Contact Support

Okta SCIM統合

OktaでSCIMを設定する方法を学ぶ

Verkada Command は、ユーザーとグループの自動プロビジョニングのために、System for Cross-Domain Identity Management(SCIM)を使用して Okta と統合します。

SCIM は Okta からユーザーとグループを直接 Command に同期します。これにより、次のことが可能になります:

  • Okta を中央の IdP として維持する。

  • Okta で変更が発生した際に、Command のユーザーとグループを自動的に更新する。

  • 既存のアイデンティティ構造を使用して Command の権限を割り当ておよび管理する。

組織が SCIM を使用している場合、電話番号は SCIM を通じてのみプロビジョニングできます。Command 内で電話番号を直接編集することはできません。

参照 SAML 用の Okta SAML 統合については、SAML 統合手順。

始める前に

1

Verkada の SCIM エンドポイントに接続するには API トークンが必要です。このトークンは Verkada 組織ごとに一意です。方法を学ぶには、 SCIM API トークンを取得する.

2

統合を成功させるには、リージョンに最適な方法を選択してください:

自分の所属リージョンを確認するには、 Verkada が組織を作成した場所を参照してください.

Verkada の Okta アプリを作成する

米国リージョン

Okta にログインします。左のナビゲーションパネルで Applications をクリックします。上部で Browse App Catalog をクリックします。検索バーに Verkada と入力し、アプリをクリックして Add Integration をクリックします。Application label に Verkada(または任意の一意の名前)と入力し、Done をクリックします。

EU および AUS リージョン

Okta にログインします。Applications ページに移動して Create App Integration をクリックします。[Create a new app integration] で SAML 2.0 を選択して Next をクリックします。App name フィールドに名前を入力して Next をクリックします。[Create SAML Integration] で:a. Single sign-on URL:EU 組織の場合: https://saml.prod2.verkada.com/saml/login/ ここで は組織のショートネームです。AUS 組織の場合: https://saml.ap-syd.verkada.com/saml/login/ ここで は組織のショートネームです。b. Audience URI (SP Entity ID):EU 組織の場合: https://saml.prod2.verkada.com/saml/sso/ ここで は組織のショートネームです。AUS 組織の場合: https://saml.ap-syd.verkada.com/saml/sso/ ここで は組織のショートネームです。c. 下にスクロールして Next をクリックします。I’m an Okta customer adding an internal app のラジオボタンを選択して Finish をクリックします(オプションで Okta の追加質問をスキップできます)。左のナビゲーションで Applications をクリックし、作成したアプリをクリックします(自動でリダイレクトされない場合)。上部で General タブを選択します:a. 右上でアプリの App Settings の Edit をクリックします。b. Enable SCIM provisioning のチェックボックスをオンにします。c. Save をクリックします。[SCIM Connection] で:a. 作成したアプリの上部で Provisioning タブを選択します。b. SCIM Connection 設定の Edit をクリックします。c. SCIM connector base URL:EU 組織の場合 https://scim.prod2.verkada.com/scim、AUS 組織の場合 https://scim.ap-syd.verkada.com/scim d. ユーザーの Unique identifier field に userName を入力します。e. Push New Users、Push Profile Updates、および Push Groups のチェックボックスをオンにします。f. Authentication Mode ドロップダウンをクリックして HTTP Header を選択します。Command からの SCIM トークンを Authorization フィールドにコピー&ペーストします。Save をクリックします。

Okta で Verkada アプリを構成する

米国リージョン

Okta にログインします。左で Applications をクリックし、Verkada アプリをクリックします。左で Provisioning タブを選択します。Provisioning タブ > Integration:a. Configure API Integration をクリックします。b. Enable API integration のチェックボックスをオンにします。c. API Token フィールドに Command が生成した API トークンをコピー&ペーストします。d. Save をクリックします。Provisioning タブ > Settings:a. To App を選択して Edit をクリックします。b. Create Users、Update User Attributes、および Deactivate Users の Enable チェックボックスをオンにします。c. Save をクリックします。Provisioning タブ > To App セクション > Verkada Attribute Mappings で Go to Profile Editor をクリックします。以下の例のように属性が一致していることを確認します。ここに示したより多くの属性を追加できます。SCIM 管理ユーザーに属性を追加する方法を参照してください。

EU および AUS リージョン

Okta にログインします。左で Applications をクリックし、Verkada アプリをクリックします。Provisioning タブ > Settings:a. To App を選択して Edit をクリックします。b. Create Users、Update User Attributes、および Deactivate Users の Enable チェックボックスをオンにします。c. Save をクリックします。ここに示したより多くの属性を追加できます。SCIM 管理ユーザーに属性を追加する方法を参照してください。

ユーザーとグループをプロビジョニングする

アプリに追加されたユーザーは自動的にプッシュされます。グループは手動でプッシュする必要があります。

Okta 内のユーザー

Okta にログインします。左で Applications をクリックし、Verkada アプリをクリックします。Assignments タブをクリックします。Assign ドロップダウンをクリックして Assign to People を選択します。アプリにプロビジョニングする人を選択して Assign をクリックします。該当ユーザーの情報が表示されます。画面下部で Save and Go Back をクリックします。Assign ページにリダイレクトされたら Done をクリックします。

Okta 内のグループ

Okta にログインします。左で Applications をクリックし、Verkada アプリをクリックします。上部で Push Groups タブを選択します。Push Groups ドロップダウンをクリックしてグループを検索します(名前またはルールで検索)。プッシュしたいグループを見つけて Save をクリックします。成功すると Push Status に Active と表示されます。Command は、SCIM 経由でインポートされたユーザーとグループに SCIM Managed のタグを付けます。

あるいは、次を使用することもできます Assign to Groups オプション。

Okta にログインします。左で Applications をクリックし、Verkada アプリをクリックします。Assignments タブをクリックします。Assign ドロップダウンをクリックして Assign to Groups を選択します。アプリにプロビジョニングするグループを選択して Assign をクリックします。該当グループの情報が表示されます。画面下部で Save and Go Back をクリックします。Assign ページにリダイレクトされたら Done をクリックします。

SCIM 管理ユーザーに属性を追加する(オプション)

米国リージョン

Verkada と Okta は次の属性をサポートしています: userName (デフォルト)、 givenName (デフォルト)、 familyName (デフォルト)、 title, employeeNumber, primaryPhone, department, organization

仕組み

Okta にログインします。Applications ページに移動して Verkada アプリをクリックします。Provisioning タブを選択します。Verkada Attribute Mappings の下で Go to Profile Editor をクリックします。[Attributes] で Add Attribute をクリックします。[Display name]、[Variable name]、[External name] の各フィールドに属性名を入力します。主電話番号の external name は phoneNumbers.^[type==work].value と入力してください。External namespace フィールドには urn:ietf:params:scim:schemas:core:2.0:User と入力します。[User Permission] で Read-Write のラジオボタンを選択し、Save をクリックします。

EU および AUS リージョン

Verkada と Okta は次の属性をサポートしています: userName (デフォルト)、 givenName (デフォルト)、 familyName (デフォルト)、 title, employeeNumber, primaryPhone, department, organization

Command に米国外の電話番号をプロビジョニングするには、Okta のプロファイル内のユーザーの電話番号に国番号が必要です。たとえば、0123 456 789 は Command に正しく取り込むために Okta には +61 123 456 789 として入力する必要があります。

仕組み

Okta にログインします。Applications ページに移動して Verkada アプリをクリックします。Provisioning タブ > Go to Profile Editor に移動します。Add Attribute をクリックします。ポップアップウィンドウで:a. 一意の表示名を入力します。a. 変数名を入力します。今後使用するために覚えておく必要があります。b. external name を入力します。サポートされている属性のいずれかである必要があります。c. external namespace に urn:ietf:params:scim:schemas:core:2.0:User と入力します。d. Read-Write のラジオボタンを選択します。e. Save をクリックします。[Profile Editor] で Mappings をクリックします。コンテンツを表示できませんでした。[Okta User to [name of your verkada app]] をクリックして、マッピングされていない新しく作成した属性を見つけます。新しく作成した属性に Okta ユーザーの適切なユーザー属性を入力します。Save Mappings をクリックします。

Command から SCIM 管理ユーザーを削除する

ID プロバイダで SCIM 管理ユーザーが無効化された場合、Command からユーザーを削除する方法は 2 通りあります:

  • ユーザーを削除する – アカウントは Deleted Users ページに移動しますが、履歴記録、役割、および権限は保持されます。

  • ユーザーを完全に削除する – すべての役割、認証情報、アクセスログ、および関連データが消去されます。ユーザーが SCIM 経由で再プロビジョニングされた場合、Command は新しいユーザーレコードを作成します。

Command でいずれかの削除オプションを利用可能にするには、先にアイデンティティプロバイダ(IdP)でユーザーを無効化する必要があります。

SCIM 管理ユーザーにアクセス資格情報を追加する(オプション)

1

Okta にログインします。

2

左のナビゲーションで Directory > Profile Editor を選択します。

a. 選択します User(デフォルト) をユーザータイプとして選択します。 b. クリック Add Attribute および以下のカスタム属性を追加します: に合わせてマッピングを更新します。

3

左のナビゲーションで Applications を選択し、Verkada の SCIM 管理アプリケーションを開きます。

4

Provisioning タブで To App > Go to Profile Editor を選択します。

5

Add Attribute をクリックして、上に記載された属性を正確に同じ Data Type、Display Name、Variable Name、Description、および ENUM 値で作成します。

a. 次を設定します: External namespace すべての属性の値を:

b. 設定 属性タイプPersonal*.* c. クリックして Save 属性を追加します。

6

Mappings をクリックして、Okta User アプリケーションから SCIM アプリケーションへの属性をマッピングします。

a. 選択します Okta User から YourSCIMApp へ 上部でカスタム属性を Okta Default User に作成したものから SCIM アプリに作成したものへマップします。 b. クリック Save Mappings Facility Code 今すぐ更新を適用する を適用して変更を反映します。

7

属性は現在、Okta アプリケーションのすべてのユーザーのプロファイルで使用できるようになっているはずです。同期後、Access > Access Users > User Profile > Credentials の下で Command 上の資格情報を表示できます。

属性テーブル

資格情報の一覧については、次の一覧を参照してください: を選択します。.

データタイプ

表示名

外部名

外部ネームスペース

Description

ENUM

string

カード形式

cardFormat

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

アクセス資格情報のカード形式

チェックを入れないでください

string

カード番号

cardNumber

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

アクセス資格情報のカード番号

チェックを入れないでください

string

カード番号(16進)

cardNumberHex

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

カード番号の16進表現

チェックを入れないでください

string

は "active"、"deactivated"、または "deleted" にできます

https://learn.microsoft.com/en-us/graph/extensibility-overview

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

カード資格情報のステータス

チェックボックス: active → active、deactivated → deactivated、deleted → deleted

string

として作成した新しい属性にマッピングします(ターゲット属性として)。

facilityCode

urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User

カードに関連付けられたファシリティコード

チェックを入れないでください

string

外部 ID

externalId

urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User

顧客定義の一意の ID(UI には表示されません)

チェックを入れないでください

string

部署 ID

costCenter

urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User

Command でユーザーの部署をマッピングするために使用される識別子

チェックを入れないでください

string

役職

title

urn:ietf:params:scim:schemas:core:2.0:User

ユーザーの役職または職務

チェックを入れないでください

string

従業員番号

employeeNumber

urn:ietf:params:scim:schemas:core:2.0:User

従業員 ID

チェックを入れないでください

string

電話番号

phoneNumbers[type eq "work"].value

urn:ietf:params:scim:schemas:core:2.0:User

勤務先電話番号

チェックを入れないでください

string

部署

department

urn:ietf:params:scim:schemas:core:2.0:User

ユーザーの部署

チェックを入れないでください

string

組織

organization

urn:ietf:params:scim:schemas:core:2.0:User

会社または組織

チェックを入れないでください

SCIM 管理ユーザーに externalId を追加する(オプション)

externalId フィールドにマップすることで、任意の一意の識別子を Command に同期できます。これにより、システム間でユーザーを区別したり、アクセス資格情報を一意のユーザー参照に同期したりするなどの高度なユースケースが可能になります。この値は Command の UI には表示されませんが、データベースに保存され、API を介してクエリできます。

externalId 属性を追加して Okta からマップするには:

1

SCIM アプリのプロファイルに属性を作成する

  • Okta で、次に移動します: Directory > Profile Editor

  • 自分の Verkada の SCIM 管理アプリケーション

  • クリック Add Attribute を選択し、上の表に記載された属性の詳細を追加します。

  • クリック Save

2

属性をマップする

  • 引き続き Profile Editor で、クリックします Mappings

  • を選択します Okta User to [Your SCIM App]

  • マップしたいソースフィールドを見つけます(例:user.nickName、employeeNumber、または他のカスタムフィールド)

  • それを verkadaExternalId にマップします

  • フィールド間の矢印をクリックして選択します: ユーザーの作成および更新時にマッピングを適用する

  • クリック Save Mappings

3

属性に値が設定されていることを確認する

  • に移動します: Directory > People

  • ユーザープロファイルを開き、(例:ニックネームなど)マッピング元フィールドに値があることを確認します

  • 次から: SCIM アプリ > Provisioning タブで、次を使用します Force Sync 必要に応じて更新をプッシュします ​

資格情報の一覧については、次の一覧を参照してください: を選択します。.

既知の問題

  • ユーザー名(メールアドレス)の更新は Command に自動的に反映されません。ユーザー名を変更する必要がある場合は、SAML アプリからユーザーの割り当てを解除し、変更を反映するためにそのユーザーをアプリに再度追加してください。

  • 新しいユーザーが SSO でログインできない場合、これはメールドメインが Verkada のバックエンドで SSO 設定に追加されていないことが原因である可能性があります。ユーザーのメールが SSO 設定時に提供されたメールドメインの外部にある場合、ユーザーは SSO を使用できなくなります。これが原因である場合は、SSO 設定を編集してこのドメインを追加する必要があります。

  • ユーザーをプロビジョニング中に次のエラーが発生した場合 "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", トラブルシューティング手順については、次を参照してください: Okta の記事

  • SSO の設定で他の問題が発生した場合は、連絡してください Verkada サポート.

実際の動作を見たいですか? 次をチェックしてください: ビデオチュートリアル.

最終更新

役に立ちましたか?