Google Workspace
Configurez le SSO et le provisionnement des utilisateurs avec Google Workspace
Verkada Command a la capacité de s’intégrer à Google Workspace (entre autres fournisseurs d’identité [IdP]) pour des scénarios d’authentification unique (SSO). Security Assertion Markup Language (SAML) gère l’aspect authentification afin de permettre à Google Workspace d’être utilisé pour gérer l’accès à Command.
Verkada recommande OIDC plutôt que SAML pour une sécurité renforcée et une configuration plus simple.
SSO basé sur OIDC pour Google Workspace
Verkada Command prend en charge l’authentification unique (SSO) via OpenID Connect (OIDC) avec Google Workspace. Cette intégration permet à nos utilisateurs de s’authentifier de manière transparente et sécurisée à l’aide de leurs identifiants Google existants, ce qui simplifie l’accès à Command et renforce la sécurité globale.
OIDC n’est pas pris en charge sur les applications Desk Station.
Activer Chiffrement contrôlé par l’entreprise (ECE) pour une sécurité renforcée.
Configuration OIDC
Connectez-vous à votre console Google Cloud.
Cliquez sur Nouveau projet pour créer un nouveau projet sous votre organisation Google Workspace.
Dans votre nouveau projet, accédez à APIs & Services > Library.
a. Activez les API suivantes :
Identity and Access Management (IAM) API
Admin SDK API
Accédez à APIs & Services > OAuth Consent Screen. Sélectionnez Internal pour le User Type, puis cliquez sur Create.
Cliquez sur Edit App.
Configurez votre écran de consentement OAuth. Donnez à votre application un nom identifiable (par exemple, Verkada SSO OIDC), et indiquez l’adresse e-mail de l’entité qui gère le Google Workspace de votre organisation (par exemple, IT) comme adresse e-mail d’assistance utilisateur de votre application. Cliquez sur Save and Continue.
Configurez les portées OAuth.
Sélectionnez les portées suivantes :
userinfo.email
userinfo.profile
openid
Cliquez sur Update.
Si vous ne voyez pas la dernière option, vous devrez peut-être Add To Table sous Manually add scopes.
Cliquez sur Save and Continue et revenez au tableau de bord de votre application.
Accédez à Credentials. Cliquez sur Create Credentials et créez un identifiant client OAuth.
Sélectionnez Web application comme type d’application. Donnez à votre client un nom identifiable et ajoutez ce qui suit à la liste des URI de redirection autorisés :
https://org-short-name.command.verkada.com/oidc/google/callback (où org-short-name est le nom court de votre organisation Command)
Cliquez sur Create.
Copiez votre ID client. Notez que nous n’utiliserons pas le secret client.
Configuration de Verkada Command
Dans Verkada Command, accédez à All Products > Admin.
Dans la navigation de gauche, sélectionnez Login & Access.
Sélectionnez Single Sign-On Configuration.
Sous OIDC Configuration, cliquez sur Add New.
a. Activez Enable. b. (Facultatif) Activez Require OIDC SSO. c. Sous Select Provider, sélectionnez Google. d. Sous Add Client and Tenant, cliquez sur :plus:.
Dans le champ Client ID , collez l’ID client que vous avez copié depuis la console Google Cloud.
Dans le champ Tenant ID champ, saisissez le domaine utilisé par le Google Workspace de votre organisation (si votre e-mail Google est [email protected], saisissez your-domain.com).
Cliquez sur Done pour terminer la configuration.
h. Email Domains, cliquez sur :plus:.
Saisissez le nom de votre domaine présent (par ex., @verkada.com).
Cliquez sur Done.
Sous Login Test, cliquez sur Run Login Test.
Un test de connexion réussi devrait rediriger vers la page de configuration OIDC. Une fois connecté, ajoutez le domaine que vous devez autoriser dans Associated Domains.
Une fois votre domaine ajouté, exécutez à nouveau le test de connexion. Le SSO ne sera pas activé tant que ce deuxième test de connexion ne sera pas terminé avec succès.
Une fois votre domaine vérifié, vous devriez voir qu’il a été validé avec succès.
Intégration SAML de Google Workspace
Verkada Command a la capacité de s’intégrer à Google Workspace (entre autres fournisseurs d’identité [IdP]) pour des scénarios d’authentification unique (SSO). Security Assertion Markup Language (SAML) gère l’aspect authentification afin de permettre à Google Workspace d’être utilisé pour gérer l’accès à Command.
Avant de commencer
Assurez-vous d’être déjà inscrit sur Verkada Command et qu’un compte existe pour l’utilisateur dans le même domaine personnalisé. Vous pouvez ajouter Command comme application personnalisée.
Familiarisez-vous avec ces termes pour optimiser votre intégration :
Client ID—Client ID. Pour le localiser, allez dans Admin > Privacy & Security > Single Sign-On Configuration > Add New.
Federation Data XML—Les informations uniques de votre instance Google Workspace qui permettent à Verkada de configurer la fédération entre Google Workspace et votre instance Command (les étapes pour le télécharger sont fournies plus loin).
Configuration de Google Workspace
Accédez à Google Workspace > tableau de bord Google Admin et sélectionnez Web and mobile apps.
Sélectionnez le menu déroulant Add app, puis Add custom SAML app.
Renseignez les informations de l’application ; vous pouvez utiliser n’importe quel nom et description.
Obtenez le logo Verkada Command à ajouter à votre application Google Workspace.
Cliquez sur Continue.
Utilisez l’option 1 pour télécharger les métadonnées IdP correspondant au fichier XML des métadonnées de fédération et cliquez sur Continue.
Ce fichier permet à Verkada de configurer le SSO dans Command. Enregistrez-le dans un emplacement pratique pour une utilisation ultérieure.
Saisissez les détails du fournisseur de services (comme indiqué) pour configurer le SSO ou copiez les détails depuis la page New SSO Configuration (dans Verkada Command), puis cliquez sur Continue.
a. Pour ACS URL: Pour les organisations US : https://vauth.command.verkada.com/saml/sso/ Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E b. Pour Entity ID: Pour les organisations US : https://vauth.command.verkada.com/saml/sso/ Pour les organisations EU : https://saml.prod2.verkada.com/saml/sso/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E c. Pour Start URL: Pour les organisations US : https://vauth.command.verkada.com/saml/login/ Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/login/
Référez-vous à l’endroit où votre organisation a été créée pour confirmer dans quelle région se trouve votre organisation.
Renseignez les mappages d’attributs (comme indiqué ci-dessous), puis cliquez sur Finish. Cela garantit que Command reçoit les bonnes informations sur l’utilisateur. Vous devriez être redirigé vers la page de configuration de l’application.
Configuration de Command
Dans Verkada Command, accédez à All Products > Admin .
Sélectionnez Login & Access > Single Sign On (SSO).
Cliquez sur Add pour démarrer une nouvelle configuration ou modifier une configuration existante.
Sous Identity Provider XML Metadata, importez votre fichier de métadonnées.
Sous Email Domains, ajoutez les domaines e-mail qui seront utilisés pour se connecter à votre organisation.
Vérifiez que vous pouvez accéder à Command à l’une de ces URL (remplacez le client-id par celui utilisé pendant la configuration).
Pour les organisations US : https://vauth.command.verkada.com/saml/login/
Pour les organisations EU : https://saml.prod2.verkada.com/saml/login/
Pour les organisations AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Voir Admin > Data Privacy > Data Residency > Data Processing Location pour confirmer où se trouve votre région.
Vous serez redirigé vers la page de configuration de l’application Google Workspace pour terminer la connexion.
Se connecter via l’application mobile
Command sur Android et iOS prend en charge la connexion via SAML.
Dans le champ d’adresse e-mail, saisissez l’e-mail de l’utilisateur, puis cliquez sur Next.
Vous devriez être redirigé vers votre IdP (Google Workspace) pour terminer le processus de connexion.
Approvisionnement des utilisateurs Google Workspace
L’intégration native de Google Workspace permet aux organisations de synchroniser automatiquement les utilisateurs et les groupes de Google Workspace vers Verkada Command. Cela simplifie la gestion des identités et l’intégration générale des utilisateurs.
Contrairement aux intégrations SCIM de Verkada avec Okta ou Azure, cette intégration utilise l’Admin SDK et l’API Reports de Google Workspace, authentifiés via un compte de service Google avec délégation à l’échelle du domaine.
Avec l’intégration activée, Command peut :
Importer des utilisateurs et des groupes depuis des groupes ou unités d’organisation (OU) Google Workspace sélectionnés
Les synchroniser dans Command en tant qu’utilisateurs et groupes gérés
Maintenir la précision de l’annuaire grâce à des synchronisations d’arrière-plan planifiées et à la demande depuis l’interface d’administration
Créer un compte de service Google
Pour permettre à Command de lire les données des utilisateurs et des groupes depuis votre domaine Google Workspace, il doit s’authentifier auprès des API Google à l’aide d’un compte de service. Ce type de compte est conçu pour l’accès programmatique et doit être configuré avec les portées API correctes et la délégation à l’échelle du domaine. Ces paramètres sont configurés dans votre console Google Cloud compte.
Vérifier les politiques et les rôles
Vous devez d’abord vérifier si votre utilisateur a les autorisations nécessaires pour créer un compte de service et générer la clé JSON du compte de service. Pour vous assurer de ne pas être bloqué par des politiques de sécurité dans votre locataire :
Accédez à la console Google Cloud et connectez-vous avec vos identifiants Super Admin.
Dans le coin supérieur gauche, ouvrez le menu déroulant Project Selector et choisissez votre ressource de niveau supérieur (Type : Organization).
Dans le panneau de gauche, accédez à IAM & Admin → IAM.
Cliquez sur Grant Access sous View by principals.
a. Sous Add principals, saisissez l’adresse e-mail de l’utilisateur. b. Sous Assign roles, recherchez et sélectionnez Organization Policy Administrator. c. Cliquez sur Save.
Dans le panneau de gauche, sélectionnez Organization Policies.
Dans la liste des politiques, recherchez et désactivez les éléments suivants :
Créer un compte de service
Dans le champ console Google Cloud, en haut à gauche, ouvrez le menu déroulant Project Selector.
Cliquez sur New Project.
Saisissez un nom de projet (par exemple, Verkada User Sync) et créez le projet.
Une fois le projet créé, confirmez qu’il est sélectionné dans la barre de navigation en haut à gauche.
Dans la barre latérale de gauche, allez à IAM & Admin → Service Accounts.
Cliquez sur + Create Service Account.
Renseignez les champs suivants :
Name : Saisissez un nom descriptif (par ex., Verkada User Provisioning)
ID : Laissez tel quel ou personnalisez-le (facultatif)
Description : Ajoutez une note, telle que Used by Verkada to read Workspace directory data (facultatif)
Cliquez sur Create and Continue.
Ignorez l’étape Grant Project Access — aucun rôle n’est requis ici.
Cliquez sur Continue → Done.
Dans la liste des comptes de service, copiez l’ID client OAuth 2 du compte nouvellement créé. Vous aurez besoin de cet ID plus tard pour terminer la configuration.
Générer une clé JSON
Dans la liste Service Accounts, cliquez sur le nom du compte ou sélectionnez les trois points à côté de votre nouveau compte de service et choisissez Manage keys.
Sous l’onglet Keys, cliquez sur Add Key → Create new key.
Sélectionnez JSON, puis cliquez sur Create.
Un fichier .json sera téléchargé sur votre ordinateur. Enregistrez-le dans un emplacement sécurisé pour l’utiliser plus tard lors de la configuration de l’intégration dans Verkada Command.
Ce fichier JSON contient les informations d’identification que l’intégration Google Workspace dans Command utilise pour s’authentifier auprès des API Google via OAuth 2.0. Conservez ce fichier en lieu sûr, car il donne accès aux données de votre Workspace et ne doit jamais être partagé ni rendu public.
Activer les API Google requises
Verkada Command requiert l’accès à des API Google Workspace spécifiques pour lire les utilisateurs, les groupes, les domaines et les journaux d’audit. Ces API doivent être activées dans votre projet Google Cloud avant que l’intégration puisse fonctionner.
Accédez à la console Google Cloud, puis connectez-vous avec vos identifiants Super Admin.
Dans la barre latérale de gauche, allez à APIs & Services → API Library.
Dans la barre de recherche, trouvez et sélectionnez Admin SDK API, puis cliquez sur Enable.
Cette API est nécessaire pour lire les utilisateurs, les groupes et les métadonnées de domaine.
(Facultatif) Recherchez et activez Reports API pour permettre la surveillance des journaux d’audit et détecter les modifications du répertoire.
Activer la délégation à l’échelle du domaine
Pour permettre au compte de service d’usurper un administrateur et d’accéder aux données des utilisateurs et des groupes de l’ensemble de votre domaine, vous devez lui accorder une délégation à l’échelle du domaine. Cela permet au compte de service d’effectuer des opérations de lecture au nom d’un administrateur sans nécessiter de nouvelle authentification manuelle.
Accédez à la Google Admin Console et connectez-vous avec vos identifiants Super Administrator pour votre locataire Google Workspace.
Depuis la page d’accueil de l’Admin Console, allez à Security →Access & data control → API Controls.
Sur la page API Controls, faites défiler jusqu’à la section Domain-wide Delegation et cliquez sur Manage Domain Wide Delegation.
Cliquez sur Add New et saisissez les détails suivants :
Client ID : Collez l’ID client OAuth 2 de votre fichier de clé de compte de service (le
client_idchamp dans le JSON).OAuth Scopes (séparées par des virgules) :
Cliquez sur Authorize.
La nouvelle entrée de délégation apparaîtra sur la page, confirmant que le compte de service peut désormais être utilisé par Verkada Command pour interroger les données des utilisateurs, des groupes et des audits.
Définir les valeurs des attributs utilisateur
Avant de synchroniser les utilisateurs avec Verkada Command, vérifiez que les attributs clés (tels que le prénom, le nom, l’e-mail et l’ID employé) sont correctement renseignés dans Google Workspace.
Connectez-vous à la Google Admin Console en utilisant votre compte Super Admin.
Allez dans Directory → Users.
Sélectionnez le profil utilisateur que vous souhaitez mettre à jour.
Cliquez sur User information, puis développez les sections pertinentes (par exemple, Basic information ou Employee information).
Mettez à jour les champs suivants si nécessaire :
Adresse e-mail principale
Prénom et Nom
ID employé (sous Employee information)
Numéro de téléphone (sous Contact information)
Cliquez sur Save pour appliquer vos modifications.
Les attributs suivants peuvent être synchronisés de Google Workspace vers Verkada Command :
Nom de l’attribut Google Workspace
Champ Command
Prénom
Prénom
Nom
Nom
Département
Département
Centre de coûts
ID de département
ID employé
ID employé
Intitulé du poste
Intitulé du poste employé
Numéro de téléphone (principal domicile/travail/mobile)
Numéro de téléphone
Les utilisateurs et les groupes synchronisés depuis Google Workspace sont gérés exclusivement dans Workspace et ne peuvent pas être modifiés dans Verkada Command. Les utilisateurs doivent avoir un prénom, un nom et une adresse e-mail pour être synchronisés avec succès avec Command.
Pour garantir que les numéros de téléphone des utilisateurs se synchronisent correctement vers Verkada Command, saisissez-les au format international, y compris l’indicatif pays et sans espaces ni tirets.
Exemple : +14155552671
Activer l’intégration dans Command
Vous avez besoin des autorisations Org Admin pour configurer cette intégration.
Dans Verkada Command, accédez à All Products > Admin.
Dans Org Settings, sélectionnez Login & Access → User Provisioning → Google Workspace.
a. Saisissez l’adresse e-mail de votre Super Admin Google Workspace. Pour des raisons de sécurité et de continuité, Verkada recommande d’utiliser un compte de service dédié disposant d’autorisations d’administration équivalentes, plutôt qu’un compte utilisateur personnel. a. Téléchargez la clé JSON que vous avez générée dans votre projet Google Cloud Console. b. Une fois l’authentification réussie, cliquez sur Add pour sélectionner les groupes et/ou unités d’organisation que vous souhaitez synchroniser avec Command. c. Cliquez sur Activer.
Après la réussite de la première synchronisation, un bouton Sync Now sera disponible pour des mises à jour à la demande à tout moment.
FAQ
Mis à jour
Ce contenu vous a-t-il été utile ?