Microsoft Entra ID
Microsoft Entra ID(Azure AD)를 사용하여 SSO와 사용자 프로비저닝을 구성하세요
사용 사례에 따라, Verkada Command 는 Microsoft Entra ID를 비롯한 다른 ID 공급자[IdP]와 다음과 같은 방식으로 통합할 수 있습니다:
보안 주장 마크업 언어(SAML)
크로스 도메인 ID 관리 시스템(SCIM)
SAML 는 인증 측면을 처리하여 Microsoft Entra ID를 사용해 Command에 대한 액세스를 관리할 수 있도록 하며, 이는 Microsoft Entra ID 테넌트에 이미 통합된 다른 서비스형 소프트웨어(SaaS) 애플리케이션과 동일합니다. 즉, Command를 기존 ID 프레임워크에 통합하고 현재 정책에 따라 사용자를 승인할 수 있습니다.
SCIM 를 사용하면 Microsoft Entra ID에 이미 존재하는 기존 사용자 및 그룹을 활용하고 이를 Command와 동기화할 수 있습니다. 이를 통해 현재 중앙 IdP를 유지하고, 기존 사용자 및 그룹을 사용하여 Command에서 권한을 구성할 수 있습니다.
Verkada는 향상된 보안과 더 쉬운 구성을 위해 SAML보다 OIDC를 권장합니다. OIDC는 또한 엔터프라이즈 제어 암호화.
Azure Entra용 OIDC 기반 SSO
Verkada Command는 Azure Entra와 OpenID Connect(OIDC)를 통한 싱글 사인온(SSO)을 지원합니다. 이 통합을 통해 사용자는 기존 Azure Entra 자격 증명을 사용하여 원활하고 안전하게 인증할 수 있으며, Command에 대한 액세스를 간소화하고 전반적인 보안을 강화합니다.
OIDC는 Pass 앱 또는 Desk Station 앱에서 지원되지 않습니다.
활성화 엔터프라이즈 제어 암호화(ECE) 를 통해 보안을 강화하세요.
Azure Entra 구성
귀하의 Azure Entra 포털.
App registrations를 검색하여 선택합니다.
New Registration을 클릭합니다.
a. 애플리케이션 이름을 Verkada SSO OIDC로 지정합니다. b. 지원되는 계정 유형에서 다음을 선택합니다. 이 조직 디렉터리의 계정만( only - Single tenant). c. 리디렉션 URI옆에서 다음을 선택합니다 단일 페이지 애플리케이션 (SPA)을 플랫폼으로 선택하고 다음 콜백 URL을 추가합니다:
https://org-short-name.command.verkada.com/oidc/aad/callback (URI의 org-short-name을 귀하의 Command 조직 short-name으로 바꾸십시오.)
콜백 URI 끝에 슬래시가 없는지 확인합니다.
Register를 클릭합니다.
Application (Client) ID와 Directory (Tenant) ID를 복사하여 안전한 곳에 저장합니다. Verkada Command에서 설정을 완료하려면 이 정보가 필요합니다.
왼쪽에서 Manage > Expose an API를 클릭합니다.
a. 을(를) 클릭합니다. 스코프를 추가합니다. b. Save and continue를 클릭합니다. c. 다음 필드에 verkada_ece 를 입력합니다:
스코프 이름
관리자 동의 표시 이름
관리자 동의 설명
사용자 동의 표시 이름
사용자 동의 설명
d. 누가 동의할 수 있나요? 를 관리자 및 사용자로 설정합니다. e. Add scope를 클릭합니다.
Verkada Command 구성
Verkada Command에서 All Products > Admin으로 이동하세요.
왼쪽 탐색에서 Login & Access를 선택합니다.
Single Sign-On Configuration을 선택합니다.
OIDC Configuration 아래에서 Add New를 클릭합니다.
a. 활성화를 켭니다. b. (선택 사항) Require OIDC SSO를 켭니다. c. Provider 선택에서 다음을 선택합니다. Azure Entra를 선택합니다. d. Add Client and Tenant 아래에서 :plus:를 클릭합니다.
해당 클라이언트 ID 필드에 Azure Entra에서 복사한 Client ID를 붙여넣습니다.
해당 Tenant ID 필드에 Azure Entra에서 복사한 Tenant ID를 붙여넣습니다.
클릭합니다. 완료.
e. Email Domains 아래에서 :plus:를 클릭합니다..
사용 중인 도메인 이름을 입력합니다(예: @verkada.com).
클릭합니다. 완료.
Run Login Test를 클릭합니다.
로그인 테스트가 성공하면 OIDC 구성 페이지로 리디렉션되어야 합니다. 로그인한 후 허용 목록에 추가해야 하는 도메인을 추가합니다.
도메인을 추가한 후 로그인 테스트를 다시 실행합니다. 이 두 번째 로그인 테스트가 성공적으로 완료될 때까지 SSO는 활성화되지 않습니다.
도메인이 검증되면 성공적으로 확인되었다는 표시가 보여야 합니다.
Microsoft Entra ID SAML 통합
사용 사례에 따라, Verkada Command 는 Microsoft Entra ID를 비롯한 다른 ID 공급자[IdP]와 다음과 같은 방식으로 통합할 수 있습니다:
보안 주장 마크업 언어(SAML)
크로스 도메인 ID 관리 시스템(SCIM)
SAML 는 인증 측면을 처리하여 Microsoft Entra ID를 사용해 Command에 대한 액세스를 관리할 수 있도록 하며, 이는 Microsoft Entra ID 테넌트에 이미 통합된 다른 서비스형 소프트웨어(SaaS) 애플리케이션과 동일합니다. 즉, Command를 기존 ID 프레임워크에 통합하고 현재 정책에 따라 사용자를 승인할 수 있습니다.
SCIM 를 사용하면 Microsoft Entra ID에 이미 존재하는 기존 사용자 및 그룹을 활용하고 이를 Command와 동기화할 수 있습니다. 이를 통해 현재 중앙 IdP를 유지하고, 기존 사용자 및 그룹을 사용하여 Command에서 권한을 구성할 수 있습니다.
Microsoft Entra ID에서 SAML 설정
Verkada Command는 갤러리 애플리케이션으로 등록되어 있으며 Microsoft Entra ID 마켓플레이스에서 찾을 수 있습니다. 즉, Microsoft Entra ID Free, Microsoft Entra ID P1 및 Microsoft Entra ID P2 라이선스와 함께 사용할 수 있습니다.
시작하려면 귀하의 client-ID가 필요합니다. 다음 방법을 알아보세요. 이를 생성하고 이메일 도메인을 구성하는 방법을(를) 확인한 후, 이 프로세스의 나머지를 완료하려면 이 문서로 돌아오세요.
Microsoft Entra ID 디렉터리에 Verkada Command를 엔터프라이즈 애플리케이션으로 추가합니다. Microsoft Entra ID 개요 페이지로 이동하여 Enterprise applications를 선택합니다.
페이지 상단에서 New Application을 선택하고 Verkada Command를 검색합니다.
Verkada Command를 선택하고 Create를 클릭합니다. 애플리케이션을 귀하의 Microsoft Entra ID 테넌트.
에 추가하는 데 몇 분 정도 걸릴 수 있으므로 기다려 주세요. 페이지가 새로 고쳐지면 유사한 메뉴가 표시되어야 합니다(아래 그림 참조).
Set up single sign-on에서 Get started를 클릭합니다.
싱글 사인온 방법으로 SAML을 선택합니다.
필요한 경우 Edit를 클릭하여 SAML 연결을 추가로 구성합니다.
다음 필드를 구성합니다. Microsoft Entra ID에 추가하기 전에 각 URL 끝에 클라이언트 ID를 추가해야 합니다. 참고 아래의 예시를 확인하세요.
a. Identifier: 미국 조직의 경우: https://vauth.command.verkada.com/saml/sso EU 조직의 경우: https://saml.prod2.verkada.com/saml/sso호주 조직의 경우: https://saml.prod-ap-syd.verkada.com/saml/sso
b. Reply URL의 경우: 미국 조직의 경우: https://vauth.command.verkada.com/saml/sso EU 조직의 경우: https://saml.prod2.verkada.com/saml/sso 호주 조직의 경우: https://saml.prod-ap-syd.verkada.com/saml/sso
c. Sign on URL의 경우: 미국 조직의 경우: https://vauth.command.verkada.com/saml/login EU 조직의 경우: https://saml.prod2.verkada.com/saml/login 호주 조직의 경우: https://saml.prod-ap-syd.verkada.com/saml/sso
귀하가 어느 리전에 위치해 있는지 확인하려면, 다음 위치를 참조하세요. Verkada용으로 조직이 생성된 위치.
Save를 클릭합니다.
Attributes & Claims에서 Edit를 클릭하고 다음 속성과 일치하도록 설정합니다:
이메일에 다른 소스 속성을 사용하는 경우, 사용하려는 소스 속성에 맞게 속성을 구성합니다.
SAML Signing Certificate에서 이 Federation Metadata XML을 Command로 가져옵니다.
나중에 사용하려면 Download를 클릭하여 저장합니다.
다음에 표시되는 대화 상자에는 통합이 완료된 후 사용할 수 있는 도구가 포함되어 있습니다.
Verkada Command로 계속 이동하여 구성을 완료합니다.
Microsoft Entra ID에서 SAML 연결 테스트
파일이 업로드되면 Microsoft Entra ID에서 Test를 클릭하여 통합을 테스트합니다. Command 계정(조직 초대)이 있는 모든 사용자에게 알림이 전송됩니다.
Sign in as current user로 로그인합니다. 모든 것이 올바르게 설정되었다면 Command 플랫폼으로 리디렉션되어야 합니다.
싱글 사인온으로 로그인하여 Command 액세스를 확인합니다.
Microsoft Entra ID는 현재 앱 액세스에 대해 중첩 그룹을 지원하지 않습니다. 할당되려면 모든 사용자가 그룹의 직접 구성원이어야 합니다.
모바일 애플리케이션을 통해 로그인
Android 및 iOS용 Command 앱은 SAML 기반 로그인을 지원합니다.
Command 앱을 엽니다.
이메일 주소 필드에 이메일을 입력하고 Next를 클릭합니다.
로그인 프로세스를 완료하기 위해 귀하의 IdP(Microsoft Entra ID)로 리디렉션되어야 합니다.
Microsoft Entra ID SCIM 통합
Verkada Command는 자동 사용자 및 그룹 프로비저닝을 위해 크로스 도메인 ID 관리 시스템(SCIM)을 사용하여 Microsoft Entra ID와 통합됩니다.
SCIM은 Microsoft Entra ID의 사용자 및 그룹을 Command로 직접 동기화합니다. 이를 통해 다음이 가능합니다:
Microsoft Entra ID를 중앙 IdP로 유지합니다.
Entra ID에서 변경 사항이 발생하면 Command의 사용자와 그룹을 자동으로 업데이트합니다.
기존 ID 구조를 사용하여 Command에서 권한을 할당하고 관리합니다.
조직에서 SCIM을 사용하는 경우 전화번호는 SCIM을 통해서만 프로비저닝할 수 있습니다. Command에서 직접 전화번호를 수정할 수 없습니다.
Microsoft Entra ID 구성에서의 SCIM
Microsoft Entra ID에서 SCIM을 구성하기 전에 Command에서 비밀 토큰을 생성해야 합니다.
Verkada Command에서 All Products > Admin으로 이동하세요.
Org Settings에서 Login & Access & Logs > SCIM Users Provisioning을 선택합니다.
Add Domain을 클릭하고 SCIM과 함께 사용할 계획인 관련 이메일 도메인을 모두 입력합니다.
이 작업으로 SCIM 토큰이 생성되며, 이는 한 번만 볼 수 있습니다.
a. 을(를) 클릭합니다. 복사 하고 나중에 구성에 사용할 수 있도록 토큰을 안전한 곳에 저장합니다. b. 토큰을 복사하지 않았거나 보이지 않는 경우 새 토큰을 생성하려면 Refresh 를 클릭합니다.
Microsoft Entra ID 홈페이지에서 Enterprise applications > New application > Create your own application을 선택합니다.
Create your own application 측면 패널에서 애플리케이션 이름을 입력하고, non-gallery application을 선택한 후 Create를 클릭합니다.
Provision User Accounts 아래에서 Get started를 클릭합니다.
Manage > Provisioning을 선택합니다.
프로비저닝 페이지에서:
a. Provisioning Mode를 Automatic으로 설정합니다. b. Tenant URL을 다음과 같이 설정합니다:
미국 조직의 경우: https://api.command.verkada.com/scim
EU 조직의 경우: https://scim.prod2.verkada.com/scim
호주 조직의 경우: https://scim.prod-ap-syd.verkada.com/scim
귀하가 어느 리전에 위치해 있는지 확인하려면, Verkada용으로 조직이 생성된 위치를 참조하세요.
f. SCIM 토큰 필드에 Verkada Command에서 생성한(2단계) 값을 비밀 토큰으로 입력합니다.
Test Connection을 클릭합니다. SCIM 연결이 성공했다는 확인 메시지가 표시되어야 합니다.
Save를 클릭합니다.
Microsoft Entra ID 그룹의 속성 구성
Entra ID 포털에서 Mappings 드롭다운을 펼치고 Provision Microsoft Entra ID Groups를 선택합니다.
매핑이 데이터 테이블의 이 스크린샷과 일치하도록 구성합니다:
해당 externalId 속성은 기본적으로 추가됩니다. 구성 문제를 방지하려면 이 속성을 제거합니다.
(선택 사항) 매핑을 추가해야 하는 경우:
a. 을(를) 클릭합니다. Add New Mapping > 를 선택하고 Source attribute 를 위의 Microsoft Entra IDattribute와 일치하도록 설정합니다. b. Target attribute 를 위의 customappsso 속성과 일치하도록 설정합니다. c. OK.
를 클릭합니다. 필요한 경우 Save를 클릭하고 변경 사항을 확인합니다.
페이지 상단에서 Provisioning을 선택하여 Provisioning 페이지로 돌아갑니다.
Microsoft Entra ID 사용자의 속성 구성
Entra ID 포털에서 Mappings 드롭다운을 펼친 다음 Provision Microsoft Entra ID Users를 선택하여 사용자 매핑을 변경합니다.
아래 속성 표와 일치하도록 매핑을 업데이트합니다.
해당 Switch 속성은 Microsoft Entra ID Attribute 아래에서 Expression 매핑 유형으로 추가됩니다.
Switch([IsSoftDeleted], , "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
costCenter
Source Attribute는 Microsoft Entra ID Attribute이고 Target Attribute는 customerappsso Attribute입니다. customappsso 속성 중 일부를 Target Attribute로 사용할 수 없는 경우, Microsoft Entra ID 플랫폼에 옵션으로 추가해야 할 수 있습니다. 이를 위해 Show advanced options 상자를 선택하고 Edit attribute list for customappsso.
를 클릭합니다. SCIM으로 관리되는 사용자는 더 이상 Command에서 전화번호를 수정할 수 없으며, 대신 SCIM을 통해서만 프로비저닝될 수 있습니다. IDP 측에서는 IDP 인스턴스의 아무 필드나 Command의 전화번호 필드에 매핑되도록 속성 매핑을 설정할 수 있습니다. 또한 IDP의 no 필드가 Command의 전화번호 필드에 매핑되도록 설정할 수도 있습니다. 그러나 이 경우에도 전화번호는 Command에서 잠김 필드로 유지되며 SCIM을 통해서만 수정할 수 있습니다.
변경 사항을 확인하려면 Save를 클릭합니다.
상단에서 Provisioning을 선택하고 Provisioning Status를 켭니다.
요구 사항에 따라 범위를 필요한 옵션 중 하나로 조정합니다:
모든 사용자 및 그룹 동기화.
할당된 사용자 및 그룹만 동기화.
Users and Groups 아래의 엔터프라이즈 애플리케이션에 사용자와 그룹이 할당되어 있는지 확인합니다. 할당된 항목만 프로비저닝되어 Command에 표시됩니다.
사용자가 애플리케이션에 할당되었는지 확인합니다. 초기 프로비저닝 주기가 지난 후:
a. 성공적으로 프로비저닝된 총 사용자 및 그룹 수가 Overview아래에 표시되어야 합니다. b. Command에서는 이러한 사용자와 그룹이 관련된 SCIM Managed 태그와 함께 채워진 것을 볼 수 있어야 합니다. 이제 이 동기화된 사용자와 그룹을 Command에서 사용하고 권한을 할당하여 Command 플랫폼에 대한 액세스를 제어할 수 있습니다.
Command에서 SCIM 관리 사용자 삭제
ID 공급자에서 SCIM 관리 사용자가 비활성화되면 두 가지 방법으로 Command에서 사용자를 제거할 수 있습니다:
사용자 삭제 – 계정은 Deleted Users 페이지로 이동하지만 기록, 역할 및 권한은 유지됩니다.
사용자 영구 제거 – 모든 역할, 자격 증명, 액세스 로그 및 관련 데이터가 삭제됩니다. 사용자가 SCIM을 통해 다시 프로비저닝되면 Command는 새 사용자 레코드를 생성합니다.
Command에서 삭제 옵션을 사용할 수 있으려면 먼저 ID 공급자(IdP)에서 사용자를 비활성화해야 합니다.
(선택 사항) SCIM 사용자에게 액세스 자격 증명 추가
귀하의 Azure 포털.
검색창에 Enterprise Applications를 입력하고 선택합니다.
Verkada SCIM 애플리케이션을 선택합니다.
왼쪽 패널에서 Manage > Provisioning을 클릭합니다.
Mappings 하위 메뉴를 펼치고 Provision Microsoft Entra ID Users를 선택합니다.
하단에서 Show advanced options > Edit attribute list for customappsso를 클릭합니다.
a. 아래 표의 속성을 추가합니다. b. Save.
를 클릭합니다. Provision Microsoft Entra ID Users로 돌아가 Add New Mapping을 선택합니다.
a. extensionAttributes 1-5를 Source Attributes 로 사용하고, 이를 새로 만든 속성인 Card Format, Card Number, Card Number Hex, Credential Status, 및 Facility Code 의 대상 속성에 매핑합니다.
참조 허용되는 카드 형식 에서 허용되는 카드 형식과 관련 시설 코드, 카드 번호 및/또는 카드 번호 16진수 길이를 확인하세요.
Credential Status 는 "active", "deactivated" 또는 "deleted"가 될 수 있습니다.
클릭합니다. Save.
b. 부서 식별자를 동기화하려면 원하는 소스 속성(예: department 또는 사용자 지정 확장 속성)으로 새 매핑을 추가하고 대상 속성을 costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter)로 설정합니다. 이렇게 하면 부서 ID 값이 Command로 동기화됩니다.
속성 표
이름
유형
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
문자열
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
문자열
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
문자열
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
문자열
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
문자열
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
문자열
앱 등록 편집
Entra AD에서 생성된 모든 SCIM 활성화 엔터프라이즈 애플리케이션은 일반적으로 자체 App Registration이 필요합니다.
검색창에 App registrations를 입력하고 선택합니다.
All Applications 탭으로 전환하고 Verkada SCIM 애플리케이션 이름을 검색합니다.
Overview에서 App Registration의 Application (client) ID와 Directory (tenant) ID를 기록해 둡니다. 나중에 앱 등록에서 Command 애플리케이션의 자격 증명을 구성할 때 필요합니다.
왼쪽 탐색에서 Manage를 클릭합니다.
a. Certificates & secrets 아래에서:
클릭합니다. New client secret.
를 선택합니다. 설명 를 "Verkada SCIM Credentials" 로 설정하고 원하는 인증서 만료 날짜를 설정합니다.
새로 생성된 Client Secret의 Value 에 표시된 값을 복사하여 저장합니다. 이는 한 번만 표시됩니다.
e. API 권한:
클릭합니다. Add Permissions > Microsoft Graph.
선택 애플리케이션 권한 을 선택하고 "User.ReadWrite.All".
"을 검색합니다. 권한을 할당하려면 체크박스를 선택합니다.
클릭합니다. Add Permissions.
Azure Entra와 Command 애플리케이션 간에 전달되는 모든 단계 변경 사항을 수동으로 검토하고 승인하지 않으려면 Grant admin consent for Default Directory.
를 선택합니다. 다음 자격 증명 목록을 참조하여 허용 가능한 카드 형식.
을 확인하세요. 자격 증명 액세스 및 업데이트
특정 사용자의 확장 속성과 자격 증명 정보를 설정하려면 다음 Graph API 지침을 사용하세요: https://learn.microsoft.com/en-us/graph/extensibility-overview.
사용자 자격 증명을 설정할 때 credentialStatus 속성을 active 로 설정하는 것은 자격 증명을 Command와 성공적으로 동기화하는 데 필요합니다. 여기서 자격 증명 상태(credentialStatus)는 extensionAttribute4입니다.
예시:
External ID를 Verkada로 동기화
externalId 필드를 사용하면 Microsoft Entra를 통해 사용자에게 지속적이고 전역적으로 고유한 식별자를 할당할 수 있으며, Verkada는 이를 여러 통합 전반에서 참조할 수 있습니다. 이는 특히 사용자를 여러 시스템에서 구분해야 하거나 자격 증명(예: 출입 카드) 동기화를 고유한 ID 키에 연결해야 하는 대규모 엔터프라이즈 환경에서 유용합니다. Verkada는 SCIM 사용자 스키마의 일부로 이 값을 수신하고 저장하는 것을 지원합니다. 이 필드는 대소문자를 구분하며 일반적으로 Microsoft Entra 인스턴스의 지정된 속성에서 문자열 값을 받도록 구성됩니다. 이 기능은 사용자 지정 자격 증명 관리, 직원 라이프사이클 자동화, 조직 간 일관된 사용자 매핑과 같은 고급 워크플로를 지원합니다.
externalId를 Azure에서 Verkada로 매핑
Microsoft Entra ID(Azure)에서 Verkada로 사용자 지정 externalId 값을 동기화하려면 다음 단계를 따르세요:
Azure 포털에 로그인합니다.
검색창에 Enterprise Applications를 입력하고 선택합니다.
Verkada SCIM 애플리케이션을 선택합니다.
왼쪽 패널에서 Manage > Provisioning을 클릭합니다.
Mappings 하위 메뉴를 펼치고 Provision Microsoft Entra ID Users를 선택합니다.
맨 아래로 스크롤하여 Show advanced options > Edit attribute list for customappsso를 클릭합니다.
다음 새 속성을 추가합니다:
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
유형: 문자열
대소문자 구분: 예
Save를 클릭합니다.
Provision Microsoft Entra ID Users로 돌아가 Add New Mapping을 클릭합니다.
Source Attribute에서 external ID가 저장된 Azure AD의 필드(예: extensionAttribute1, employeeId 등)를 선택합니다.
Target Attribute에는 다음을 사용합니다: urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
OK를 클릭한 다음 Save를 클릭합니다.
프로비저닝이 완료되면 external_id 값은 Verkada 내 사용자의 SCIM 레코드에 저장됩니다. 이를 통해 사용자는 Verkada의 내부 식별자에 연결되거나 사용자 인터페이스에 노출되지 않으면서도, 조직 내에서 고유하고 완전히 제어 가능한 유연한 API 조회 가능 ID를 사용할 수 있습니다.
작동하는 모습을 보고 싶으신가요? 다음 항목을 확인해 보세요 동영상 튜토리얼.
마지막 업데이트
도움이 되었나요?