Google Workspace
Google Workspace를 사용하여 SSO와 사용자 프로비저닝을 구성하세요
Verkada Command는 단일 로그인(SSO) 시나리오를 위해 Google Workspace(및 기타 ID 제공업체[IdP])와 통합할 수 있는 기능을 제공합니다. SAML(Security Assertion Markup Language)은 인증 측면을 처리하여 Google Workspace를 Command의 액세스 관리에 사용할 수 있도록 합니다.
Verkada는 향상된 보안과 더 쉬운 구성을 위해 SAML보다 OIDC를 권장합니다.
Google Workspace용 OIDC 기반 SSO
Verkada Command는 Google Workspace와의 OpenID Connect(OIDC)를 통해 단일 로그인(SSO)을 지원합니다. 이 통합을 통해 사용자는 기존 Google 자격 증명을 사용하여 원활하고 안전하게 인증할 수 있으며, Command에 대한 접근이 간소화되고 전반적인 보안이 향상됩니다.
OIDC는 Pass 앱 또는 Desk Station 앱에서 지원되지 않습니다.
활성화 엔터프라이즈 제어 암호화(ECE) 를 통해 보안을 강화하세요.
OIDC 구성
귀하의 Google Cloud 콘솔.
새 프로젝트를 클릭하여 Google Workspace 조직 아래에 새 프로젝트를 만듭니다.
새 프로젝트에서 APIs & Services > Library로 이동합니다.
a. 다음 API를 활성화합니다:
Identity and Access Management(IAM) API
Admin SDK API
APIs & Services > OAuth Consent Screen으로 이동합니다. 사용자 유형에서 Internal을 선택하고 Create를 클릭합니다.
Edit App를 클릭합니다.
OAuth 동의 화면을 구성합니다. 앱에 식별 가능한 이름(예: Verkada SSO OIDC)을 지정하고, 조직의 Google Workspace를 관리하는 담당 부서의 이메일(예: IT)을 앱의 사용자 지원 이메일로 입력합니다. Save and Continue를 클릭합니다.
OAuth 범위를 구성합니다.
다음 범위를 선택합니다:
userinfo.email
userinfo.profile
openid
Update를 클릭합니다.
마지막 옵션이 보이지 않으면 다음을 해야 할 수 있습니다 표에 추가 아래에서 범위 수동 추가.
Save and Continue를 클릭하고 애플리케이션의 대시보드로 돌아갑니다.
Credentials로 이동합니다. Create Credentials를 클릭하고 OAuth client ID를 만듭니다.
애플리케이션 유형으로 Web application을 선택합니다. 클라이언트에 식별 가능한 이름을 지정하고, 승인된 리디렉션 URI 목록에 다음을 추가합니다:
https://org-short-name.command.verkada.com/oidc/google/callback (여기서 org-short-name은 Command 조직의 짧은 이름입니다)
클릭합니다. 만들기.
클라이언트 ID를 복사합니다. 클라이언트 시크릿은 사용하지 않습니다.
Verkada Command 구성
Verkada Command에서 All Products > Admin으로 이동하세요.
왼쪽 탐색에서 Login & Access를 선택합니다.
Single Sign-On Configuration을 선택합니다.
OIDC Configuration 아래에서 Add New를 클릭합니다.
a. 활성화를 켭니다. b. (선택 사항) Require OIDC SSO를 켭니다. c. 공급자 선택옆에서 다음을 선택합니다 Google. d. 아래에서 Add Client and Tenant 아래에서 :plus:를 클릭합니다.
해당 클라이언트 ID 필드에 Google Cloud Console에서 복사한 클라이언트 ID를 붙여넣습니다.
해당 Tenant ID 필드에 조직의 Google Workspace에 사용되는 도메인을 입력합니다(예: Google 이메일이 [email protected]인 경우 your-domain.com을 입력).
다음을 클릭하여 완료 구성을 완료합니다.
h. Email Domains 아래에서 :plus:를 클릭합니다..
도메인 이름을 입력합니다(예: @verkada.com).
클릭합니다. 완료.
Login Test에서 Run Login Test를 클릭합니다.
성공적인 로그인 테스트가 OIDC 구성 페이지로 리디렉션되어야 합니다. 로그인한 후 Associated Domains 아래에 화이트리스트에 추가해야 하는 도메인을 입력합니다.
도메인을 추가한 후 로그인 테스트를 다시 실행합니다. 이 두 번째 로그인 테스트가 성공적으로 완료될 때까지 SSO는 활성화되지 않습니다.
도메인이 검증되면 성공적으로 확인되었다는 표시가 보여야 합니다.
Google Workspace SAML 통합
Verkada Command는 단일 로그인(SSO) 시나리오를 위해 Google Workspace(및 기타 ID 제공업체[IdP])와 통합할 수 있는 기능을 제공합니다. SAML(Security Assertion Markup Language)은 인증 측면을 처리하여 Google Workspace를 Command의 액세스 관리에 사용할 수 있도록 합니다.
시작하기 전에
이미 Verkada Command에 등록되어 있고 동일한 사용자 지정 도메인에 사용자의 계정이 있는지 확인하십시오. Command를 사용자 지정 애플리케이션으로 추가할 수 있습니다.
통합 효과를 극대화하려면 다음 용어를 숙지하세요:
클라이언트 ID—클라이언트 ID. 찾으려면 다음으로 이동하십시오 Admin > Privacy & Security > Single Sign-On Configuration > Add New.
Federation Data XML—Google Workspace 인스턴스의 고유 정보로, Verkada가 Google Workspace와 Command 인스턴스 간의 페더레이션을 설정할 수 있게 해줍니다(이를 다운로드하는 단계는 나중에 제공됩니다).
Google Workspace 구성
Google Workspace > Google Admin 대시보드로 이동하여 Web and mobile apps를 선택합니다.
Add app 드롭다운을 선택한 다음 Add custom SAML app을 선택합니다.
애플리케이션 정보를 입력합니다. 이름과 설명은 원하는 값을 사용할 수 있습니다.
다음 항목을 가져옵니다 Verkada Command 로고 를 Google Workspace 애플리케이션에 추가합니다.
Continue를 클릭합니다.
Option 1을 사용하여 페더레이션 메타데이터 Extensible Markup Language(XML)에 해당하는 IdP 메타데이터를 다운로드하고 Continue를 클릭합니다.
이 파일을 사용하면 Verkada가 Command에서 SSO를 구성할 수 있습니다. 나중에 사용할 수 있도록 편리한 위치에 저장하세요.
SSO를 구성하기 위해 서비스 제공업체 세부정보를(표시된 대로) 입력하거나, Verkada Command의 New SSO Configuration 페이지에서 세부정보를 복사한 후 Continue를 클릭합니다.
a. ACS URL: 미국 조직의 경우: https://vauth.command.verkada.com/saml/sso/ EU 조직의 경우: https://saml.prod2.verkada.com/saml/sso/호주 조직의 경우: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Entity ID: 미국 조직의 경우: https://vauth.command.verkada.com/saml/sso/ EU 조직의 경우: https://saml.prod2.verkada.com/saml/sso/호주 조직의 경우: https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Start URL: 미국 조직의 경우: https://vauth.command.verkada.com/saml/login/ EU 조직의 경우: https://saml.prod2.verkada.com/saml/login/호주 조직의 경우: https://saml.prod-ap-syd.verkada.com/saml/login/
조직이 생성된 위치를 참조하여 조직이 어느 지역에 있는지 확인합니다.
Attributes mappings를(아래 표시대로) 입력하고 Finish를 클릭합니다. 이렇게 하면 Command가 사용자에 대한 올바른 정보를 받게 됩니다. 앱 구성 페이지로 리디렉션되어야 합니다.
Command 구성
Verkada Command에서 모든 제품 > 관리자 로 이동합니다.
Login & Access > Single Sign On (SSO)를 선택합니다.
새 구성을 시작하거나 기존 구성을 편집하려면 Add를 클릭합니다.
Identity Provider XML Metadata 아래에 메타데이터 파일을 업로드합니다.
Email Domains 아래에 조직에 로그인할 때 사용할 이메일 도메인을 추가합니다.
다음 URL 중 하나에서 Command에 접근할 수 있는지 확인합니다(다음을 대체하여 client-id 를 설정 시 사용한 값으로 바꿉니다).
EU 조직의 경우: https://saml.prod2.verkada.com/saml/login/
참조하세요 Admin > Data Privacy > Data Residency > Data Processing Location 를 통해 지역이 어디에 있는지 확인합니다.
로그인을 완료하기 위해 Google Workspace 앱 구성 페이지로 리디렉션됩니다.
모바일 애플리케이션을 통해 로그인
Android 및 iOS의 Command는 SAML을 통한 로그인을 지원합니다.
이메일 주소 필드에 사용자의 이메일을 입력하고 Next를 클릭합니다.
로그인 과정을 완료하기 위해 IdP(Google Workspace)로 리디렉션되어야 합니다.
Google Workspace 사용자 프로비저닝
Google Workspace 기본 통합을 사용하면 조직에서 Google Workspace의 사용자와 그룹을 Verkada Command로 자동 동기화할 수 있습니다. 이를 통해 ID 관리와 일반적인 사용자 온보딩이 간소화됩니다.
Verkada의 Okta 또는 Azure용 SCIM 통합과 달리, 이 통합은 도메인 전체 위임이 적용된 Google 서비스 계정을 통해 인증되는 Google Workspace Admin SDK 및 Reports API를 사용합니다.
통합이 활성화되면 Command는 다음을 수행할 수 있습니다:
선택한 Google Workspace 그룹 또는 조직 단위(OU)에서 사용자와 그룹 가져오기
이를 관리형 사용자 및 그룹으로 Command에 동기화
예약된 백그라운드 동기화와 Admin UI에서의 필요 시 동기화를 통해 디렉터리 정확성 유지
Google 서비스 계정 만들기
Command가 Google Workspace 도메인에서 사용자 및 그룹 데이터를 읽을 수 있도록 하려면 서비스 계정을 사용해 Google API로 인증해야 합니다. 이 유형의 계정은 프로그램 방식 액세스를 위해 설계되었으며, 올바른 API 범위와 도메인 전체 위임으로 구성되어야 합니다. 이러한 설정은 다음에서 구성됩니다 Google Cloud 콘솔 계정.
정책 및 역할 확인
먼저 사용자가 서비스 계정을 만들고 서비스 계정 JSON 키를 생성할 권한이 있는지 확인해야 합니다. 테넌트의 보안 정책 때문에 차단되지 않도록 하려면:
다음으로 이동하십시오 Google Cloud 콘솔 그리고 Super Admin 자격 증명으로 로그인합니다.
왼쪽 상단에서 Project Selector 드롭다운을 열고 최상위(Type: Organization) 리소스를 선택합니다.
왼쪽 패널에서 IAM & Admin → IAM으로 이동합니다.
View by principals 아래에서 Grant Access를 클릭합니다.
a. 주체 추가, 사용자 이메일 주소를 입력합니다. b. 아래에서 역할 할당, 검색 후 선택합니다 Organization Policy Administrator. c. 다음을 클릭합니다 Save.
왼쪽 패널에서 Organization Policies를 선택합니다.
정책 목록에서 다음 항목을 찾아 비활성화합니다:
서비스 계정 만들기
해당 Google Cloud 콘솔, 왼쪽 상단에서 Project Selector 드롭다운을 엽니다.
New Project를 클릭합니다.
프로젝트 이름을 입력합니다(예: Verkada User Sync) 후 프로젝트를 만듭니다.
프로젝트가 생성되면 왼쪽 상단의 탐색 표시줄에서 선택되어 있는지 확인합니다.
왼쪽 사이드바에서 IAM & Admin → Service Accounts로 이동합니다.
+ Create Service Account를 클릭합니다.
다음 필드를 입력합니다:
이름: 설명 가능한 이름을 입력합니다(예: Verkada User Provisioning)
ID: 그대로 두거나 사용자 지정합니다(선택 사항)
설명: 다음과 같은 메모를 추가합니다 Workspace 디렉터리 데이터를 읽기 위해 Verkada에서 사용 (선택 사항)
Create and Continue를 클릭합니다.
Grant Project Access 단계를 건너뜁니다. 여기서는 역할이 필요하지 않습니다.
Continue → Done을 클릭합니다.
서비스 계정 목록에서 새로 만든 계정의 OAuth 2 Client ID를 복사합니다. 이 ID는 나중에 설정을 완료할 때 필요합니다.
JSON 키 생성
Service Accounts 목록에서 계정 이름을 클릭하거나 새 서비스 계정 옆의 세 점을 선택한 다음 Manage keys를 선택합니다.
Keys 탭에서 Add Key → Create new key를 클릭합니다.
JSON을 선택하고 Create를 클릭합니다.
하나의 .json 파일이 컴퓨터에 다운로드됩니다. 나중에 Verkada Command에서 통합을 설정할 때 사용할 수 있도록 안전한 위치에 저장하세요.
이 JSON 파일에는 Command의 Google Workspace 통합이 OAuth 2.0을 통해 Google API에 인증하는 데 사용하는 자격 증명이 포함되어 있습니다. 이 파일은 Workspace 데이터에 대한 액세스를 제공하므로 안전하게 보관해야 하며 절대 공유하거나 공개해서는 안 됩니다.
필수 Google API 활성화
Verkada Command는 사용자, 그룹, 도메인, 감사 로그를 읽기 위해 특정 Google Workspace API에 대한 액세스가 필요합니다. 통합이 작동하려면 이러한 API가 Google Cloud 프로젝트에서 활성화되어 있어야 합니다.
다음으로 이동하십시오 Google Cloud 콘솔, 그리고 Super Admin 자격 증명으로 로그인합니다.
왼쪽 사이드바에서 APIs & Services → API Library로 이동합니다.
검색창에서 Admin SDK API를 찾아 선택한 다음 Enable을 클릭합니다.
이 API는 사용자, 그룹 및 도메인 메타데이터를 읽는 데 필요합니다.
(선택 사항) 감사 로그 모니터링과 디렉터리 변경 감지를 허용하려면 Reports API를 검색하여 활성화합니다.
도메인 전체 위임 활성화
서비스 계정이 관리자를 가장하여 도메인 전체의 사용자 및 그룹 데이터에 액세스할 수 있도록 하려면 도메인 전체 위임을 부여해야 합니다. 이를 통해 서비스 계정은 수동 재인증 없이 관리자를 대신하여 읽기 작업을 수행할 수 있습니다.
다음으로 이동합니다 Google Admin Console 그리고 Google Workspace 테넌트의 Super Administrator 자격 증명으로 로그인합니다.
Admin Console 홈 페이지에서 Security →Access & data control → API Controls로 이동합니다.
API Controls 페이지에서 Domain-wide Delegation 섹션으로 스크롤한 다음 Manage Domain Wide Delegation을 클릭합니다.
Add New를 클릭하고 다음 세부정보를 입력합니다:
클라이언트 ID: 서비스 계정 키 파일의 OAuth 2 Client ID를 붙여넣습니다(
client_idJSON의 필드).OAuth 범위(쉼표로 구분):
Authorize를 클릭합니다.
새 위임 항목이 페이지에 표시되며, 이를 통해 이제 Verkada Command가 서비스 계정을 사용하여 사용자, 그룹 및 감사 데이터를 조회할 수 있음을 확인할 수 있습니다.
사용자 속성 값 설정
사용자를 Verkada Command로 동기화하기 전에 이름, 성, 이메일, 사원 ID와 같은 주요 속성이 Google Workspace에 올바르게 입력되어 있는지 확인합니다.
다음에 로그인합니다 Google Admin Console Super Admin 계정을 사용하여.
Directory → Users로 이동합니다.
업데이트하려는 사용자 프로필을 선택합니다.
User information을 클릭한 다음 관련 섹션(예: Basic information 또는 Employee information)을 확장합니다.
필요에 따라 다음 필드를 업데이트합니다:
기본 이메일 주소
이름 및 성
직원 ID (아래 Employee information)
전화번호 (아래 Contact information)
변경 사항을 적용하려면 저장을 클릭합니다.
다음 속성은 Google Workspace에서 Verkada Command로 동기화할 수 있습니다:
Google Workspace 속성 이름
Command 필드
이메일
이메일
이름
이름
성
성
부서
부서
비용 센터
부서 ID
직원 ID
직원 ID
직책
직원 직함
전화번호(기본/집/직장/휴대폰)
전화번호
Google Workspace에서 동기화된 사용자와 그룹은 Workspace에서만 관리되며 Verkada Command에서 편집할 수 없습니다. Command와 성공적으로 동기화하려면 사용자에게 이름, 성, 이메일 주소가 있어야 합니다.
사용자의 전화번호가 Verkada Command로 올바르게 동기화되도록 하려면 국가 코드와 함께 국제 형식으로 입력하고 공백이나 하이픈을 포함하지 마세요.
예시: +14155552671
Command에서 통합 활성화
다음 권한이 필요합니다. 조직 관리자 이 통합을 구성할 권한
Verkada Command에서 All Products > Admin으로 이동하세요.
Org Settings에서 Login & Access → User Provisioning → Google Workspace를 선택합니다.
a. Google Workspace Super Admin의 이메일 주소를 입력합니다. 보안과 지속성을 위해 Verkada는 개인 사용자 계정 대신 동일한 관리자 권한을 가진 전용 서비스 계정을 사용할 것을 권장합니다. a. Google Cloud Console 프로젝트에서 생성한 JSON 키를 업로드합니다. b. 인증이 성공하면 추가 를 클릭하여 Command에 동기화할 그룹 및/또는 조직 단위를 선택합니다. c. 클릭 활성화.
첫 동기화가 성공적으로 완료되면 언제든지 필요 시 업데이트할 수 있는 Sync Now 버튼이 제공됩니다.
FAQ
마지막 업데이트
도움이 되었나요?