリダイレクトされたら Done をクリックします。

SCIM 管理ユーザーに属性を追加する（オプション）

米国リージョン

Verkada と Okta は以下の属性をサポートします： userName （デフォルト）、 givenName （デフォルト）、 familyName （デフォルト）、 title, employeeNumber, primaryPhone, department, organization

仕組み

Okta にログインします。
Applications ページに移動して Verkada アプリをクリックします。
Provisioning タブを選択します。
Verkada Attribute Mappings の下で Go to Profile Editor をクリックします。
Attributes で Add Attribute をクリックします。
Display name、Variable name、External name フィールドに属性名を入力します。主要な電話番号の external name は phoneNumbers.^[type==work].value と入力する必要があります。
external namespace フィールドに urn:ietf:params:scim:schemas:core:2.0:User と入力します。
User Permission の下で Read-Write ラジオボタンを選択し、Save をクリックします。

EU および AUS リージョン

Command で米国外の電話番号をプロビジョニングするには、Okta のプロファイル内のユーザーフォン番号に国番号が必要です。例えば 0123 456 789 は Command に正しく取り込まれるよう Okta には +61 123 456 789 として入力する必要があります。

仕組み

Okta にログインします。
Applications ページに移動して Verkada アプリをクリックします。
Provisioning タブ > Go to Profile Editor に移動します。
Add Attribute をクリックします。
ポップアップウィンドウで：
1. 一意の表示名を入力します。
2. 変数名を入力します。これは今後使用する際に覚えておく必要があります。
3. external name を入力します。サポートされている属性のいずれかでなければなりません。
4. external namespace には urn:ietf:params:scim:schemas:core:2.0:User を入力します。
5. Read-Write ラジオボタンを選択します。
6. Save をクリックします。
Profile Editor で Mappings をクリックします。
Okta User to [あなたの verkada アプリ名] をクリックします。
マッピングされていない新しく作成した属性を見つけます。
新しく作成した属性をマップするために、Okta ユーザーの適切なユーザー属性を入力します。
Save Mappings をクリックします。

Command から SCIM 管理ユーザーを削除する

アイデンティティプロバイダで SCIM 管理ユーザーが無効化された場合、Command からユーザーを削除する方法は 2 つあります：

ユーザーを削除する – アカウントは Deleted Users ページに移動しますが、履歴記録、ロール、および権限は保持されます。
ユーザーを完全に削除する – すべてのロール、認証情報、アクセスログ、および関連データが消去されます。ユーザーが SCIM により再プロビジョニングされた場合、Command は新しいユーザーレコードを作成します。

削除オプションのいずれかを使用する前に、アイデンティティプロバイダ (IdP) でユーザーを無効化する必要があります。

SCIM 管理ユーザーにアクセス認証情報を追加する（オプション）

Okta にログインします。

左のナビゲーションで Directory > Profile Editor を選択します。

a. 選択します User（デフォルト） をユーザータイプとして。 b. クリック Add Attribute そして次のからカスタム属性を追加します：表以下。

左のナビゲーションで Applications を選択し、あなたの Verkada SCIM 管理アプリケーションを開きます。

Provisioning タブで To App > Go to Profile Editor を選択します。

Add Attribute をクリックして、上記に列挙された属性を正確に同じデータタイプ、表示名、変数名、説明、および ENUM 値で作成します。

a. 次を設定します External namespace すべての属性の値を次に設定：

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

b. 設定します Attritbute type に Personal*.* c. クリック Save 属性を追加します。

Mappings をクリックして Okta User アプリケーションからあなたの SCIM アプリケーションへの属性をマッピングします。

a. 選択します Okta User to YourSCIMApp の上で、Okta Default User のために作成したカスタム属性をあなたの SCIM アプリ上で作成した属性にマップします。 b. クリック Save Mappings と Apply updates now で変更を適用します。

属性はすべての Okta アプリケーションのユーザープロファイルで使用できるようになります。同期後、Command の Access > Access Users > User Profile > Credentials で認証情報を表示できます。

属性表

許容されるカード形式の一覧については、次の認証情報リストを参照してください：受け入れ可能なカード形式.

データタイプ

表示名

外部名

外部ネームスペース

説明

ENUM

string

カード形式

cardFormat

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

アクセス認証情報のカード形式

チェックを外したままにしてください

string

カード番号

cardNumber

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

アクセス認証情報のカード番号

チェックを外したままにしてください

string

カード番号（16 進）

cardNumberHex

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

カード番号の 16 進表現

チェックを外したままにしてください

string

認証情報ステータス

credentialStatus

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

カード認証情報のステータス

チェックボックス：active → active、deactivated → deactivated、deleted → deleted

string

ファシリティコード

facilityCode

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

カードに関連付けられたファシリティコード

チェックを外したままにしてください

string

外部 ID

externalId

urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User

カスタマー定義の一意の ID、UI には表示されません

チェックを外したままにしてください

string

部門 ID

costCenter

urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User

Command 内でユーザーの部門をマッピングするために使用される識別子

チェックを外したままにしてください

string

役職

title