Okta
Okta를 사용하여 SSO와 사용자 프로비저닝을 구성하세요
Verkada Command는 사용 사례에 따라 2가지 방식으로 Okta(및 기타 ID 공급자 [IdPs])와 통합할 수 있습니다:
보안 주장 마크업 언어(SAML)
크로스 도메인 ID 관리 시스템(SCIM)
SAML 인증 프로세스를 처리하여, Okta를 사용해 Command에 대한 액세스를 관리할 수 있게 합니다. 이는 이미 Okta 테넌트에 통합된 다른 모든 서비스형 소프트웨어(SaaS) 애플리케이션과 동일합니다. 즉, Command를 기존 ID 프레임워크에 포함시키고 현재 적용 중인 정책에 따라 접근 제어를 할 수 있습니다.
SCIM 이미 Okta에 존재하는 기존 사용자와 그룹을 활용하여 이를 Command와 동기화할 수 있게 합니다. 이를 통해 현재의 중앙 ID 공급자를 유지하고, Command를 통해 기존 사용자와 그룹을 사용하여 액세스를 구성해 플랫폼에 대한 접근을 제어할 수 있습니다.
Verkada는 향상된 보안과 더 쉬운 구성을 위해 SAML보다 OIDC를 권장합니다. OIDC는 또한 엔터프라이즈 제어 암호화.
Okta용 OIDC 기반 SSO
Verkada Command는 Okta와 OpenID Connect(OIDC)를 통한 싱글 사인온(SSO)을 지원합니다. 이 통합을 통해 사용자는 기존 Okta 자격 증명을 사용해 원활하고 안전하게 인증할 수 있으며, Command에 대한 접근을 간소화하고 전반적인 보안을 강화할 수 있습니다.
OIDC는 Pass 앱 또는 Desk Station 앱에서 지원되지 않습니다.
활성화 엔터프라이즈 제어 암호화(ECE) 를 통해 보안을 강화하세요.
OIDC 구성
Okta 인스턴스로 이동하여 OIDC 구성을 관리할 새 애플리케이션을 생성합니다. Applications 사이드바 옵션에서 Applications를 클릭한 다음 Create App Integration을 클릭합니다.
Create a new app integration에서 Sign-in method로 OIDC - OpenID Connect를 선택하고 Application type으로 Single-Page Application을 선택합니다.
Sign-in redirect URIs에서 애플리케이션에 식별 가능한 이름을 지정하고 다음 링크를 Sign-in redirect URIs 목록에 추가합니다:
a. https://command.verkada.com/oidc/okta/callback b. http://<org-short-name>.command.verkada.com/oidc/okta/callback 여기서 URL의 short-name은 Command 조직의 짧은 이름입니다.
(선택 사항) Sign-out redirect URIs에 다음을 추가합니다 https://command.verkada.com/.
Assignments에서 일단 Skip Group Assignment를 선택하고 Save를 클릭합니다.
Assignments에서 Assign 드롭다운을 클릭하여 이 애플리케이션을 귀하의(및 기타 관련) 사용자 프로필에 할당합니다.
General에서 Client Credentials 아래에 표시된 Client ID를 복사합니다.
Command 구성
Verkada Command에서 All Products > Admin으로 이동하세요.
왼쪽 탐색에서 Login & Access를 선택합니다.
Single Sign-On Configuration을 선택합니다.
OIDC Configuration 아래에서 Add New를 클릭합니다.
a. 활성화를 켭니다. b. (선택 사항) Require OIDC SSO를 켭니다. c. Provider 선택에서 다음을 선택합니다. Okta. d. Add Client and Tenant 아래에서 :plus:를 클릭합니다.
해당 클라이언트 ID 필드에 Okta에서 복사한 Client ID를 붙여넣습니다.
해당 Tenant ID 필드에 Okta 인스턴스 URL의 첫 부분을 입력합니다. 다음과 같이 표시되어야 합니다: https://yourinstancename.okta.com.
클릭합니다. 완료.
h. Email Domains 아래에서 :plus:를 클릭합니다..
도메인 이름을 입력합니다(예: @verkada.com).
클릭합니다. 완료.
Login Test에서 Run Login Test를 클릭합니다.
로그인 테스트가 성공하면 OIDC 구성 페이지로 리디렉션되어야 합니다. 로그인한 후 허용 목록에 추가해야 하는 도메인을 추가합니다.
도메인을 추가한 후 로그인 테스트를 다시 실행합니다. 이 두 번째 로그인 테스트가 성공적으로 완료될 때까지 SSO는 활성화되지 않습니다.
도메인이 검증되면 성공적으로 확인되었다는 표시가 보여야 합니다.
Okta SAML 통합
시작하기 전에
성공적인 통합을 위해 지역에 맞는 최적의 경로를 선택하세요:
미국(US) 조직의 경우아래의 직접적인 단계를 따라 기존 Verkada 애플리케이션을 사용합니다.
EU 및 AUS 조직의 경우다음 섹션의 단계를 따라 Okta에서 새 앱 통합을 구성합니다.
Verkada Okta 앱 생성(US 지역)
Okta에 로그인합니다.
Applications 페이지로 이동하여 Browse App Catalog를 클릭합니다.
검색창에 Verkada를 입력합니다.
Add Integration을 클릭합니다.
Done을 클릭합니다.
Okta에서 Verkada 앱의 Sign On 탭을 선택한 후 Edit를 클릭합니다.
Advanced Sign-On Settings로 스크롤하여 Command 계정의 Client ID를 입력합니다.
Save를 선택합니다.
Okta에서 새 앱 통합 구성(EU 및 AUS 지역)
Applications로 이동하여 Create App Integration을 선택합니다.
Create a new app integration에서 SAML 2.0을 선택하고 Next를 क्लिक합니다.
"Create a SAML integration" 페이지의 General Settings에서 애플리케이션 이름을 입력하고, 필요하면 애플리케이션 로고를 추가한 다음 Next를 클릭합니다.
configure SAML 페이지에서 Single Sign-On URL과 Audience URI(SP Entity ID)에 다음 링크를 입력합니다:
다음을 확인합니다 Use this for Recipient URL and Destination URL 상자.
클라이언트 ID Command 구성에서 가져와 Okta 애플리케이션에 입력한 링크로 대체해야 합니다.
애플리케이션 사용자 이름은 Okta Username입니다.
Next를 클릭합니다. 피드백 페이지에서 "This is an internal app that we have created"라고 표시된 상자를 선택합니다. Finish를 클릭합니다.
attributes statements 섹션에서 다음과 같이 속성 매핑을 설정합니다:
email>user.emailfirstName>user.firstNamelastName>user.lastName
구성
Okta에서 앱의 Assignments 탭을 선택합니다. Assign를 클릭하고 People 또는 Groups를 선택하여 이 사용자들의 SSO를 활성화합니다.
앱의 Sign On 탭을 선택합니다.
SAML Signing Certificates로 스크롤하여 새 인증서가 없으면 Generate new certificate를 클릭합니다.
인증서 오른쪽에서 Actions 드롭다운을 선택하고 View IdP metadata를 클릭합니다.
메타데이터를 마우스 오른쪽 버튼으로 클릭하고 "Save As"를 선택한 다음 XML 파일로 다운로드합니다.
XML 파일을 다운로드한 후 Command에 업로드합니다.
Verify Metadata 섹션에서 Run Login Test를 클릭합니다.
문제 해결
사용자 이름(이메일)을 업데이트해도 Command에 자동으로 반영되지 않습니다. 사용자 이름을 변경해야 하는 경우, SAML 앱에서 사용자의 할당을 해제한 다음 변경 사항이 적용되도록 해당 사용자를 앱에 다시 추가하세요.
새 사용자가 SSO를 통해 로그인할 수 없는 경우Verkada 백엔드의 SSO 구성에 이메일 도메인이 추가되지 않았기 때문일 수 있습니다. 사용자의 이메일이 SSO 설정 시 구성된 이메일 도메인 범위를 벗어나면 사용자는 SSO를 사용할 수 없습니다. 이것이 문제의 원인이라면 SSO 구성을 편집하여 이 도메인을 추가해야 합니다.
SSO 설정과 관련하여 다른 문제가 발생하면다음에 연락하세요 Verkada 지원팀.
Okta SCIM 통합
시작하기 전에
Verkada SCIM 엔드포인트에 연결하려면 API 토큰이 필요합니다. 이 토큰은 Verkada 조직마다 고유합니다. 다음 방법을 알아보세요 SCIM API 토큰 획득.
성공적인 통합을 위해 지역에 맞는 최적의 경로를 선택하세요:
미국(US) 조직의 경우하려면 Create a Verkada Okta app의 단계를 따르세요.
EU 및 AUS 조직의 경우하려면 Okta 앱에서 SCIM 프로비저닝 활성화의 단계를 따르세요.
소속 지역을 확인하려면 Verkada용으로 조직이 생성된 위치를 참조하세요.
Verkada Okta 앱 생성
US 지역
Okta에 로그인합니다.
왼쪽 탐색 패널에서 Applications를 클릭합니다.
상단에서 Browse App Catalog를 클릭합니다.
4. 검색창에 Verkada를 입력하고, 앱을 클릭한 다음 Add Integration을 클릭합니다.
5. Application label에 Verkada(또는 원하는 고유한 이름)를 입력하고 Done을 क्लिक합니다.
EU 및 AUS 지역
Okta에 로그인합니다.
Applications 페이지로 이동하여 Create App Integration을 클릭합니다.
Create a new app integration에서 SAML 2.0을 선택하고 Next를 클릭합니다.
App name 필드에 이름을 입력하고 Next를 클릭합니다.
Create SAML Integration에서:
Single sign-on URL의 경우:
EU 조직의 경우: https://saml.prod2.verkada.com/saml/login/<org short name> 여기서 <org short name> 는 조직의 짧은 이름입니다.
호주 조직의 경우: https://saml.ap-syd.verkada.com/saml/login/<org short name> 여기서 <org short name> 는 조직의 짧은 이름입니다.
Audience URI(SP Entity ID)의 경우:
EU 조직의 경우: https://saml.prod2.verkada.com/saml/sso/<org short name> 여기서 <org short name> 는 조직의 짧은 이름입니다.
호주 조직의 경우: https://saml.ap-syd.verkada.com/saml/sso/<org short name> 여기서 <org short name> 는 조직의 짧은 이름입니다.
아래로 스크롤한 다음 Next를 클릭합니다.
I’m an Okta customer adding an internal app 라디오 버튼을 선택하고 Finish를 클릭합니다(원하면 Okta의 추가 질문은 건너뛸 수 있습니다).
왼쪽 탐색에서 Applications를 클릭하고 방금 생성한 앱을 클릭합니다(앱으로 자동 리디렉션되지 않은 경우).
상단에서 General 탭을 선택합니다:
오른쪽 상단에서 앱의 App Settings에 대해 Edit를 클릭합니다.
Enable SCIM provisioning 상자를 선택합니다.
Save를 클릭합니다.
SCIM Connection에서:
방금 생성한 앱 상단에서 Provisioning 탭을 선택합니다.
SCIM Connection 설정에서 Edit를 클릭합니다.
SCIM connector base URL의 경우
EU 조직의 경우, https://scim.prod2.verkada.com/scim
AUS 조직의 경우, https://scim.ap-syd.verkada.com/scim
For Unique identifier field for users에는 userName을 입력합니다.
Push New Users, Push Profile Updates, Push Groups 상자를 선택합니다.
Authentication Mode 드롭다운을 클릭하고 HTTP Header를 선택합니다.
Command의 SCIM 토큰을 복사하여 Authorization 필드에 붙여넣습니다.
Save를 클릭합니다.
Verkada Okta 앱 구성
US 지역
Okta에 로그인합니다.
왼쪽에서 Applications를 클릭하고 Verkada 앱을 클릭합니다.
왼쪽에서 Provisioning 탭을 선택합니다.
Provisioning 탭 > Integration에서:
Configure API Integration을 클릭합니다.
Enable API integration 상자를 선택합니다.
API Token 필드에 Command에서 생성된 API 토큰을 복사하여 붙여넣습니다.
Save를 클릭합니다.
Provisioning 탭 > Settings에서:
To App을 선택하고 Edit를 클릭합니다.
Create Users, Update User Attributes, Deactivate Users에 대해 Enable 상자를 선택합니다.
Save를 클릭합니다.
Provisioning 탭 > To App 섹션 > Verkada Attribute Mappings에서 Go to Profile Editor를 클릭합니다.
아래 예시와 같이 속성이 일치하는지 확인합니다. 표시된 것보다 더 많은 속성을 추가할 수 있습니다. 다음을 참조하세요 SCIM 관리 사용자에 속성 추가.
EU 및 AUS 지역
Okta에 로그인합니다.
왼쪽에서 Applications를 클릭하고 Verkada 앱을 클릭합니다.
Provisioning 탭 > Settings에서:
To App을 선택하고 Edit를 클릭합니다.
Create Users, Update User Attributes, Deactivate Users에 대해 Enable 상자를 선택합니다.
Save를 클릭합니다. 표시된 것보다 더 많은 속성을 추가할 수 있습니다. 다음을 참조하세요 SCIM 관리 사용자에 속성 추가.
SCIM 관리 사용자에 추가 속성 추가
SCIM 관리 사용자에 속성 추가(선택 사항)
Verkada와 Okta는 다음 속성을 지원합니다: userName (기본값), givenName (기본값), familyName (기본값), title, employeeNumber, primaryPhone, department, organization.
또한 다음에 매핑하여 고유 식별자를 Command에 동기화할 수 있습니다 externalId 필드. 이를 통해 시스템 간 사용자 구분 또는 액세스 자격 증명을 고유 사용자 참조와 동기화하는 것과 같은 고급 사용 사례를 사용할 수 있습니다. 이 값은 데이터베이스에 저장되며 API를 통해 조회할 수 있지만 Command UI에는 표시되지 않습니다.
미국 외 지역에서 Command에 전화번호를 프로비저닝하려면 Okta 프로필의 사용자 전화번호에 국가 코드를 포함하세요.
예를 들어:
US: 123-456-7890 → +1 123-456-7890
UK: 07123 456789 → +44 7123 456789
국제 형식을 사용하면 번호가 Command로 올바르게 가져와집니다.
Okta에 로그인합니다.
SCIM 앱 프로필에 속성 생성.
Okta에서 다음으로 이동합니다 Directory > Profile Editor.
다음을 선택합니다 Verkada SCIM-managed application User.
클릭합니다. Add Attribute 를 선택하고 표 아래에 나열된 속성 세부 정보를 추가합니다.
클릭합니다. 저장.
속성 매핑
Profile Editor에 있는 상태에서 Mappings.
다음을 선택합니다 Okta User to [Your SCIM App].
드롭다운을 클릭하여 매핑할 소스 필드(예: user.nickName, employeeNumber 또는 다른 사용자 정의 필드)를 찾고 이를
appuser속성에 매핑합니다.필드 사이의 화살표를 클릭하고 다음을 선택합니다 Apply mapping on user create and update.
클릭합니다. Save Mappings.
속성 값이 채워졌는지 확인
다음으로 이동합니다 Directory > People.
사용자 프로필을 열고 매핑할 소스 필드(예: Nickname)에 값이 있는지 확인합니다.
다음에서 SCIM App > Provisioning tab, 다음을 사용합니다 Force Sync 필요한 경우 업데이트를 푸시합니다.
자격 증명 목록은 다음 자격 증명 목록을 참조하세요 허용 가능한 카드 형식.
SCIM 관리 사용자에 액세스 자격 증명 추가(선택 사항)
Okta에 로그인합니다.
왼쪽 탐색에서 Directory > Profile Editor를 선택합니다.
선택 User (default) 를 사용자 유형으로 선택합니다.
클릭합니다. Add Attribute 및에서 사용자 정의 속성을 추가합니다 표 아래에 나열된 속성 세부 정보를 추가합니다.
왼쪽 탐색에서 Applications를 선택하고 Verkada SCIM-managed application을 엽니다.
Provisioning 탭에서 To App > Go to Profile Editor를 선택합니다.
Add Attribute를 클릭하여 위에 나열된 속성을 동일한 Data Type, Display Name, Variable Name, Description 및 ENUM 값을 사용해 생성합니다.
를 선택합니다. External namespace 모든 속성의 값은 다음으로 설정합니다:
다음을 설정합니다 Attribute type 를 Personal.
클릭합니다. Save 를 추가하여 속성을 생성합니다.
Mappings를 클릭하여 Okta User 애플리케이션의 속성을 SCIM 애플리케이션에 매핑합니다.
선택 Okta User to YourSCIMApp 를 상단에서 선택하고 Okta Default User에 대해 생성한 사용자 정의 속성을 SCIM 애플리케이션에서 생성한 속성에 매핑합니다.
클릭합니다. Save Mappings 및 Apply updates now 를 클릭하여 변경 사항을 적용합니다.
이제 해당 속성들은 모든 Okta 애플리케이션 사용자 프로필에서 사용할 수 있어야 합니다. 동기화가 완료되면 Command의 Access > Access Users > User Profile > Credentials에서 자격 증명을 확인할 수 있습니다.
속성 표
자격 증명 목록은 다음 자격 증명 목록을 참조하세요 허용 가능한 카드 형식. 모든 속성의 데이터 형식은 문자열입니다.
표시 이름
변수 이름 / 외부 이름
외부 네임스페이스
설명
ENUM
카드 형식
cardFormat
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
액세스 자격 증명의 카드 형식
체크 해제 상태 유지
카드 번호
cardNumber
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
액세스 자격 증명의 카드 번호
체크 해제 상태 유지
카드 번호 Hex
cardNumberHex
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
카드 번호의 16진수 표현
체크 해제 상태 유지
Credential Status
credentialStatus
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
카드 자격 증명의 상태
체크박스: active → active, deactivated → deactivated, deleted → deleted
Facility Code
facilityCode
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User
카드와 연결된 시설 코드
체크 해제 상태 유지
외부 ID
externalId
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
고객이 정의한 고유 ID로, UI에는 표시되지 않음
체크 해제 상태 유지
부서 ID
costCenter
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User
Command에서 사용자의 부서를 매핑하는 데 사용되는 식별자
체크 해제 상태 유지
직함
title
urn:ietf:params:scim:schemas:core:2.0:User
사용자의 직함 또는 역할
체크 해제 상태 유지
사번
employeeNumber
urn:ietf:params:scim:schemas:core:2.0:User
직원 ID
체크 해제 상태 유지
전화번호
변수 이름: phoneNumber
외부 이름: phoneNumbers[type==work].value
urn:ietf:params:scim:schemas:core:2.0:User
업무용 전화번호
체크 해제 상태 유지
부서
department
urn:ietf:params:scim:schemas:core:2.0:User
사용자의 부서
체크 해제 상태 유지
조직
organization
urn:ietf:params:scim:schemas:core:2.0:User
회사 또는 조직
체크 해제 상태 유지
사용자 및 그룹 프로비저닝
앱에 추가된 사용자는 자동으로 푸시되며, 그룹은 수동으로 푸시해야 합니다.
Okta의 사용자
Okta에 로그인합니다.
왼쪽에서 Applications를 클릭하고 Verkada 앱을 클릭합니다.
Assignments 탭을 클릭합니다.
Assign 드롭다운을 클릭하고 Assign to People을 선택합니다.
앱에 프로비저닝할 사람에 대해 Assign를 클릭합니다.
해당 사용자의 정보가 표시됩니다. 하단에서 Save and Go Back를 클릭합니다.
Assign 페이지로 리디렉션되면 Done을 클릭합니다.
Okta의 그룹
Okta에 로그인합니다.
왼쪽에서 Applications를 클릭하고 Verkada 앱을 클릭합니다.
Assign 드롭다운을 클릭하고 Assign to Groups를 선택합니다.
앱에 프로비저닝할 그룹에 대해 Assign를 클릭합니다.
해당 그룹의 정보가 표시됩니다. 하단에서 Save and Go Back를 클릭합니다.
Assign 페이지로 리디렉션되면 Done을 클릭합니다.
상단에서 Push Groups 탭을 선택합니다.
Push Groups 드롭다운을 클릭하여 그룹을 찾습니다(이름 또는 규칙 기준).
푸시할 그룹을 찾아 Save를 클릭합니다. 성공하면 Push Status가 Active로 표시됩니다.
그런 다음 Command는 SCIM을 통해 가져온 경우 사용자와 그룹에 SCIM Managed 태그를 지정합니다.
Command에서 SCIM 관리 사용자 삭제
ID 공급자에서 SCIM 관리 사용자가 비활성화되면 두 가지 방법으로 Command에서 사용자를 제거할 수 있습니다:
사용자 삭제 – 계정은 Deleted Users 페이지로 이동하지만 기록, 역할 및 권한은 유지됩니다.
사용자 영구 제거 – 모든 역할, 자격 증명, 액세스 로그 및 관련 데이터가 삭제됩니다. 사용자가 SCIM을 통해 다시 프로비저닝되면 Command는 새 사용자 레코드를 생성합니다.
Command에서 삭제 옵션을 사용할 수 있으려면 먼저 ID 공급자(IdP)에서 사용자를 비활성화해야 합니다.
알려진 문제
사용자 이름(이메일)을 업데이트해도 Command에 자동으로 반영되지 않습니다. 사용자 이름을 변경해야 하는 경우, SAML 앱에서 사용자의 할당을 해제한 다음 변경 사항이 적용되도록 해당 사용자를 앱에 다시 추가하세요.
새 사용자가 SSO를 통해 로그인할 수 없는 경우이면, Verkada 백엔드의 SSO 구성에 이메일 도메인이 추가되지 않았기 때문일 수 있습니다. 사용자의 이메일이 SSO 설정 시 제공된 이메일 도메인 범위를 벗어나면 사용자가 SSO를 사용할 수 없게 됩니다. 이것이 문제의 원인이라면 SSO 구성을 편집하여 이 도메인을 추가해야 합니다.
사용자 프로비저닝 중에 이 오류가 발생하면 "Error while trying to push profile update for user: Bad Request. Errors reported by remote server: Invalid request", 다음을 참조하세요 Okta 문서 문제 해결 단계를 확인하세요.
SSO 설정과 관련하여 다른 문제가 발생하면다음에 연락하세요 Verkada 지원팀.
작동하는 모습을 보고 싶으신가요? 다음 항목을 확인해 보세요 동영상 튜토리얼.
마지막 업데이트
도움이 되었나요?