使用事例にもよりますが、Verkada Commandは、Microsoft Entra IDをはじめとするIDプロバイダ[IdP]と以下の機能で統合できます。
SAML(Security Assertion Markup Language)
SCIM(System for Cross-Domain Identity Management)
SAMLは、Microsoft Entra IDテナントにすでに統合されている他のサービス型ソフトウェア(SaaS)アプリケーションと同様に、Microsoft Entra IDをCommandへのアクセスを管理するために使用できるようにする認証側を処理します。 これにより、既存のIDフレームワークにCommandを組み込み、現在のポリシーに基づいてユーザーを認証できます。
SCIMを使用すると、Microsoft Entra IDにすでに存在する既存のユーザーとグループを活用し、これらをCommandと同期できます。 これにより、現在の中央管理IdPを保持し、既存のユーザーとグループを使用してCommandで権限を設定することができます。
Microsoft Entra IDでのSCIMのセットアップ
Microsoft Entra IDでSCIMを設定する前に、Commandからシークレットトークンを生成する必要があります。
Verkada Commandで、[ すべての製品 > 管理]
に移動します。
[プライバシーとセキュリティ]から、 [SCIM設定]を選択します。
[ドメインを追加]をクリックし、SCIMで使用する予定の関連するメールドメインをすべて入力します。
これにより、 1回のみ表示できるSCIMトークンが生成されます。
[コピー]をクリックして、設定の以降で使用できるようにトークンを安全な場所に保存します。
トークンをコピーしていない場合、またはトークンが表示されていない場合は、 更新をクリックして新しいトークンを生成します。
Microsoft Entra IDのホームページから、エンタープライズアプリケーション>新しいアプリケーション>独自のアプリケーションを作成 を選択します。
[独自のアプリケーションを作成]サイドパネルに アプリケーション名を入力し、ギャラリー以外のアプリケーションを選択して[作成]をクリックします。
[ユーザーアカウントのプロビジョニング]で、 [開始する]をクリックします。
プロビジョニングページで:
プロビジョニングモードを自動に設定します。
テナントURLを次のように設定します。
注: どの地域でお住まいか確認するには、 Verkadaに対してオーガナイゼーションが作成された場所を参照してください。
シークレットトークンとして、Verkada Command(手順2)で生成されたSCIMトークンを入力します。
「 テスト接続」をクリックします。 SCIM接続が成功したことを示す確認メッセージが表示されます。
[保存]をクリックします。
Microsoft Entra IDグループの属性を設定する
[マッピング] ドロップダウンをクリックして展開し、[ Microsoft Entra IDグループのプロビジョニング] を選択します。
このデータ表のスクリーンショットと一致するようにマッピングを構成します。
(オプション) マッピングを追加する必要がある場合:
[新しいマッピングを追加] をクリックし、Microsoft Entra ID属性と一致するようにソース属性を選択します 上。
Target属性は 、上記の customappsso 属性 。
「 OK」 をクリックします。
[ 保存 ] をクリックし、必要に応じて変更を確定します。
ページの上部で、 Provisioningを 選択して Provisioning ページに戻ります。
Microsoft Entra IDユーザーの属性を設定する
[マッピング]ドロップダウンをクリックして展開し、 [Microsoft Entra IDユーザーのプロビジョニング]を選択して、ユーザーマッピングを変更します。
スクリーンショットまたはデータテーブル(下図)と一致するようにマッピングを設定します。
注: Microsoft Entra ID属性の下のスイッチ属性は、式マッピングタイプとして追加されます。
Switch([IsSoftDeleted], , "False", "True", "True", "False")
注:ソース属性はMicrosoft Entra ID属性、ターゲット属性はcustomeraccess属性です。
注:カスタムアプリ属性をターゲット属性として利用できない場合は、Microsoft Entra IDプラットフォームにオプションとして追加する必要があります。 [高度なオプションを表示]ボックスをオンにし、 [カスタムアプリの属性リストを編集]をクリックします。
注: SCIM管理対象ユーザーは、Commandで電話番号を編集するオプションはなくなりました。 SCIM経由でのみプロビジョニング可能です。 IDP側では、IDPインスタンスの任意のフィールドがCommandのphone numberフィールドにマッピングされるように属性マッピングを設定できます。 IDPのnoフィールドがCommandのphone numberフィールドにマッピングされるように設定することもできます。 ただし、その場合でも、電話番号はCommand内でlockedフィールドのままであり、SCIMでのみ編集できるようになります。 ご質問がある場合、またはさらにサポートが必要な場合は、 Verkadaサポートにお問い合わせください。Save(保存)]をクリックして変更を確認し、ページの上部で[Provisioning(プロビジョニング )]を選択して、 Provisioning(プロビジョニング) ページに戻ります。
マッピングが完了したら、 [プロビジョニング ステータス] をオンに切り替えます。
手順6: 要件に応じて、スコープを必要なオプションのいずれかに調整します。
すべてのユーザーとグループを同期できます。
割り当てられたユーザーとグループのみを同期する。[ユーザーとグループ ]セクションで、エンタープライズアプリケーションにユーザーとグループを割り当てていることを確認します。割り当てられている人は、プロビジョニングされてCommandに反映されるようになります。
ユーザーがアプリケーションに割り当てられていることを確認します。 最初のプロビジョニングサイクルが経過した後:
[概要]に、正常にプロビジョニングされたユーザーとグループの合計数が表示されます。
Commandでは、これらのユーザーとグループに、関連するSCIM管理タグが追加されて表示されます。 同期されたユーザーとグループは、Commandで使用できるようになり、Commandプラットフォームへのアクセスを制御するための権限を割り当てることができます。
(オプション)SCIMユーザーにアクセス認証情報を追加します
Entra SCIMアプリケーションの属性を設定する
Azureポータルにログインします。
検索バーに「エンタープライズアプリケーション」と入力して、選択します。
Verkada SCIMアプリケーションを選択します。
左側のパネルで、 [管理] > [プロビジョニング]をクリックします。
[マッピング]サブメニューを展開し、 [Microsoft Entra IDユーザーのプロビジョニング]を選択します。
下部の[詳細オプションを表示] > [カスタムアプリの属性リストを編集]をクリックします。
以下の表の属性を追加します。
[保存]をクリックします。
[Microsoft Entra IDユーザーのプロビジョニング]に戻り、 [新しいマッピングを追加]を選択します。
拡張属性1~5をソース属性として使用し、カード形式、カード番号、カード番号16進数、認証情報ステータス、施設コードをターゲット属性として使用して作成した新しい属性にマッピングします。
[保存]をクリックします。
属性表
名前 | タイプ |
urn:ietf:crams:scm:schemas:extend:verkada:access:2.0:User: CardFor Mat | 文字列 |
urn:ietf:crams:scm:schemas:extend:verkada:access:2.0:ユーザー:カード番号 | 文字列 |
urn:ietf: Params: SCIM:schemas:extend: verkada:access: 2.0:User: CardNumberHex | 文字列 |
urn:ietf: Params: SCIM:schemas:extend: verkada:access:2.0:User:credentialstatus | 文字列 |
urn:ietf:params:scm:schemas:extend:verkada:access:2.0:User:facilityCode | 文字列 |
アプリの登録を編集
Entra ADで作成されたSCIM対応エンタープライズアプリケーションには、通常、独自のアプリ登録が必要です。
検索バーに「アプリの登録」と入力して選択します。
[すべてのアプリケーション]タブに切り替えて、Verkada SCIMアプリケーションの名前を検索します。
概要で、アプリ登録の アプリケーション(クライアント) IDとディレクトリ(テナント) IDをメモします。 これらは、後ほどアプリの登録からCommandアプリケーションの認証情報を設定するために必要になります。
左側のナビゲーションで[管理]をクリックします。
[証明書と秘密]では以下のように表示されます
[新しいクライアントシークレット] をクリックします
説明を「 Verkada SCIM認証情報」に設定し、証明書の有効期限を設定できます。
[作成した新しいクライアントシークレットの値] に表示されている値をコピーして保存します。 これは1回のみ表示されます
[API権限]の下:
[権限の追加] > [Microsoft Graph]をクリックします。
[アプリケーション権限]を選択し、「 User. ReadWite.All 」を検索します。
ボックスにチェックを入れて、権限を割り当てます。
[権限を追加]をクリックします。
Azure EntraとCommandアプリケーション間でやり取りされるすべてのステージ変更を手動で確認して承認する必要を回避するには、 [デフォルト ディレクターに対して管理者の同意を付与する]を選択します。
使用できるカード形式については、こちらの 認証情報リストを参照してください。
認証情報にアクセスして更新します
特定のユーザーの拡張属性と認証情報を設定するには、こちらのGraph APIの説明を使用してください: https://rearn.Microsoft.com/en-us/Graph/extenability-overview 。
注:ユーザーの認証情報をセットアップする場合は、認証情報をCommandと正常に同期させるために、 credentialstatus属性を有効に設定する必要があります。 認証情報の状態(credentialstatus)は 拡張属性4です
例:
URL: 'https://Graph.Microsoft.com/v1.0/users/ '<UserID><secure token>や -checker '権限: 署名: なし ==ヘッダー 'コンテンツの種類: アプリケーション/json' + -data '{ 「オンプレミス拡張属性」: { "extend属性1": "標準26ビットWiegand", "拡張属性2": "1111", 「拡張属性3」: 「1」、 「拡張属性4」: 「有効」、 「拡張属性5」: 「111」 } }」サポートが必要な場合はVerkadaサポートにお問い合わせください。