# Microsoft Entra ID 사용 사례에 따라, [Verkada Command](https://help.verkada.com/command/ko/getting-started/get-started-with-verkada-command) 는 다음과 같은 방식으로 Microsoft Entra ID 및 기타 IdP(Identity Provider)와 통합할 수 있습니다: * 보안 어설션 마크업 언어(SAML) * 도메인 간 ID 관리 시스템(SCIM) **SAML** 은 인증 측면을 처리하여, Microsoft Entra ID를 Command에 대한 액세스를 관리하는 데 사용할 수 있게 합니다. 이는 이미 Microsoft Entra ID 테넌트에 통합된 다른 서비스형 소프트웨어(SaaS) 애플리케이션의 액세스를 관리하는 데 사용하는 방식과 동일합니다. 즉, Command를 기존 ID 프레임워크에 포함시키고 현재 정책에 따라 사용자를 승인할 수 있습니다. **SCIM** 을 사용하면 Microsoft Entra ID에 있는 기존 사용자와 그룹을 활용하여 Command와 동기화할 수 있습니다. 이를 통해 현재의 중앙 IdP를 유지하고 기존 사용자와 그룹을 사용해 Command에서 권한을 구성할 수 있습니다. {% hint style="info" %} Verkada는 보안 강화와 쉬운 구성을 위해 SAML보다 OIDC를 권장합니다. 또한 OIDC는 [엔터프라이즈 제어 암호화](https://help.verkada.com/command/ko/security/enterprise-controlled-encryption). {% endhint %} *** {% tabs %} {% tab title="OIDC(권장)" %} #### Microsoft Entra ID용 OIDC 기반 SSO Verkada Command는 Microsoft Entra ID와 OpenID Connect(OIDC)를 통한 단일 로그인(SSO)을 지원합니다. 이 통합을 통해 사용자는 기존 Microsoft Entra ID 자격 증명으로 원활하고 안전하게 인증할 수 있으며, Command에 대한 액세스를 간소화하고 전반적인 보안을 강화합니다. {% hint style="danger" %} OIDC는 Desk Station 앱에서 지원되지 않습니다. {% endhint %} {% hint style="info" %} 활성화 [엔터프라이즈 제어 암호화(ECE)](https://help.verkada.com/command/ko/security/enterprise-controlled-encryption) 를 통해 보안을 강화합니다. {% endhint %} *** **Microsoft Entra ID 구성** {% stepper %} {% step %} **다음에 로그인하세요.** [**Microsoft Entra ID 포털**](https://portal.azure.com)**.** {% endstep %} {% step %} **App registrations를 검색하여 선택합니다.** {% endstep %} {% step %} **새 등록을 클릭합니다.** a. 애플리케이션 이름 지정 **Verkada SSO OIDC.**\ b. 아래에서 **지원되는 계정 유형,** 선택 **이 조직 디렉터리의 계정만(단일 테넌트).**\ c. 아래에서 **리디렉션 URI**에서 선택 **단일 페이지 애플리케이션** (SPA) 플랫폼으로 사용하고 다음 콜백 URL을 추가합니다: 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (URI의 org-short-name를 Command 조직의 짧은 이름으로 바꾸세요.) {% hint style="warning" %} 콜백 URI 끝에 슬래시가 없도록 확인합니다. {% endhint %} {% endstep %} {% step %} **등록을 클릭합니다.** {% endstep %} {% step %} **애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID를 복사하여 안전한 곳에 보관하세요. Verkada Command에서 설정을 완료하는 데 필요합니다.** {% endstep %} {% step %} **왼쪽에서 관리 > API 노출을 클릭합니다.** a. 클릭 **범위 추가를 클릭합니다.**\ b. 클릭 **저장 후 계속**.\ c. 입력 *verkada\_ece* 다음 필드에 대해: * 범위 이름 * 관리자 동의 표시 이름 * 관리자 동의 설명 * 사용자 동의 표시 이름 * 사용자 동의 설명 d. 설정 **누가 동의할 수 있나요?** 을 **관리자 및 사용자.**\ e. 클릭 **범위 추가.**

{% endstep %} {% endstepper %} *** **Verkada Command 구성** {% stepper %} {% step %} **Verkada Command에서 All Products > Admin으로 이동합니다.** {% endstep %} {% step %} **왼쪽 탐색에서 Login & Access를 선택합니다.** {% endstep %} {% step %} **Single Sign-On Configuration을 선택합니다.** {% endstep %} {% step %} **OIDC Configuration 아래에서 Add New를 클릭합니다.** a. 다음을 켭니다. **활성화.**\ b. (선택 사항) 다음을 켭니다. **OIDC SSO 필요.**\ c. 아래에서 **공급자 선택,** 선택 **Microsoft Entra ID.**\ d. 아래에서 **클라이언트 및 테넌트 추가,** :plus:를 클릭합니다. 1. 다음에서 **클라이언트 ID** 필드에 Microsoft Entra ID에서 복사한 클라이언트 ID를 붙여넣습니다. 2. 다음에서 **테넌트 ID** 필드에 Microsoft Entra ID에서 복사한 테넌트 ID를 붙여넣습니다. 3. 다음을 클릭합니다. **완료**. e. 아래에서 **이메일 도메인,** :plus:를 클릭합니다.**.** 1. 현재 도메인 이름을 입력합니다(예: @verkada.com). 2. 다음을 클릭합니다. **완료**.

{% endstep %} {% step %} **페이지 상단에서 New Application을 선택하고 Verkada Command를 검색합니다.** {% endstep %} {% step %} **Verkada Command를 선택하고 Create를 클릭합니다. *****애플리케이션을 추가하는 데 몇 분 걸릴 수 있으니 잠시 기다리세요.***** Microsoft Entra ID *****테넌트*****.**

페이지가 새로 고쳐지면 아래와 유사한 메뉴가 표시되어야 합니다. {% endstep %} {% step %} **단일 로그인 설정에서 Get started를 클릭합니다.**

{% endstep %} {% step %} **단일 로그인 방법으로 SAML을 선택합니다.**

{% endstep %} {% step %} **필요한 경우 Edit를 클릭하여 SAML 연결을 추가로 구성합니다.** {% endstep %} {% step %} **다음 필드를 구성합니다. Microsoft Entra ID에 추가하기 전에 각 URL 끝에 클라이언트 ID를 추가해야 합니다. 참고 아래의 예시를 확인하세요.** a. 다음의 경우 **식별자**:\ 미국 조직의 경우: \ EU 조직의 경우: AUS 조직의 경우: b. 다음의 경우 **답장 URL**:\ 미국 조직의 경우: \ EU 조직의 경우: \ AUS 조직의 경우: c. 다음의 경우 **로그인 URL**:\ 미국 조직의 경우: \ EU 조직의 경우: [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ AUS 조직의 경우: {% hint style="warning" %} 어느 지역에 있는지 확인하려면 다음을 참조하세요. [Verkada를 위해 조직이 생성된 위치](https://help.verkada.com/command/ko/getting-started/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **저장을 클릭합니다.** {% endstep %} {% step %} **Attributes & Claims에서 Edit를 클릭하여 다음 속성과 일치하도록 합니다:**

{% hint style="warning" %} 이메일에 다른 소스 특성을 사용하는 경우, 사용하려는 소스 특성에 따라 속성을 구성하세요. {% endhint %} {% endstep %} {% step %} **SAML Signing Certificate에서 이 Federation Metadata XML을 Command로 가져옵니다.** {% endstep %} {% step %} **나중에 사용할 수 있도록 다운로드를 클릭하여 저장합니다.**

{% hint style="info" %} 다음에 나타나는 대화상자에는 통합이 완료된 후 사용할 수 있는 도구가 포함됩니다. {% endhint %} {% endstep %} {% step %} **계속해서 Verkada Command로 이동하여** [**구성을 완료하세요**](https://help.verkada.com/command/ko/security/identity-providers/..#command-sso-configuration)**.** {% endstep %} {% endstepper %} *** #### Microsoft Entra ID에서 SAML 연결 테스트 {% stepper %} {% step %} **파일이 업로드되면 Microsoft Entra ID에서 Test를 클릭하여 통합을 테스트합니다. Command 계정(조직 초대)이 있는 모든 사용자에게 알림이 전송됩니다.**

{% endstep %} {% step %} **현재 사용자로 로그인(Sign in as current user)으로 로그인합니다. 모든 설정이 올바르면 Command 플랫폼으로 리디렉션되어야 합니다.** {% endstep %} {% step %} **단일 로그인으로 로그인하여 Command에 대한 액세스를 확인합니다.** {% endstep %} {% endstepper %} {% hint style="warning" %} Microsoft Entra ID는 현재 앱 액세스에 대한 중첩 그룹을 지원하지 않습니다. 할당하려면 모든 사용자가 그룹의 직접 구성원이어야 합니다. {% endhint %} *** #### 모바일 애플리케이션을 통해 로그인 {% hint style="info" %} Android 및 iOS Command 앱은 SAML 기반 로그인을 지원합니다. {% endhint %} {% stepper %} {% step %} **Command 앱을 엽니다.** {% endstep %} {% step %} **이메일 주소 필드에 이메일을 입력하고 Next를 클릭합니다.** {% endstep %} {% step %} **로그인 과정을 완료하기 위해 IdP(Microsoft Entra ID)로 리디렉션되어야 합니다.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="사용자 프로비저닝" %} #### Microsoft Entra ID SCIM 통합 Verkada Command는 자동 사용자 및 그룹 프로비저닝을 위해 SCIM(System for Cross-Domain Identity Management)을 사용하여 Microsoft Entra ID와 통합됩니다. SCIM은 Microsoft Entra ID의 사용자와 그룹을 Command로 직접 동기화합니다. 이를 통해 다음이 가능합니다: * Microsoft Entra ID를 중앙 IdP로 유지합니다. * Entra ID에서 변경이 발생할 때 Command의 사용자와 그룹을 자동으로 업데이트합니다. * 기존 ID 구조를 사용하여 Command에서 권한을 할당하고 관리합니다. {% hint style="info" %} 조직에서 SCIM을 사용하는 경우, 전화번호는 SCIM을 통해서만 프로비저닝할 수 있습니다. Command에서 전화번호를 직접 편집할 수 없습니다. {% endhint %} *** **Microsoft Entra ID 구성에서의 SCIM** Microsoft Entra ID에서 SCIM을 구성하기 전에 Command에서 비밀 토큰을 생성해야 합니다. {% stepper %} {% step %} **Verkada Command에서 All Products > Admin으로 이동합니다.** {% endstep %} {% step %} **Org Settings에서 Login & Access & Logs > SCIM Users Provisioning을 선택합니다.** {% endstep %} {% step %} **Add Domain을 클릭하고, SCIM과 함께 사용할 모든 관련 이메일 도메인을 입력합니다.** 이렇게 하면 SCIM 토큰이 생성됩니다. **이 토큰은 한 번만 볼 수 있습니다.** a. 클릭 **복사** 하고 나중에 설정에서 사용할 수 있도록 토큰을 안전한 곳에 보관합니다.\ b. 클릭 [**새로고침**](https://help.verkada.com/command/ko/security/identity-providers/scim-token-management) 토큰을 복사하지 않았거나 보이지 않는 경우 새 토큰을 생성합니다. {% endstep %} {% step %} **Microsoft Entra ID 홈페이지에서 Enterprise applications > New application > Create your own application을 선택합니다.** {% endstep %} {% step %} **Create your own application 사이드 패널에서 애플리케이션 이름을 입력하고 비갤러리 애플리케이션을 선택한 다음 Create를 클릭합니다.**

{% endstep %} {% step %} **Provision User Accounts에서 Get started를 클릭합니다.**

{% endstep %} {% step %} **Manage > Provisioning을 선택합니다.** {% endstep %} {% step %} **프로비저닝 페이지에서:** a. Provisioning Mode를 Automatic으로 설정합니다.\ b. Tenant URL을 다음과 같이 설정합니다: * 미국 조직의 경우: * EU 조직의 경우: * AUS 조직의 경우: {% hint style="warning" %} 어느 지역에 있는지 확인하려면 [Verkada를 위해 조직이 생성된 위치를 참조하세요](https://help.verkada.com/command/ko/getting-started/get-started-with-verkada-command). {% endhint %} f. SCIM *토큰* 을 Verkada Command(2단계)에서 생성된 값으로 비밀 토큰에 입력합니다.

{% endstep %} {% step %} **Test Connection을 클릭합니다. SCIM 연결이 성공했다는 확인 메시지가 표시되어야 합니다.**

{% endstep %} {% step %} **저장을 클릭합니다.** {% endstep %} {% endstepper %} *** **Microsoft Entra ID 그룹의 속성 구성** {% stepper %} {% step %} **Entra ID 포털에서 Mappings 드롭다운을 확장하고 Provision Microsoft Entra ID Groups를 선택합니다.**

{% endstep %} {% step %} **다음 데이터 표 스크린샷과 일치하도록 매핑을 구성합니다:**

{% hint style="warning" %} 다음 **externalId** 속성은 기본적으로 추가됩니다. 구성 문제를 피하려면 이 속성을 제거하세요. {% endhint %} {% endstep %} {% step %} **(선택 사항) 매핑을 추가해야 하는 경우:** a. 클릭 **새 매핑 추가** > 다음을 선택 **소스 특성** 을 위의 Microsoft Entra ID 특성과 일치하도록 설정합니다.\ b. 다음을 설정 **대상 특성** 을 다음과 일치하도록 설정 **customappsso** 위의 특성.\ c. 클릭 **확인**. {% endstep %} {% step %} **저장을 클릭하고 필요한 경우 변경 사항을 확인합니다.** {% endstep %} {% step %} **페이지 상단에서 Provisioning을 선택하여 프로비저닝 페이지로 돌아갑니다.** {% endstep %} {% endstepper %} *** **Microsoft Entra ID 사용자 속성 구성** {% stepper %} {% step %} **Entra ID 포털에서 Mappings 드롭다운을 확장한 다음 Provision Microsoft Entra ID Users를 선택하여 사용자 매핑을 변경합니다.** {% endstep %} {% step %} **아래 속성 표와 일치하도록 매핑을 업데이트합니다.** {% hint style="warning" %} 다음 **Microsoft Entra ID Attribute 아래의** 속성은 **식** 매핑 유형으로 추가됩니다. {% endhint %} Switch(\[IsSoftDeleted], "False", "True", "True", "False") | customappsso 속성 | Microsoft Entra ID 속성 | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | 활성 | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} Source Attribute는 Microsoft Entra ID Attribute이고 Target Attribute는 customappsso Attribute입니다. 다음 중 **customappsso** 특성이 Target Attributes로 제공되지 않는 경우, Microsoft Entra ID 플랫폼에 옵션으로 추가해야 할 수 있습니다. 그렇게 하려면 **고급 옵션 표시** 확인란을 선택하고 **customappsso용 속성 목록 편집을 클릭합니다.**. {% endhint %} {% hint style="warning" %} SCIM으로 관리되는 사용자는 더 이상 Command에서 전화번호를 편집할 수 없으며, 대신 SCIM을 통해서만 프로비저닝할 수 있습니다. IdP 측에서는 IdP 인스턴스의 임의의 필드를 Command의 **전화번호** 필드에 매핑하도록 속성 매핑을 설정할 수 있습니다. 또한 **아니요** 필드를 IdP에서 Command의 **전화번호** 필드에 매핑하도록 설정할 수도 있습니다. 그러나 이 경우에도 전화번호는 Command에서 잠겨 있으며 SCIM을 통해서만 편집할 수 있습니다. {% endhint %} {% endstep %} {% step %} **변경 사항을 확인하려면 저장을 클릭합니다.** {% endstep %} {% step %} **상단에서 Provisioning을 선택하고 Provisioning Status를 켭니다.**

{% endstep %} {% step %} **요구 사항에 따라 범위를 다음 필수 옵션 중 하나로 조정합니다:** * 모든 사용자와 그룹 동기화. * 할당된 사용자와 그룹만 동기화. {% hint style="warning" %} Users and Groups에서 사용자와 그룹이 엔터프라이즈 애플리케이션에 할당되어 있는지 확인합니다. 할당된 항목이 Command에 프로비저닝되어 표시됩니다. {% endhint %} {% endstep %} {% step %} **사용자가 애플리케이션에 할당되어 있는지 확인합니다. 초기 프로비저닝 주기가 완료되면:** a. 다음에서 성공적으로 프로비저닝된 사용자와 그룹의 총 수를 확인할 수 있어야 합니다. **개요**.\ b. Command에서는 이 사용자와 그룹이 다음과 연결된 상태로 표시되어야 합니다. **SCIM Managed** 태그. 이렇게 동기화된 사용자와 그룹은 이제 Command에서 사용할 수 있으며, Command 플랫폼에 대한 액세스를 제어하기 위한 권한을 할당할 수 있습니다.

{% endstep %} {% endstepper %} **Command에서 SCIM으로 관리되는 사용자 삭제** IdP에서 SCIM으로 관리되는 사용자가 비활성화되면 두 가지 방법으로 Command에서 사용자를 제거할 수 있습니다: * **사용자 삭제** – 계정은 Deleted Users 페이지로 이동하지만 기존 기록, 역할 및 권한은 유지됩니다. * **사용자를 영구적으로 제거** – 모든 역할, 자격 증명, 액세스 로그 및 관련 데이터가 삭제됩니다. 사용자가 SCIM을 통해 다시 프로비저닝되면 Command는 새 사용자 레코드를 생성합니다. {% hint style="warning" %} Command에서 삭제 옵션을 사용하려면 먼저 IdP(Identity Provider)에서 사용자를 비활성화해야 합니다. {% endhint %} *** **(선택 사항) SCIM 사용자에 액세스 자격 증명 추가** {% stepper %} {% step %} **다음에 로그인하세요.** [**Azure 포털**](https://portal.azure.com)**.** {% endstep %} {% step %} **검색창에 Enterprise Applications를 입력하고 선택합니다.** {% endstep %} {% step %} **Verkada SCIM 애플리케이션을 선택합니다.** {% endstep %} {% step %} **왼쪽 패널에서 Manage > Provisioning을 클릭합니다.** {% endstep %} {% step %} **Mappings 하위 메뉴를 확장하고 Provision Microsoft Entra ID Users를 선택합니다.** {% endstep %} {% step %} **하단에서 Show advanced options > Edit attribute list for customappsso를 클릭합니다.** a. 아래 표의 속성을 추가합니다.\ b. 클릭 **저장**. {% endstep %} {% step %} **Provision Microsoft Entra ID Users로 돌아가 Add New Mapping을 선택합니다.** a. extensionAttributes 1-5를 **소스 특성** 으로 사용하고 다음에 대해 만든 새 속성에 매핑합니다. **카드 형식, 카드 번호, 카드 번호 Hex, 자격 증명 상태,** 및 **시설 코드** 를 대상 특성으로 사용합니다. 1. 참조 [허용되는 카드 형식](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats) 허용되는 카드 형식 및 관련 시설 코드, 카드 번호 및/또는 카드 번호 Hex 길이에 대한 정보입니다. 2. **자격 증명 상태** 는 "active", "deactivated" 또는 "deleted"일 수 있습니다 3. 다음을 클릭합니다. **저장**. b. 부서 식별자를 동기화하려면 원하는 소스 속성(예: department 또는 사용자 지정 확장 속성)으로 새 매핑을 추가하고 대상 속성을 costCenter(urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter)로 설정합니다. 이렇게 하면 부서 ID 값이 Command로 동기화됩니다. {% endstep %} {% endstepper %} **속성 표** | | | | ------------------------------------------------------------------------------- | ------ | | **이름** | **유형** | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat | 문자열 | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber | 문자열 | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex | 문자열 | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus | 문자열 | | urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode | 문자열 | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | 문자열 | **앱 등록 편집** Entra AD에서 생성된 모든 SCIM 활성화 엔터프라이즈 애플리케이션에는 일반적으로 각각의 앱 등록이 필요합니다. {% stepper %} {% step %} **검색창에 App registrations를 입력하고 선택합니다.** {% endstep %} {% step %} **All Applications 탭으로 전환하고 Verkada SCIM 애플리케이션 이름을 검색합니다.** {% endstep %} {% step %} **Overview에서 앱 등록의 애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID를 메모합니다. 나중에 앱 등록에서 Command 애플리케이션의 자격 증명을 구성하는 데 필요합니다.** {% endstep %} {% step %} **왼쪽 탐색에서 Manage를 클릭합니다.** a. 아래에서 **Certificates & secrets:** 1. 다음을 클릭합니다. **새 클라이언트 시크릿**. 2. 다음을 설정합니다. **설명** 을 "*Verkada SCIM Credentials"* 로 설정하고 원하는 인증서 만료 날짜를 설정합니다. 3. 다음에 표시된 값을 복사하여 보관합니다. **값** 으로 새 클라이언트 시크릿이 생성되었습니다. **이 값은 한 번만 표시됩니다.** e. 아래에서 **API 권한**: 1. 다음을 클릭합니다. **권한 추가 > Microsoft Graph.** 2. 선택 **애플리케이션 권한** 을 선택하고 "*User.ReadWrite.All*". 1. 권한을 할당하려면 확인란을 선택합니다. 2. 다음을 클릭합니다. **권한 추가**.

3. Microsoft Entra ID와 Command 애플리케이션 간에 전달되는 모든 단계 변경 사항을 수동으로 검토하고 승인해야 하는 일을 피하려면 다음을 선택합니다. **Default Directory에 대한 관리자 동의 부여**.

{% endstep %} {% endstepper %} {% hint style="warning" %} 다음에 대한 이 자격 증명 목록을 참조하세요. [허용되는 카드 형식](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/installation/badge-reader-support/supported-card-formats). {% endhint %} **자격 증명 액세스 및 업데이트** 특정 사용자의 확장 특성과 자격 증명 정보를 설정하려면 다음의 Graph API 지침을 사용하세요: . {% hint style="warning" %} 다음을 설정하는 것 **credentialStatus** 특성을 **활성** 사용자의 자격 증명을 설정할 때 Command와 자격 증명을 성공적으로 동기화하는 데 필요합니다. 자격 증명 상태(credentialStatus)는 extensionAttribute4입니다. {% endhint %} 예시: ``` curl --location --request PATCH 'https://graph.microsoft.com/v1.0/users/' \\ --header 'Authorization: Bearer ' \\ --header 'Content-Type: application/json' \\ --data '{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Standard 26-bit Wiegand", "extensionAttribute2": "7777", "extensionAttribute3": "7", "extensionAttribute4": "active", "extensionAttribute5": "111" } }' ``` *** **외부 ID를 Verkada에 동기화** externalId 필드를 사용하면 Microsoft Entra를 통해 사용자에게 영구적이고 전 세계적으로 고유한 식별자를 할당할 수 있으며, Verkada는 이를 통합 전반에서 참조할 수 있습니다. 이는 사용자를 시스템 간에 구분해야 하거나 자격 증명(예: 액세스 카드)을 고유한 ID 키에 연결해야 하는 대규모 엔터프라이즈 환경에서 특히 유용합니다. Verkada는 SCIM 사용자 스키마의 일부로 이 값을 수신하고 저장하는 것을 지원합니다. 이 필드는 대소문자를 구분하며 일반적으로 Microsoft Entra 인스턴스의 지정된 특성에서 문자열 값을 수락하도록 구성됩니다. 이 기능은 사용자 지정 자격 증명 관리, 직원 생애 주기 자동화, 조직 간 일관된 사용자 매핑과 같은 고급 워크플로를 지원합니다. **Azure의 externalId를 Verkada에 매핑** Microsoft Entra ID(Azure)의 사용자 지정 externalId 값을 Verkada에 동기화하려면 다음 단계를 따르세요: {% stepper %} {% step %} **Azure 포털에 로그인합니다.** {% endstep %} {% step %} **검색창에 Enterprise Applications를 입력하고 선택합니다.** {% endstep %} {% step %} **Verkada SCIM 애플리케이션을 선택합니다.** {% endstep %} {% step %} **왼쪽 패널에서 Manage > Provisioning을 클릭합니다.** {% endstep %} {% step %} **Mappings 하위 메뉴를 확장하고 Provision Microsoft Entra ID Users를 선택합니다.** {% endstep %} {% step %} **맨 아래로 스크롤하여 Show advanced options > Edit attribute list for customappsso를 클릭합니다.** {% endstep %} {% step %} **다음 새 속성을 추가합니다:** `urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId` * 유형: 문자열 * 대소문자 구분: 예 {% endstep %} {% step %} **저장을 클릭합니다.** {% endstep %} {% step %} **Provision Microsoft Entra ID Users로 돌아가 Add New Mapping을 클릭합니다.** {% endstep %} {% step %} **Source Attribute의 경우, external ID가 저장된 Azure AD의 필드(예: extensionAttribute1, employeeId 등)를 선택합니다.** {% endstep %} {% step %} **Target Attribute에는 다음을 사용합니다: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId** {% endstep %} {% step %} **OK를 클릭한 다음 저장합니다.** {% endstep %} {% endstepper %} 프로비저닝이 완료되면 external\_id 값은 Verkada 내 사용자의 SCIM 레코드에 저장됩니다. 이를 통해 사용자는 조직에 고유하고 완전히 통제 가능한 유연한 API 조회 가능한 ID를 사용할 수 있으며, Verkada의 내부 식별자에 묶이지 않고 사용자 인터페이스에 노출되지 않습니다. ![](https://1764840814-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-ad87e0166a1792938d4c35d10f1172332fbfa36e%2Fa1cab99d0a59e02d8322c174969b568cb1519438.png?alt=media) {% hint style="info" %} **직접 보고 싶으신가요?** 다음을 확인해 보세요. [동영상 튜토리얼](https://www.youtube.com/watch?v=YSMzqFwWlW4). {% endhint %} {% endtab %} {% endtabs %} {% tabs %} {% tab title="OIDC(권장)" %} #### Azure Entra용 OIDC 기반 SSO Verkada Command는 Azure Entra와 OpenID Connect(OIDC)를 통한 단일 로그인(SSO)을 지원합니다. 이 통합을 통해 사용자는 기존 Azure Entra 자격 증명으로 원활하고 안전하게 인증할 수 있으며, Command에 대한 액세스를 간소화하고 전반적인 보안을 강화합니다. {% hint style="danger" %} OIDC는 Desk Station 앱에서 지원되지 않습니다. {% endhint %} {% hint style="info" %} 활성화 [엔터프라이즈 제어 암호화(ECE)](https://help.verkada.com/command/ko/security/enterprise-controlled-encryption) 를 통해 보안을 강화합니다. {% endhint %} *** **Azure Entra 구성** {% stepper %} {% step %} **다음에 로그인하세요.** [**Azure Entra 포털**](https://portal.azure.com)**.** {% endstep %} {% step %} **App registrations를 검색하여 선택합니다.** {% endstep %} {% step %} **새 등록을 클릭합니다.** a. 애플리케이션 이름 지정 **Verkada SSO OIDC.**\ b. 아래에서 **지원되는 계정 유형,** 선택 **이 조직 디렉터리의 계정만(단일 테넌트).**\ c. 아래에서 **리디렉션 URI**에서 선택 **단일 페이지 애플리케이션** (SPA) 플랫폼으로 사용하고 다음 콜백 URL을 추가합니다: 1. 2. [https://org-short-name.command.verkada.com/oidc/aad/callback](http://org-short-name.command.verkada.com/oidc/aad/callback) (URI의 org-short-name를 Command 조직의 짧은 이름으로 바꾸세요.) {% hint style="warning" %} 콜백 URI 끝에 슬래시가 없도록 확인합니다. {% endhint %} {% endstep %} {% step %} **등록을 클릭합니다.** {% endstep %} {% step %} **애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID를 복사하여 안전한 곳에 보관하세요. Verkada Command에서 설정을 완료하는 데 필요합니다.** {% endstep %} {% step %} **왼쪽에서 관리 > API 노출을 클릭합니다.** a. 클릭 **범위 추가를 클릭합니다.**\ b. 클릭 **저장 후 계속**.\ c. 입력 *verkada\_ece* 다음 필드에 대해: * 범위 이름 * 관리자 동의 표시 이름 * 관리자 동의 설명 * 사용자 동의 표시 이름 * 사용자 동의 설명 d. 설정 **누가 동의할 수 있나요?** 을 **관리자 및 사용자.**\ e. 클릭 **범위 추가.**

{% endstep %} {% endstepper %} *** **Verkada Command 구성** {% stepper %} {% step %} **Verkada Command에서 All Products > Admin으로 이동합니다.** {% endstep %} {% step %} **왼쪽 탐색에서 Login & Access를 선택합니다.** {% endstep %} {% step %} **Single Sign-On Configuration을 선택합니다.** {% endstep %} {% step %} **OIDC Configuration 아래에서 Add New를 클릭합니다.** a. 다음을 켭니다. **활성화.**\ b. (선택 사항) 다음을 켭니다. **OIDC SSO 필요.**\ c. 아래에서 **공급자 선택,** 선택 **Azure Entra.**\ d. 아래에서 **클라이언트 및 테넌트 추가,** :plus:를 클릭합니다. 1. 다음에서 **클라이언트 ID** 필드에 Azure Entra에서 복사한 클라이언트 ID를 붙여넣습니다. 2. 다음에서 **테넌트 ID** 필드에 Azure Entra에서 복사한 테넌트 ID를 붙여넣습니다. 3. 다음을 클릭합니다. **완료**. e. 아래에서 **이메일 도메인,** :plus:를 클릭합니다.**.** 1. 현재 도메인 이름을 입력합니다(예: @verkada.com). 2. 다음을 클릭합니다. **완료**.

{% endstep %} {% step %} **로그인 테스트 실행을 클릭합니다.** {% endstep %} {% step %} **성공적인 로그인 테스트는 OIDC 구성 페이지로 리디렉션되어야 합니다. 로그인한 후에는 허용 목록에 추가해야 하는 도메인을 추가하세요.** {% endstep %} {% step %} **도메인이 추가되면 로그인 테스트를 다시 실행하세요. 이 두 번째 로그인 테스트가 성공적으로 완료되기 전까지는 SSO가 활성화되지 않습니다.** {% endstep %} {% step %} **도메인이 확인되면 성공적으로 검증된 것을 볼 수 있어야 합니다.** {% endstep %} {% endstepper %} {% endtab %} {% tab title="SAML" %} ### Microsoft Entra ID SAML 통합 사용 사례에 따라, [Verkada Command](https://help.verkada.com/command/ko/getting-started/get-started-with-verkada-command) 는 다음과 같은 방식으로 Microsoft Entra ID 및 기타 ID 공급자\[IdPs]와 통합할 수 있습니다: * 보안 어설션 마크업 언어(SAML) * 도메인 간 ID 관리 시스템(SCIM) **SAML** 인증 측면을 처리하여 Microsoft Entra ID를 Command에 대한 액세스를 관리하는 데 사용할 수 있게 합니다. 이는 이미 Microsoft Entra ID 테넌트에 통합된 다른 서비스형 소프트웨어(SaaS) 애플리케이션의 경우와 동일합니다. 즉, Command를 기존 ID 프레임워크에 포함시키고 현재 정책에 따라 사용자를 승인할 수 있습니다. **SCIM** Microsoft Entra ID에 이미 존재하는 기존 사용자와 그룹을 활용하여 Command와 동기화할 수 있습니다. 이를 통해 현재의 중앙 IdP를 유지하고 기존 사용자와 그룹을 사용해 Command에서 권한을 구성할 수 있습니다. *** #### Microsoft Entra ID에서 SAML 설정 Verkada Command는 갤러리 애플리케이션으로 등록되어 있으며 Microsoft Entra ID 마켓플레이스에서 찾을 수 있습니다. 즉, Microsoft Entra ID Free, Microsoft Entra ID P1, Microsoft Entra ID P2 라이선스와 함께 사용할 수 있습니다. {% hint style="danger" %} 시작하려면 다음이 필요합니다. `클라이언트 ID`. 방법 알아보기 [생성하고 이메일 도메인 구성하기](https://help.verkada.com/command/ko/security/identity-providers/..#generate-client-id)를 완료한 다음, 나머지 절차를 완료하기 위해 이 문서로 돌아오세요. {% endhint %} {% stepper %} {% step %} **Microsoft Entra ID 디렉터리에 Verkada Command를 엔터프라이즈 애플리케이션으로 추가합니다. Microsoft Entra ID 개요 페이지로 이동하여 Enterprise applications를 선택합니다.**

페이지가 새로 고쳐지면 아래와 유사한 메뉴가 표시되어야 합니다. {% endstep %} {% step %} **단일 로그인 설정에서 Get started를 클릭합니다.**

{% endstep %} {% step %} **단일 로그인 방법으로 SAML을 선택합니다.**

{% endstep %} {% step %} **필요한 경우 Edit를 클릭하여 SAML 연결을 추가로 구성합니다.** {% endstep %} {% step %} **다음 필드를 구성합니다. Microsoft Entra ID에 추가하기 전에 각 URL 끝에 클라이언트 ID를 추가해야 합니다. 참고 아래의 예시를 확인하세요.** a. 다음의 경우 **식별자**:\ 미국 조직의 경우: \ EU 조직의 경우: \ AUS 조직의 경우: b. 다음의 경우 **답장 URL**:\ 미국 조직의 경우: \ EU 조직의 경우: \ AUS 조직의 경우: c. 다음의 경우 **로그인 URL**:\ 미국 조직의 경우: \ EU 조직의 경우: [https://saml.prod2.verkada.com/saml/login](https://saml.prod2.verkada.com/saml/login/)\ AUS 조직의 경우: {% hint style="warning" %} 어느 지역에 있는지 확인하려면 다음을 참조하세요. [Verkada를 위해 조직이 생성된 위치](https://help.verkada.com/command/ko/getting-started/get-started-with-verkada-command). {% endhint %}

{% endstep %} {% step %} **저장을 클릭합니다.** {% endstep %} {% step %} **Attributes & Claims에서 Edit를 클릭하여 다음 속성과 일치하도록 합니다:**

{% endstep %} {% step %} **Provision User Accounts에서 Get started를 클릭합니다.**

{% endstep %} {% step %} **Test Connection을 클릭합니다. SCIM 연결이 성공했다는 확인 메시지가 표시되어야 합니다.**

{% endstep %} {% step %} **다음 데이터 표 스크린샷과 일치하도록 매핑을 구성합니다:**

{% hint style="warning" %} 다음 **externalId** 속성은 기본적으로 추가됩니다. 구성 문제를 피하려면 이 속성을 제거하세요. {% endhint %} {% endstep %} {% step %} **(선택 사항) 매핑을 추가해야 하는 경우:** a. 클릭 **새 매핑 추가** > 다음을 선택 **소스 특성** 위의 Microsoft Entra ID 특성과 일치하도록.\ b. 다음을 설정 **대상 특성** 을 다음과 일치하도록 설정 **customappsso** 위의 특성.\ c. 클릭 **확인**. {% endstep %} {% step %} **저장을 클릭하고 필요한 경우 변경 사항을 확인합니다.** {% endstep %} {% step %} **페이지 상단에서 Provisioning을 선택하여 프로비저닝 페이지로 돌아갑니다.** {% endstep %} {% endstepper %} *** **Microsoft Entra ID 사용자 속성 구성** {% stepper %} {% step %} **Entra ID 포털에서 Mappings 드롭다운을 확장한 다음 Provision Microsoft Entra ID Users를 선택하여 사용자 매핑을 변경합니다.** {% endstep %} {% step %} **아래 속성 표와 일치하도록 매핑을 업데이트합니다.** {% hint style="warning" %} 다음 **Microsoft Entra ID Attribute 아래의** 속성은 **식** 매핑 유형으로 추가됩니다. {% endhint %} Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | customappsso 속성 | Microsoft Entra ID 속성 | | ------------------------------------------------------------------------- | ------------------------------------------------------------ | | userName | userPrincipalName | | 활성 | Switch(\[IsSoftDeleted], , "False", "True", "True", "False") | | title | jobTitle | | name.givenName | givenName | | name.familyName | surname | | phoneNumbers\[type eq "work"].value | telephoneNumber | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber | employeeId | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName | | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department | | urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter | costCenter | {% hint style="warning" %} Source Attribute는 Microsoft Entra ID Attribute이고 Target Attribute는 customerappsso Attribute입니다. 다음 중 일부가 **customappsso** 속성이 다음으로 제공되지 않는 경우 **대상 특성**으로 사용할 수 있다면, Microsoft Entra ID 플랫폼에 옵션으로 추가해야 할 수 있습니다. 그렇게 하려면 **고급 옵션 표시** 확인란을 선택하고 **customappsso용 속성 목록 편집을 클릭합니다.**. {% endhint %} {% hint style="warning" %} SCIM으로 관리되는 사용자는 더 이상 Command에서 전화번호를 편집할 수 없으며, 대신 SCIM을 통해서만 프로비저닝할 수 있습니다. IdP 측에서는 IdP 인스턴스의 임의의 필드를 Command의 **전화번호** 필드에 매핑하도록 속성 매핑을 설정할 수 있습니다. 또한 **아니요** 필드를 IdP에서 Command의 **전화번호** Command의 필드입니다. 그러나 이 경우에도 전화번호는 **잠겨 있는** Command의 필드로 유지되며 SCIM을 통해서만 편집할 수 있습니다. {% endhint %} {% endstep %} {% step %} **변경 사항을 확인하려면 저장을 클릭합니다.** {% endstep %} {% step %} **상단에서 Provisioning을 선택하고 Provisioning Status를 켭니다.**

3. Azure Entra와 Command 애플리케이션 간에 전달되는 모든 단계 변경 사항을 수동으로 검토하고 승인해야 하는 일을 피하려면 다음을 선택합니다. **Default Directory에 대한 관리자 동의 부여**.