Verkada Command peut s’intégrer à Active Directory Federation Services (ADFS) pour permettre à vos utilisateurs de se connecter à l’aide de leurs identifiants AD existants.
Security Assertion Markup Language (SAML) est le langage qui permet à ADFS de communiquer avec Command pour accorder en toute sécurité à vos utilisateurs l’accès à votre organisation.
Le protocole SAML n’ajoute ni n’invite d’utilisateurs dans votre organisation. Il permet simplement aux utilisateurs déjà provisionnés de se connecter avec leurs informations d’identification AD, plutôt qu’avec un nom d’utilisateur et un mot de passe gérés par Verkada.
Si vous souhaitez synchroniser les utilisateurs et les groupes du domaine avec Command, consultez les informations complémentaires sur SCIM.
Avant de commencer
Pour commencer l’intégration SAML, vous devez générer l’ID client de votre organisation (l’ID client est sensible à la casse).
Fonctionnement
Étape 1 : Ajouter une approbation de partie de confiance
Ouvrez AD FS Management.
Sélectionnez Action > Ajouter une approbation de partie de confiance.
Sélectionnez Prise en charge des revendications, puis cliquez sur Démarrer.
Sélectionnez Entrer manuellement les données concernant la partie de confiance, puis cliquez sur Suivant.
Saisissez un nom d’affichage (celui que vous voulez) et cliquez sur Suivant.
Spécifiez un certificat de chiffrement de jeton facultatif (cliquez sur Parcourir pour spécifier), puis cliquez sur Suivant.
Cochez la case Activer la prise en charge du protocole WebSSO SAML 2.0, et dans le champ URL du service SSO SAML 2.0 de la partie de confiance (où vous remplacez clientID par l’ID client qui a été généré précédemment) :
Pour les organisations américaines : https://vauth.command.verkada.com/saml/sso/<client-ID >
Pour les organisations européennes : https://saml.prod2.verkada.com/saml/sso/<client-id>
Pour AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Note: Pour confirmer la région dans laquelle vous vous trouvez, veuillez vous référer à l'endroit où votre organisation a été créée pour Verkada.
Cliquez sur Suivant.
Dans le champ Identificateurs d’approbation de partie de confiance, saisissez l’URL de l’étape 7, puis cliquez sur Ajouter > Suivant.
Configurez une politique de contrôle d’accès appropriée pour cette application, puis cliquez sur Suivant.
Passez en revue les paramètres de l’interlocuteur et cliquez sur Suivant > Fermer.
Étape 2 : Modifier la règle de revendication
Cliquez avec le bouton droit sur l’approbation de partie de confiance nouvellement créée, puis sélectionnez Éditer la règle d’émission de revendications.
Cliquez sur Ajouter une règle > OK.
Étape 3 : Ajoutez la règle de transformation de la revendication
Assurez-vous que l’option Envoyer les attributs LDAP en tant que revendications est sélectionnée, puis cliquez sur Suivant.
Configurez ces paramètres de règle, puis cliquez sur Terminer lorsque vous avez terminé :
Saisissez le Nom de la règle de revendication de votre choix.
Sous Magasin d’attributs, assurez-vous qu’Active Directory est sélectionné.
Configurez ces attributs LDAP pour les mapper au Type de revendication sortante approprié :
E-Mail-Addresses > Adresse e-mail
Given-Name > Prénom
Surname > Nom de famille
Sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante pour ajouter une autre règle, puis cliquez sur Suivant.
Configurez la règle de revendication :
Saisissez le Nom de la règle de revendication de votre choix.
En regard de Type de revendication entrante, sélectionnez Adresse de messagerie.
En regard de Type de revendication sortante, sélectionnez ID de nom.
En regard de Format d’ID de nom sortant, sélectionnez Identificateur temporaire.
Assurez-vous que l’option Passer toutes les valeurs de revendication est sélectionnée.
Cliquez sur Terminer.
Accédez à https://<votre serveur ADFS>/FederationMetadata/2007-06/FederationMetadata.xml pour télécharger votre fichier de métadonnées XML.
⚠️ N'utilisez pas Internet Explorer pour effectuer cette étape ; l'utilisation d'Internet Explorer peut entraîner des problèmes avec le fichier XML.
Étape 4 : Terminez la configuration SAML sur commande
Suivez les étapes décrites dans l’article Activez SAML sur votre compte Command pour finaliser la configuration SAML sur Command.
Étape 5 : Testez l’intégration
Une fois l’intégration terminée, testez-la.
Ouvrez une fenêtre de navigation privée, puis accédez à (où vous remplacerez clientID par l’ID client que vous avez généré ci-dessus) :
Pour les États-Unis : https://vauth.command.verkada.com/saml/login/<client-ID>
Pour AUS : https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
Note: Pour confirmer la région dans laquelle vous vous trouvez, veuillez vous référer à l'endroit où votre organisation a été créée pour Verkada.
Vous devriez être redirigé vers votre page de connexion AD FS. Essayez de vous connecter avec vos identifiants.
Si vous êtes redirigé vers votre organisation Command, félicitations, l’intégration SAML a été un succès !
Vous avez besoin d’aide supplémentaire ? Contactez le service d’assistance Verkada.