Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

ダッシュボードの SAML シングル サインオンを設定

Cisco Meraki ダッシュボードでは、ユーザの外部認証と SSO(シングル サインオン)の手段を提供するために、SAML(セキュリティ アサーション マークアップ言語)を使用できます。この記事では、SAML がダッシュボードでどのように機能するかの概要を示し、ダッシュボードでの設定手順、および外部プラットフォームで SAML を設定するために必要な情報を提供します。  

注:SAML 統合は現在ベータ版で提供されており、積極的に開発されています。そのため、フィールドやこの記事で参照される情報は変更される可能性があります。

SAML の概要

SAML には 3 つの主な要素があります。

  • ユーザ:サービス プロバイダー(ダッシュボード)へのログインを試行するクライアント。
  • ID プロバイダー(IdP):ユーザの ID の管理者。ユーザのユーザ名、パスワード、およびグループ/属性(存在する場合)を把握します。通常、ユーザがログインするポータルになります。
  • サービス プロバイダー(SP):ユーザが使用するアプリケーション。この場合はダッシュボードになります。

SAML をダッシュボードで使用するユーザは、IdP で最初に認証される必要があります。これを「IdP-initiated SAML」と呼びます。 ユーザが正常に認証され、ダッシュボードにダイレクトされると、有効なロールが割り当てられます。IdP が正しく構成されている場合、ユーザにアクセスが付与されます。 

注:現時点では IdP-initiated SAML のみサポートされています。

9804f58c-e175-4234-ba25-e68b171846a4

 

ダッシュボードの設定

ダッシュボードで SAML SSO を設定するのに必要な手順は 2 つです。

  • 組織の SAML SSO の有効化
  • ダッシュボードにおける SAML ロールの作成

組織の SAML SSO の有効化

  1. [オーガナイゼーション(Organization)] > [設定(Settings)] ページの [SAML設定(SAML Configuration)] セクションに移動します。
    注:このセクションが表示されない場合は、Cisco Meraki サポートでケースを開き、表示されるようにしてください。
  2. [SAML SSO] を [SAML SSO有効(SAML SSO enabled)] に変更します。
    Screen Shot 2020-03-27 at 10.13.38 AM.png
     
  3. [X.509 証明書 SHA1 フィンガープリント(X.509 cert SHA1 fingerprint)] にコロン(:)で区切られた 20 組の 16 進数文字を指定します。これは、IdP の X.509 証明書から指定します。
    1. Windows で .crt ファイルを開く場合は、[詳細(Details)] > [サムプリント(Thumbprint)] に移動し、フィンガープリントを表示します。これをコピーして、コロンをスペースに置き換えます。
      Windows:
      3805feff-e2e1-4fdc-b2ca-251c0a513c88

      ダッシュボード:

       
  4. (オプション)[SLO ログアウト URL(SLO logout URL)] を指定します。これは、ユーザがダッシュボードからログアウトした際にダイレクトされる宛先です。
    • 通常、これは IdP 上の URL になり、IdP や他のサービスからユーザをログアウトさせる URL です。
    • また、ダッシュボードからログアウトした後に、ホームページやその他のポータルにユーザをダイレクトすることもできます。
  5. [変更を保存(Save Changes)] をクリックします。

ダッシュボードにおける SAML ロールの作成

[オーガナイゼーション(Organization)] > [管理者(Administrators)] ページに [SAML管理者ロール(SAML administrator roles)] セクションが設けられました。このセクションは、ダッシュボードのユーザ グループにアクセス許可を割り当てるために使用します。SAML ユーザがログインすると、IdP が提供する SAML トークンに含まる「ロール」属性に割り当てられたアクセス許可がすべて付与されます。

 

新しいロールを作成するには、[SAMLロールの追加(Add SAML role)] をクリックします。これらのロールへのアクセス許可の割り当ては、通常のユーザへの割り当てと同じです。ロールにアクセス許可を割り当てるには、管理者の管理に関する記事の手順に従います。完了したら、[管理者の作成(Create admin)] をクリックしてから [変更を保存(Save changes)] をクリックします。

 

ID プロバイダーの設定

IdP の設定手順はベンダーによって異なります。詳細については、IdP ベンダー固有のドキュメントを参照してください。
次の記事は、2 つの一般的な IdP の設定手順の概要を示しています。

IdP 属性の情報

ほとんどの IdP では、特定の属性が必須です。以下に、これらの属性の概要と、ダッシュボードでそれらの情報を確認できる場所を示します。

  • エンティティ ID
    ダッシュボード SSO の場合、https://dashboard.meraki.com です。
  • Assertion Consumer Service(ACS)の URL
    これは、[オーガナイゼーション(Organization)] > [設定(Settings)] ページの [SAML設定(SAML Configuration)] でコンシューマ URL として提供されます。この URL は、組織ごとに一意です。
  • ユーザ名属性
    ユーザ名属性は、SAML トークン/アサーションで渡す必要があります。これには、ダッシュボードでユーザを識別する名前を指定します。この属性を電子メール アドレスにマッピングすることを強くお勧めします。
    注:この属性を既存のダッシュボード管理者の電子メール アドレスと同じにすることはできません。
  • ロール属性
    ロール属性は、SAML トークン/アサーションで渡す必要があります。この属性は、[オーガナイゼーション(Organization)] > [管理者(Administrators)] ページで定義したロールと一致する必要があります。

その他の IdP 情報

以下の補足事項は、IdP の互換性と機能に関するものです。

  • 制限付きシングル ログアウト(SLO)を利用できます。ダッシュボードでは、SLO URL を使用して、ダッシュボードからログアウトしたユーザをリダイレクトします。サポートされている場合、この URL を使用して IdP と SLO をリンクできますが、ダッシュボードは IdP からの SAML LogoutRequest 受信をサポートしていません。
  • SAML 2.0 のみサポートされます。
  • ダッシュボードは IdP-Init のみサポートします。まずユーザは IdP で認証してから、有効なトークンを使用してダッシュボードに渡す必要があります。
  • IdP プラットフォームに他のフィールドが存在する場合もありますが、ほとんどのケースではブランクかデフォルト設定のままにできます。ダッシュボードの互換性に関しては、上記の情報だけが重要になります。

MSP 向け SAML SSO

SAML では、複数の組織での使用をサポートしています。従来のログインと同様、該当する組織にわたり、そのユーザが同一であることを判別する必要があります。したがって、これを実行するには、指定の組織にわたって次の情報が一致している必要があります。

  • 組織の X.509 証明書フィンガープリント
  • SAML 管理者ロール(トークンで使用できるロール属性は 1 つだけです)
    • 付与するアクセス許可は組織ごとに変えることもできますが、ロール名は一致している必要があります。

これを実行すると、ユーザは MSP ポータルにダイレクトされ、各組織で必要なアクセス許可を受け取ります。どの MSP 組織のコンシューマ URL でもすべて MSP ポータルにユーザをダイレクトするため、どのコンシューマ URL を使用してもかまいません。

注:SAML ユーザにどの組織へのアクセス権を付与するかを変更する場合、IdP とダッシュボードの両方からログアウトし、完全にブラウザを閉じる必要があります。 


トラブルシューティング

SAML SSO を使用してログインしようとするとエラーが表示される場合、従来の管理者としてログインし、SAML のログイン履歴を確認します。これは [オーガナイゼーション(Organization)] > [管理者(Administrators)] ページの [SAML管理者ロール(SAML administrator roles)] の見出しのすぐ下にあります。この履歴には、SAML ログインの試行履歴、発生したエラー、およびアサーションで提供されたユーザ名/ロールが含まれています。 

以下の例では、あるユーザが最初に ID プロバイダーを介さずにログインしようとしましたが、2 回目にはロールとユーザ名を用いて正しく認証されました。

 

表示される可能性のあるエラー メッセージの解決方法については、記事「SAML Login History Error Messages(SAML ログイン履歴エラー メッセージ)」[英語] を参照してください。

SAML SSO のサポートへの問い合わせ

SAML ロールを持つ管理者に、組織のフル アクセスまたは制限付きアクセスを付与するように設定できます。概要については、「Managing Dashboard Administrators(ダッシュボード管理者の管理)」[英語] のドキュメントを参照してください。従来の管理者に対しても行われていたように、Cisco Meraki サポートが SAML 管理者のサポート パスコードを確認する必要がある場合があります。

注:SAML クレデンシャルを使用してケースを開く場合、サポートから連絡可能な電子メール アドレスを含めてください。連絡先が含まれていないと、迅速な対応が難しくなる可能性があります。

SAML ロールを持つ管理者に対して、組織に対するフル権限を付与した場合、その管理者から他の管理者を調整したり、削除したりできるようになります。SAML 以外のダッシュボード組織管理者が少なくとも 1 人はそのアカウントで残されている必要があります。つまり、SAML 管理者は最後のダッシュボード組織管理者を削除する、または降格させることはできません。