使用事例にもよりますが、Verkada Commandは、Microsoft Entra IDをはじめとするIDプロバイダ[IdP]と以下の機能で統合できます。
SAML(Security Assertion Markup Language)
SCIM(System for Cross-Domain Identity Management)
SAMLは、Microsoft Entra IDテナントにすでに統合されている他のサービス型ソフトウェア(SaaS)アプリケーションと同様に、Microsoft Entra IDをCommandへのアクセスを管理するために使用できるようにする認証側を処理します。 これにより、既存のIDフレームワークにCommandを組み込み、現在のポリシーに基づいてユーザーを認証できます。
SCIMを使用すると、Microsoft Entra IDにすでに存在する既存のユーザーとグループを活用し、これらをCommandと同期できます。 これにより、現在の中央管理IdPを保持し、既存のユーザーとグループを使用してCommandで権限を設定することができます。
Microsoft Entra IDでのSCIMのセットアップ
Microsoft Entra IDでSCIMを設定する前に、Commandからシークレットトークンを生成する必要があります。
すべての製品へ > Admin > Privacy& Security > SCIM Configuration.
メールドメインを追加します。これにより、一度だけ閲覧可能なトークンが生成されます。新しいトークンを生成するには、 トークンをリフレッシュする必要があります。
「 ドメインを追加」をクリックし、SCIM で使用する予定の関連メールドメインをすべて入力し、「 後で使用するためにコピー 」をクリックします。 トークンをコピーしておらず、表示されない場合は、[ 更新] をクリックして新しいトークンを生成します。
Microsoft Entra IDのホームページから、エンタープライズアプリケーション>新しいアプリケーション>独自のアプリケーションを作成を選択します。
ギャラリー以外のアプリケーションを選択し、アプリケーションに名前を付けて、[作成]ボタンを選択します。
Provision User Accounts(ユーザーアカウントの提供)]で、[Get started(開始する )]をクリックします(2回)。
プロビジョニングページで:
ある。 [プロビジョニング モード] を [自動] に設定します。
b. テナント URL を次のように設定します。
AUS組織の場合: https://SCIM.prod-ap-syd.verkada.com/ScIM
注: どの地域にお住まいか確認するには、Verkadaのオーガナイゼーションが作成された場所を参照してください。
事前に作成した シークレットトークンを入力してください。
「 テスト接続」をクリックします。 SCIM接続が成功したことを示す確認メッセージが表示されます。
続行するには、 「保存」 をクリックします。[保存]をクリックしないと、属性マッピングは表示されません。
Microsoft Entra IDグループの属性を設定する
[マッピング] ドロップダウンをクリックして展開し、[ Microsoft Entra IDグループのプロビジョニング] を選択します。
Microsoft Entra IDのデフォルトマッピングの提案に従うには、 customappasso列のカスタムマッピングを追加する必要があります。
(オプション) マッピングを追加する必要がある場合:
[新しいマッピングを追加] をクリックし、Microsoft Entra ID属性と一致するようにソース属性を選択します 上。
Target属性は 、上記の customappsso 属性 。
「OK」をクリックします。
[ 保存 ] をクリックし、必要に応じて変更を確定します。
ページの上部で、 Provisioningを 選択して Provisioning ページに戻ります。
Microsoft Entra IDユーザーの属性を設定する
[ Microsoft Entra IDユーザーのプロビジョニング]を選択して、ユーザーマッピングを変更します。
スクリーンショットまたはデータテーブル(下図)と一致するようにマッピングを設定します。 Switch 属性は、 式 マッピング タイプとして追加されます。
注: カスタムアプリ属性をターゲット属性として利用できない場合は、Microsoft Entra IDプラットフォームにオプションとして追加する必要があります。 [高度なオプションを表示] ボックスをオンにし、[カスタムアプリの属性リストを編集] をクリックします。
注: SCIM管理対象ユーザーは、Commandで電話番号を編集するオプションはなくなりました。 SCIM経由でのみプロビジョニング可能です。 IDP側では、IDPインスタンスの任意のフィールドがCommandのphone numberフィールドにマッピングされるように属性マッピングを設定できます。 IDPの「no」フィールドがCommandのphone numberフィールドにマッピングされるように設定することもできます。 ただし、その場合でも、電話番号はCommand内でlockedフィールドのままであり、SCIMでのみ編集できるようになります。 ご質問がある場合、またはさらにサポートが必要な場合は、 Verkadaサポートにお問い合わせください。
従業員番号、 部門、を追加します。 と 組織 > [保存]をクリックします。既存の属性は編集しないでください。
Save(保存)]をクリックして変更を確認し、ページの上部で[Provisioning(プロビジョニング )]を選択して、 Provisioning(プロビジョニング) ページに戻ります。
マッピングが完了したら、 Provisioning Statusを オンに切り替えます。
手順6: 要件に応じて、スコープを必要なオプションのいずれかに調整します。
すべてのユーザーとグループを同期
割り当てられたユーザーとグループのみを同期します。 [ユーザーとグループ ]セクションで、エンタープライズアプリケーションにユーザーとグループを割り当てていることを確認します。割り当てられている人は、プロビジョニングされてCommandに反映されるようになります。
プロビジョニングが[オン]に設定されていること、およびユーザーがアプリケーションに割り当てられていることを確認します。
プロビジョニングサイクルが終了したら、以下のことを確認できます。正常にプロビジョニングされたユーザーとグループの総数が表示されます。
コマンドでは、関連付けられた SCIM管理タグ が設定されたこれらのユーザーとグループを確認できます。 これらの同期されたユーザーとグループは、Commandで使用し、Commandプラットフォームへのアクセスを制御する権限に割り当てることができるようになりました。
(オプション)SCIMユーザーにアクセス認証情報を追加します
Entra SCIMアプリケーションの属性を設定する
Azureポータルにログインします。
検索バーに「エンタープライズアプリケーション」と入力して、選択します。
Verkada SCIMアプリケーションを選択します。
左側のパネルで、 [管理] > [プロビジョニング]をクリックします。
[プロビジョニングを管理]で、 [属性マッピングを編集]をクリックします。
[マッピング]サブメニューを展開して、 [Microsoft Entra IDユーザーのプロビジョニング]を選択します。
下部の[詳細オプションを表示] > [カスタムアプリの属性リストを編集]をクリックします。
次の表の属性を下部に追加します
[保存]をクリックします。
[Microsoft Entra IDユーザーのプロビジョニング]に戻り、 [新しいマッピングを追加]を選択します。
拡張属性1~5をソース属性として使用し、カード形式、カード番号、カード番号16進数、認証情報ステータス、施設コードをターゲット属性として使用して作成した新しい属性にマッピングします。
[保存]をクリックします。
属性表
名前 | タイプ |
urn:ietf:crams:scm:schemas:extend:verkada:access:2.0:User: CardFor Mat | 文字列 |
urn:ietf:crams:scm:schemas:extend:verkada:access:2.0:ユーザー:カード番号 | 文字列 |
urn:ietf: Params: SCIM:schemas:extend: verkada:access: 2.0:User: CardNumberHex | 文字列 |
urn:ietf: Params: SCIM:schemas:extend: verkada:access:2.0:User:credentialstatus | 文字列 |
urn:ietf:params:scm:schemas:extend:verkada:access:2.0:User:facilityCode | 文字列 |
アプリの登録を編集
Entra ADで作成されたSCIM対応エンタープライズアプリケーションには、通常、独自のアプリ登録が必要です。
検索バーに「アプリの登録」と入力して選択します。
[すべてのアプリケーション]タブに切り替えて、Verkada SCIMアプリケーションの名前を検索します。
概要で、アプリ登録の アプリケーション(クライアント) IDとディレクトリ(テナント) IDをメモします。 これらは、後ほどアプリの登録からCommandアプリケーションの認証情報を設定するために必要になります。
左側のナビゲーションで[管理]をクリックします。
[証明書と秘密]では以下のように表示されます
[新しいクライアントシークレット] をクリックします
説明を「 Verkada SCIM認証情報」に設定し、証明書の有効期限を設定できます。
[作成した新しいクライアントシークレットの値] に表示されている値をコピーして保存します。 これは1回のみ表示されます
[API権限]の下:
[権限の追加] > [Microsoft Graph]をクリックします。
[アプリケーション権限]を選択し、「 User. ReadWite.All 」を検索します。
ボックスにチェックを入れて、権限を割り当てます。
[権限を追加]をクリックします。
Azure EntraとCommandアプリケーション間でやり取りされるすべてのステージ変更を手動で確認して承認する必要を回避するには、 [デフォルト ディレクターに対して管理者の同意を付与する]を選択します。
使用できるカード形式の一覧については、こちらの 認証情報の一覧を参照してください。
認証情報にアクセスして更新します
特定のユーザーの拡張属性と認証情報を設定するには、こちらのGraph APIの説明を使用してください: https://rearn.Microsoft.com/en-us/Graph/extenability-overview 。
認証情報をCommandと正常に同期するには、ユーザーの認証情報をセットアップするときにcredentialstatus属性を有効に設定する必要があることに注意してください。
例:
URLをメールで送ってください。 - URL 'https://Graph.Microsoft.com/v1.0/users/yourusersid' や==ヘッダー "権限: 署名なし: $TOken" =インシデントタイプ: アプリケーション/json" -データ'{"オンプレミス拡張属性": {"拡張属性1": "標準26ビットWiegand", "拡張属性2": "1111", 「拡張属性3」: 「1」、 「拡張属性4」: 「有効」、 「拡張属性5」: 「111」 } }」認証情報の状態(credentialstatus)は 拡張属性4です
サポートが必要な場合はVerkadaサポートにお問い合わせください。