Verkada Commandには、Active Directoryフェデレーションサービス（ADFS）と統合し、既存のActive Directory（AD）認証情報を使用してログインできるようにする機能があります。

Security Assertion Markup Language (SAML) は、AD FS が Command と通信して、ユーザーに組織へのアクセスを安全に許可するための言語です。

SAML は、ユーザを組織に追加したり、招待したりしない。これにより、以前にプロビジョニングされたユーザーは、Verkada が管理するユーザー名とパスワードではなく、AD 資格情報を使用してログインできるようになります。

ドメインのユーザーとグループをCommandに同期されたい場合は、SCIMに関する詳細をご覧ください。

始める前に

SAML統合を開始するには、組織のクライアントIDを生成する必要があります（クライアントIDでは大文字と小文字が区別されます）。

仕組み

手順1: 証明書利用者信頼を追加する

AD FS管理を開きます。
[アクション] > [証明書利用者信頼の追加]を選択します。
[クレーム対応]をオンにして、[開始]をクリックします。
[証明書利用者に関するデータを手動で入力する]を選択し、[次へ]をクリックします。
表示名（任意の名前）を入力し、[次へ]をクリックします。
オプションのトークン暗号化証明書を指定し（[参照]をクリックして指定）、[次へ]をクリックします。
[証明書利用者SAML 2.0 SSOサービスURL]の入力欄にある[SAML 2.0 WebSSOプロトコルのサポートを有効にする]をオンにします。（クライアントIDを以前に生成したものと置き換えます）:
- 米国組織の場合: https://vauth.command.verkada.com/saml/sso/<client-ID>
- EU組織の場合: https://saml.prod2.verkada.com/saml/sso/<client-ID>
- AUSの場合: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
  
  注: お住まいの地域を確認するには、Verkadaの組織が作成された場所を参照してください。
[次へ]をクリックします。
[証明書利用者信頼識別子]入力欄に、手順7と同じURLを入力し、[追加] > [次へ]をクリックします。
このアプリケーションに適切なアクセスコントロールポリシーを構成し、[次へ]をクリックします。
証明書利用者の設定を確認し、[次へ] > [閉じる]をクリックします。

ステップ 2: 請求発行ポリシーを編集する

新しく作成したRelying Party Trustを右クリックし、Edit Claim Issuance Policyを選択します。
[ルールの追加] > [OK]をクリックします。

手順3: 変換要求規則を追加する

[LDAP属性をクレームとして送信する]が選択されていることを確認し、[次へ]をクリックします。
これらのルール設定を構成し、（完了したら）[完了]をクリックします:
1. 要求ルール名を入力します（任意の名前を入力できます）。
2. [属性ストア]の下で、[Active Directory]が選択されていることを確認します。
3. これらのLDAP属性を構成して、適切な[出力方向の要求の種類]にマッピングします。
  - E-Mail-Addresses > メールアドレス
  - Given-Name > 名
  - Surname > 姓
[要求ルールテンプレート]で、[受信したクレームを変換する]を選択して別のルールを追加し、[次へ]をクリックします。
要求ルールを構成します:
1. 要求規則名を入力します（任意の名前を入力可能）。
2. [入力方向の要求の種類]の横にある[メールアドレス]を選択します。
3. [送信要求タイプ]の横にある[名前ID]を選択します。
4. [発信名ID形式]の横にある[一時識別子]を選択します。
5. [すべてのクレーム値をパススルー]が選択されていることを確認します。
6. [完了]をクリックします。
https://<your ADFS server>/FederationMetadata/2007-06/FederationMetadata.xmlに移動して、XMLメタデータファイルをダウンロードします。

⚠️ この手順を完了するためにInternet Explorerを使用 しないでください 。Internet Explorerを使用すると、XMLファイルに問題が生じる可能性があります。

手順4: コマンドでSAMLのセットアップを完了する

「CommandアカウントでSAMLを有効にする」の手順に従って、CommandでのSAML設定を完了します。

手順5: 統合をテストする

統合が完了したら、テストを行います。

シークレット／プライベートのブラウジングウィンドウを開き、次の場所に移動します（clientIDを上記で生成したものと置き換えます)。
- 米国組織の場合: https://vauth.command.verkada.com/saml/login/<client-ID>
- EUの場合: https://saml.prod2.verkada.com/saml/login/<client-ID>
- AUSの場合: https://saml.prod-ap-syd.verkada.com/saml/sso/<client-ID>
  
  注: お住まいの地域を確認するには、Verkadaの組織が作成された場所を参照してください。
ADFSログインページが表示されます。資格情報を使用してサインインします。

Command組織にリダイレクトされた場合は、SAML統合設定に成功しています。

サポートが必要な場合はVerkadaサポートにお問い合わせください。

OneLogin SAML統合

Microsoft Entra ID SAMLの統合

Google Workspace SAML統合

Okta SAMLの統合

JumpCloud SAML統合