Microsoft Entra ID
Configurez le SSO et le provisionnement des utilisateurs avec Microsoft Entra ID (Azure AD)
Selon votre cas d’usage, Verkada Command est capable de s’intégrer à Microsoft Entra ID, parmi d’autres fournisseurs d’identité [IdP], dans les capacités suivantes :
Security Assertion Markup Language (SAML)
System for Cross-Domain Identity Management (SCIM)
SAML gère la partie authentification, ce qui permet d’utiliser Microsoft Entra ID pour gérer l’accès à Command, de la même manière qu’il est utilisé pour gérer l’accès aux autres applications Software as a Service (SaaS) déjà intégrées à votre tenant Microsoft Entra ID. Cela signifie que vous pouvez intégrer Command à votre cadre d’identité existant et autoriser les utilisateurs selon vos politiques actuelles.
SCIM vous permet d’exploiter vos utilisateurs et groupes existants dans Microsoft Entra ID et de les synchroniser avec Command. Cela vous permet de conserver l’IdP central actuel et de configurer les autorisations dans Command à l’aide de vos utilisateurs et groupes existants.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple. OIDC permet également Enterprise Controlled Encryption.
SSO basé sur OIDC pour Microsoft Entra ID
Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Microsoft Entra ID. Cette intégration permet à nos utilisateurs de s’authentifier de manière fluide et sécurisée à l’aide de leurs identifiants Microsoft Entra ID existants, ce qui simplifie l’accès à Command et améliore la sécurité globale.
OIDC n’est pas pris en charge sur les applications Desk Station.
Activer Enterprise Controlled Encryption (ECE) pour une sécurité renforcée.
Configuration de Microsoft Entra ID
Connectez-vous à votre portail Microsoft Entra ID.
Recherchez et sélectionnez App registrations.
Cliquez sur New Registration.
a. Nommez l’application Verkada SSO OIDC. b. Sous Supported account types, sélectionnez Accounts in this organizational directory only (only - Single tenant). c. Sous Redirect URI, sélectionnez Single-page application (SPA) comme plateforme et ajoutez les URL de rappel suivantes :
https://org-short-name.command.verkada.com/oidc/aad/callback (remplacez org-short-name dans l’URI par le short-name de votre organisation Command.)
Vérifiez qu’il n’y a pas de barre oblique finale dans l’URI de rappel.
Cliquez sur Register.
Copiez et stockez votre Application (Client) ID et votre Directory (Tenant) ID dans un endroit sûr. Vous en aurez besoin pour terminer la configuration dans Verkada Command.
À gauche, cliquez sur Manage > Expose an API.
a. Cliquez sur Add a scope. b. Cliquez sur Save and continue. c. Saisissez verkada_ece pour les champs suivants :
Scope name
Admin consent display name
Admin consent description
User consent display name
User consent description
d. Définissez Who can consent? sur Admins and users. e. Cliquez sur Add scope.
Configuration de Verkada Command
Dans Verkada Command, allez à All Products > Admin.
Dans la navigation de gauche, sélectionnez Login & Access.
Sélectionnez Single Sign-On Configuration.
Sous OIDC Configuration, cliquez sur Add New.
a. Activez Enable. b. (Facultatif) Activez Require OIDC SSO. c. Sous Sélectionnez Provider, sélectionnez Microsoft Entra ID. d. Sous Add Client and Tenant, cliquez sur :plus:.
Dans le champ Client ID , collez le Client ID copié depuis Microsoft Entra ID.
Dans le champ Tenant ID champ, collez le Tenant ID copié depuis Microsoft Entra ID.
Cliquez sur Done.
e. Sous Email Domains, cliquez sur :plus:.
Saisissez votre nom de domaine présent (par ex. @verkada.com).
Cliquez sur Done.
Cliquez sur Run Login Test.
Un test de connexion réussi doit vous rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez mettre sur liste blanche.
Une fois votre domaine ajouté, relancez le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion ne s’est pas terminé avec succès.
Une fois votre domaine vérifié, vous devriez le voir validé avec succès.
Intégration SAML de Microsoft Entra ID
Configurer SAML dans Microsoft Entra ID
Verkada Command est enregistré en tant qu’application de galerie et peut être trouvé dans la place de marché Microsoft Entra ID ; autrement dit, vous pouvez l’utiliser avec les licences Microsoft Entra ID Free, Microsoft Entra ID P1 et Microsoft Entra ID P2.
Pour commencer, vous avez besoin de votre client-ID. Apprenez à le générer et à configurer vos domaines de messagerie, puis revenez à cet article pour terminer le reste du processus.
Ajoutez Verkada Command en tant qu’application d’entreprise dans votre répertoire Microsoft Entra ID : accédez à votre page d’ensemble Microsoft Entra ID et sélectionnez Enterprise applications.
En haut de la page, sélectionnez New Application et recherchez Verkada Command.
Sélectionnez Verkada Command et cliquez sur Create. Soyez patient, car l’ajout de l’application à votre Microsoft Entra ID tenant.
Une fois la page actualisée, vous devriez voir un menu similaire (comme indiqué ci-dessous).
Dans Set up single sign-on, cliquez sur Get started.
Choisissez SAML comme méthode d’authentification unique.
Si nécessaire, cliquez sur Edit pour configurer davantage votre connexion SAML.
Configurez les champs suivants. Vous devez ajouter votre client ID à la fin de chaque URL avant de les ajouter à Microsoft Entra ID. Voir l’exemple sous la note.
a. Pour Identifier: Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU : https://saml.prod2.verkada.com/saml/ssoPour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
b. Pour Reply URL: Pour les organisations US : https://vauth.command.verkada.com/saml/sso Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
c. Pour Sign on URL: Pour les organisations US : https://vauth.command.verkada.com/saml/login Pour les organisations EU : https://saml.prod2.verkada.com/saml/login Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso
Pour confirmer votre région, veuillez vous référer à l’endroit où votre organisation a été créée pour Verkada.
Cliquez sur Save.
Dans Attributes & Claims, cliquez sur Edit pour vous conformer à ces attributs :
Si vous utilisez un autre attribut source pour l’e-mail, configurez les attributs selon l’attribut source que vous souhaitez utiliser.
Dans SAML Signing Certificate, importez ce Federation Metadata XML dans Command.
Cliquez sur Download pour l’enregistrer pour plus tard.
Les prochaines boîtes de dialogue qui apparaîtront contiendront des outils que vous pourrez utiliser une fois l’intégration finalisée.
Continuez vers Verkada Command pour terminer la configuration.
Tester la connexion SAML dans Microsoft Entra ID
Une fois le fichier téléversé, dans votre Microsoft Entra ID, cliquez sur Test pour tester l’intégration. Une notification sera envoyée à tous les utilisateurs disposant d’un compte Command (invitation à l’organisation).
Connectez-vous avec Sign in as current user. Si tout est correctement configuré, vous devriez être redirigé vers la plateforme Command.
Connectez-vous avec l’authentification unique pour vérifier l’accès à Command.
Microsoft Entra ID ne prend pas actuellement en charge les groupes imbriqués pour l’accès aux applications. Tous les utilisateurs doivent être membres directs des groupes pour être affectés.
Connectez-vous via l’application mobile
Les applications Command Android et iOS prennent en charge la connexion basée sur SAML.
Ouvrez votre application Command.
Dans le champ de l’adresse e-mail, saisissez votre e-mail et cliquez sur Next.
Vous devriez être redirigé vers votre IdP (Microsoft Entra ID) pour terminer le processus de connexion.
Intégration SCIM de Microsoft Entra ID
Verkada Command s’intègre à Microsoft Entra ID à l’aide de System for Cross-Domain Identity Management (SCIM) pour le provisionnement automatisé des utilisateurs et des groupes.
SCIM synchronise les utilisateurs et les groupes de Microsoft Entra ID directement dans Command. Cela vous permet de :
Conserver Microsoft Entra ID comme IdP central.
Mettre automatiquement à jour les utilisateurs et les groupes dans Command au fur et à mesure des changements dans Entra ID.
Attribuer et gérer les autorisations dans Command à l’aide de votre structure d’identité existante.
Si votre organisation utilise SCIM, les numéros de téléphone ne peuvent être provisionnés que via SCIM. Vous ne pourrez pas modifier directement votre numéro de téléphone dans Command.
Configuration de SCIM dans Microsoft Entra ID
Avant de configurer SCIM dans Microsoft Entra ID, vous devez générer votre jeton secret dans Command.
Dans Verkada Command, allez à All Products > Admin.
Sous Org Settings, sélectionnez Login & Access & Logs > SCIM Users Provisioning.
Cliquez sur Add Domain et saisissez tous les domaines e-mail pertinents que vous prévoyez d’utiliser avec SCIM.
Cela génère un jeton SCIM, qui n’est visible qu’une seule fois.
a. Cliquez sur Copiez et stockez le jeton dans un endroit sécurisé pour l’utiliser plus tard dans la configuration. b. Cliquez sur Refresh pour générer un nouveau jeton si vous n’avez pas copié votre jeton ou s’il n’est pas visible.
Depuis la page d’accueil de Microsoft Entra ID, sélectionnez Enterprise applications > New application > Create your own application.
Dans le panneau latéral Create your own application, saisissez le nom de l’application, sélectionnez l’application non issue de la galerie, puis cliquez sur Create.
Sous Provision User Accounts, cliquez sur Get started.
Sélectionnez Manage > Provisioning.
Sur la page de provisioning :
a. Réglez le Provisioning Mode sur Automatic. b. Définissez le Tenant URL comme suit :
Pour les organisations US : https://api.command.verkada.com/scim
Pour les organisations EU : https://scim.prod2.verkada.com/scim
Pour les organisations AUS : https://scim.prod-ap-syd.verkada.com/scim
Pour confirmer dans quelle région vous vous trouvez, référez-vous à l’endroit où votre organisation a été créée pour Verkada.
f. Renseignez le SCIM token généré dans Verkada Command (étape 2) comme jeton secret.
Cliquez sur Test Connection. Vous devriez voir une confirmation indiquant que la connexion SCIM a réussi.
Cliquez sur Save.
Configurer les attributs pour les groupes Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappings, puis sélectionnez Provision Microsoft Entra ID Groups.
Configurez vos mappages pour qu’ils correspondent à cette capture du tableau de données :
L’ externalId attribut est ajouté par défaut. Supprimez cet attribut pour éviter des problèmes de configuration.
(Facultatif) Si vous devez ajouter un mappage :
a. Cliquez sur Add New Mapping > sélectionnez le Source attribute pour correspondre à l’attribut Microsoft Entra ID ci-dessus. b. Définissez le Target attribute pour correspondre à l’attribut customappsso ci-dessus. c. Cliquez sur OK.
Cliquez sur Save et confirmez les modifications, si nécessaire.
En haut de la page, sélectionnez Provisioning pour revenir à la page de provisioning.
Configurer les attributs pour les utilisateurs Microsoft Entra ID
Dans le portail Entra ID, cliquez pour développer le menu déroulant Mappings, puis sélectionnez Provision Microsoft Entra ID Users pour modifier les mappages des utilisateurs.
Mettez à jour vos mappages pour qu’ils correspondent au tableau d’attributs ci-dessous.
L’ L’attribut sous Microsoft Entra ID Attribute est ajouté comme un type de mappage Expression .
Switch([IsSoftDeleted], "False", "True", "True", "False")
userName
userPrincipalName
active
Switch([IsSoftDeleted], , "False", "True", "True", "False")
title
jobTitle
name.givenName
givenName
name.familyName
surname
phoneNumbers[type eq "work"].value
telephoneNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
department
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
costCenter
Source Attribute est l’attribut Microsoft Entra ID, et Target Attribute est l’attribut customappsso. Si l’un des customappsso attributs n’est pas disponible en tant que Target Attributes, vous devrez peut-être les ajouter à votre plateforme Microsoft Entra ID en tant qu’options. Pour ce faire, cochez la case Show advanced options et cliquez sur Edit attribute list for customappsso.
Les utilisateurs gérés via SCIM n’ont plus la possibilité de modifier leur numéro de téléphone dans Command ; ils ne peuvent désormais être provisionnés que via SCIM. Côté IDP, vous pouvez configurer le mappage d’attributs de sorte que n’importe quel champ de votre instance IDP soit mappé vers le numéro de téléphone champ dans Command. Vous pouvez également le configurer de sorte que le no champ dans l’IDP soit mappé vers le numéro de téléphone champ dans Command. Cependant, même dans ce cas, les numéros de téléphone restent verrouillés dans Command et ne peuvent être modifiés que via SCIM.
Cliquez sur Save pour confirmer les modifications.
En haut, sélectionnez Provisioning et activez Provisioning Status.
Selon les exigences, ajustez le périmètre à l’une des options requises :
Synchroniser tous les utilisateurs et groupes.
Synchroniser uniquement les utilisateurs et groupes affectés.
Assurez-vous que les utilisateurs et groupes sont affectés à l’application d’entreprise dans Users and Groups. Ceux qui sont affectés sont ceux qui sont provisionnés et présents dans Command.
Vérifiez que les utilisateurs sont affectés à l’application. Une fois le premier cycle de provisioning terminé :
a. Vous devriez voir le nombre total d’utilisateurs et de groupes qui ont été provisionnés avec succès sous Overview. b. Dans Command, vous devriez voir ces utilisateurs et groupes renseignés avec le tag associé SCIM Managed . Ces utilisateurs et groupes synchronisés peuvent désormais être utilisés dans Command et recevoir des permissions afin de contrôler l’accès à la plateforme Command.
Supprimer les utilisateurs gérés par SCIM de Command
Lorsqu’un utilisateur géré par SCIM est désactivé dans votre fournisseur d’identité, vous pouvez retirer l’utilisateur de Command de deux façons :
Supprimer l’utilisateur – Le compte est déplacé vers la page Deleted Users, mais conserve l’historique, les rôles et les autorisations.
Supprimer définitivement l’utilisateur – Tous les rôles, identifiants, journaux d’accès et données associées sont effacés. Si l’utilisateur est reprovisionné via SCIM, Command crée un nouvel enregistrement utilisateur.
Vous devez désactiver l’utilisateur dans votre fournisseur d’identité (IdP) avant que l’une ou l’autre option de suppression soit disponible dans Command.
(Facultatif) Ajouter des identifiants d’accès aux utilisateurs SCIM
Connectez-vous à votre Portail Azure.
Dans la barre de recherche, saisissez puis sélectionnez Enterprise Applications.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Manage > Provisioning.
Développez le sous-menu Mappings et sélectionnez Provision Microsoft Entra ID Users.
En bas, cliquez sur Show advanced options > Edit attribute list for customappsso.
a. Ajoutez les attributs du tableau ci-dessous. b. Cliquez sur Save.
Retournez à Provision Microsoft Entra ID Users et sélectionnez Add New Mapping.
a. Utilisez extensionAttributes 1-5 comme Source Attributes et mappez-les aux nouveaux attributs créés pour Card Format, Card Number, Card Number Hex, Credential Status, et Facility Code comme attributs cibles.
Référence Acceptable Card Formats pour les formats de carte acceptés et les longueurs associées du facility code, du card number et/ou du card number hex.
Credential Status peut être « active », « deactivated » ou « deleted »
Cliquez sur Save.
b. Pour synchroniser un identifiant de service, ajoutez un nouveau mappage avec l’attribut source souhaité (par ex. department ou un attribut d’extension personnalisé) et définissez l’attribut cible sur costCenter (urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter). Cela synchronise une valeur d’ID de service vers Command.
Tableau des attributs
Nom
Type
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardFormat
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumber
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:cardNumberHex
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:credentialStatus
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:access:2.0:User:facilityCode
Chaîne
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:costCenter
Chaîne
Modifier l’enregistrement de l’application
Chaque application d’entreprise activée pour SCIM créée dans Entra AD nécessite généralement son propre enregistrement d’application.
Dans la barre de recherche, saisissez puis sélectionnez App registrations.
Passez à l’onglet All Applications et recherchez le nom de votre application Verkada SCIM.
Dans Overview, notez l’Application (client) ID et le Directory (tenant) ID de votre enregistrement d’application. Vous en aurez besoin plus tard pour configurer les identifiants de votre application Command à partir de votre enregistrement d’application.
Dans la navigation de gauche, cliquez sur Manage.
a. Sous Certificates & secrets:
Cliquez sur New client secret.
Définissez le Description sur «Verkada SCIM Credentials" et définissez la date d’expiration du certificat souhaitée.
Copiez et stockez la valeur affichée dans le Value du nouveau Client Secret créé. Elle ne s’affichera qu’une seule fois.
e. Sous API Permissions:
Cliquez sur Add Permissions > Microsoft Graph.
Sélectionnez Application Permissions et recherchez «User.ReadWrite.All".
Cochez la case pour attribuer les autorisations.
Cliquez sur Add Permissions.
Pour éviter d’avoir à examiner et approuver manuellement tous les changements d’état communiqués entre Microsoft Entra ID et votre application Command, sélectionnez Grant admin consent for Default Directory.
Reportez-vous à cette liste d’identifiants pour les formats de carte acceptables.
Accéder et mettre à jour vos identifiants
Pour définir les attributs d’extension et les informations d’identification pour un utilisateur particulier, utilisez les instructions Graph API à : https://learn.microsoft.com/en-us/graph/extensibility-overview.
Définir l’attribut credentialStatus sur active lors de la configuration d’un identifiant pour un utilisateur est nécessaire pour synchroniser correctement les identifiants avec Command. Où le statut d’identifiant (credentialStatus) est extensionAttribute4.
Exemple :
Synchroniser External ID vers Verkada
Le champ externalId vous permet d’attribuer à vos utilisateurs un identifiant persistant et unique à l’échelle mondiale via Microsoft Entra, que Verkada peut référencer dans toutes les intégrations. C’est particulièrement utile dans les grands environnements d’entreprise où les utilisateurs doivent parfois être distingués entre plusieurs systèmes, ou lorsque la synchronisation des identifiants (par ex. les badges d’accès) doit être liée à une clé d’identité unique. Verkada prend en charge la réception et le stockage de cette valeur dans le cadre de son schéma utilisateur SCIM. Ce champ est sensible à la casse et est généralement configuré pour accepter une valeur de chaîne provenant d’un attribut désigné dans votre instance Microsoft Entra. Cette fonctionnalité prend en charge des workflows avancés tels que la gestion personnalisée des identifiants, l’automatisation du cycle de vie des employés et un mappage cohérent des utilisateurs entre les organisations.
Mapper externalId d’Azure vers Verkada
Pour synchroniser une valeur externalId personnalisée de Microsoft Entra ID (Azure) vers Verkada, procédez comme suit :
Connectez-vous à votre portail Azure.
Dans la barre de recherche, saisissez puis sélectionnez Enterprise Applications.
Sélectionnez votre application Verkada SCIM.
Dans le panneau de gauche, cliquez sur Manage > Provisioning.
Développez le sous-menu Mappings et sélectionnez Provision Microsoft Entra ID Users.
Faites défiler jusqu’en bas et cliquez sur Show advanced options > Edit attribute list for customappsso.
Ajoutez le nouvel attribut suivant :
urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Type : Chaîne
Sensible à la casse : Oui
Cliquez sur Save.
Retournez à Provision Microsoft Entra ID Users et cliquez sur Add New Mapping.
Pour Source Attribute, sélectionnez le champ d’Azure AD où votre ID externe est stocké (par ex. extensionAttribute1, employeeId, etc.).
Pour Target Attribute, utilisez : urn:ietf:params:scim:schemas:extension:verkada:core:2.0:User:externalId
Cliquez sur OK puis sur Save.
Une fois provisionnée, la valeur external_id sera stockée dans l’enregistrement SCIM de l’utilisateur dans Verkada. Cela fournit aux utilisateurs un ID flexible, interrogeable via l’API, qui reste unique à leur organisation et entièrement sous leur contrôle, sans être lié aux identifiants internes de Verkada ni exposé dans l’interface utilisateur.
Vous préférez le voir en action ? Découvrez le tutoriel vidéo.
Mis à jour
Ce contenu vous a-t-il été utile ?