AD FS
Intégrez SAML aux services de fédération Active Directory
Verkada Command a la capacité de s’intégrer à Active Directory Federation Services (AD FS) pour permettre à vos utilisateurs de se connecter en utilisant leurs identifiants AD existants.
Security Assertion Markup Language (SAML) est le langage qui permet à AD FS de communiquer avec Command afin d’accorder de manière sécurisée à vos utilisateurs l’accès à votre organisation.
OIDC SSO
—
SAML SSO
Oui
Provisionnement SCIM
—
Prise en charge ECE
—
SAML n’ajoute pas et n’invite pas d’utilisateurs dans votre organisation. Il permet simplement aux utilisateurs déjà provisionnés de se connecter avec leurs identifiants AD, plutôt qu’avec un nom d’utilisateur et un mot de passe gérés par Verkada.
Si vous souhaitez synchroniser les utilisateurs et groupes de domaine vers Command, en savoir plus sur SCIM.
Avant de commencer
Pour commencer l’intégration SAML, vous devez générer l’ID client de votre organisation (où l’ID client est sensible à la casse).
Configuration
Ajouter une relation de confiance (relying party trust)
Ouvrez la console AD FS Management.
Sélectionnez Action > Add Relying Party Trust.
Cochez Claims aware et cliquez sur Start.
Sélectionnez Enter data about the relying party manually et cliquez sur Next.
Tapez un Display name (peut être n’importe quoi) et cliquez sur Next.
Spécifiez un certificat facultatif de chiffrement de jeton (cliquez sur Browse pour le spécifier), puis cliquez sur Next.
Cochez Enable support for the SAML 2.0 WebSSO protocol et dans le champ Relying party SAML 2.0 SSO service URL (remplacez client-ID par l’ID client qui a été généré précédemment) :
Pour les organisations américaines : https://vauth.command.verkada.com/saml/sso/%3Cclient-ID%3E
Pour les organisations européennes : https://saml.prod2.verkada.com/saml/sso/
Pour l’Australie : https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E
Pour confirmer dans quelle région vous vous trouvez, veuillez vous référer à l’endroit où votre organisation a été créée pour Verkada.
Cliquez sur Next.
Dans le champ Relying party trust identifier, tapez la même URL de l’étape 7, puis cliquez sur Add > Next.
Configurez une stratégie de contrôle d’accès appropriée pour cette application et cliquez sur Next.
Vérifiez les paramètres de la relying party et cliquez sur Next > Close.
Modifier la stratégie d’émission des claims
Cliquez avec le bouton droit sur la Relying Party Trust nouvellement créée et sélectionnez Edit Claim Issuance Policy.
Cliquez sur Add Rule > OK.
Ajouter la règle de transformation des claims
Assurez-vous que Send LDAP Attributes as Claims est sélectionné et cliquez sur Next.
Configurez ces paramètres de règle puis (une fois terminé) cliquez sur Finish :
a. Saisissez un Nom de la règle de claim (peut être n’importe quoi). b. Sous Magasin d’attributs, assurez-vous que Active Directory est sélectionné. c. Configurez ces attributs LDAP pour les mapper au Type de claim sortant:
E-Mail-Addresses > E-Mail Address
Given-Name > Given Name
Surname > Surname
Sous Claim rule template, sélectionnez Transform an Incoming Claim pour ajouter une autre règle, puis cliquez sur Next.
Configurez la règle de claim :
a. Tapez un Nom de la règle de claim (peut être n’importe quoi). b. À côté de Type de claim entrant, sélectionnez E-Mail Address. c. À côté de Type de claim sortant, sélectionnez Name ID. d. À côté de Format du Name ID sortant, sélectionnez Transient Identifier. e. Assurez-vous que Pass through all claim values est sélectionné. f. Cliquez sur Finish.
Aller à https:///FederationMetadata/2007-06/FederationMetadata.xml pour télécharger votre fichier de métadonnées XML.
Ne pas utilisez Internet Explorer pour compléter cette étape ; l’utilisation d’Internet Explorer peut poser des problèmes avec le fichier XML.
Terminer la configuration SAML sur Command
Suivez les étapes dans Enable SAML for Your Command Account pour terminer la configuration SAML sur Command.
Tester l’intégration
Une fois l’intégration terminée, testez-la.
Ouvrez une fenêtre de navigation privée/incognito et allez à (où vous remplacerez clientID par l’ID client que vous avez généré ci‑dessus) :
Pour les États-Unis : https://vauth.command.verkada.com/saml/login/%3Cclient-ID%3E
Pour l’Union européenne : https://saml.prod2.verkada.com/saml/login/
Pour l’Australie : https://saml.prod-ap-syd.verkada.com/saml/sso/
Pour confirmer dans quelle région vous vous trouvez, veuillez vous référer à l’endroit où votre organisation a été créée pour Verkada.
Vous devriez être redirigé vers votre page de connexion AD FS. Essayez de vous connecter avec vos identifiants.
Si vous êtes redirigé vers votre organisation Command—félicitations—l’intégration SAML a réussi !
Mis à jour
Ce contenu vous a-t-il été utile ?