Cisco Meraki - SAML認証

本記事では、OneLoginからCisco Merakiの管理コンソールへのSAML シングルサインオン（SSO）の設定手順をご案内します。Cisco Merakiのクラウド管理コンソールは、Merakiのネットワーク機器（MX/MR/MS等）をご利用のお客様のほか、Meraki System Manager（MDM）をご利用のお客様でもご利用頂くことが可能です。

目次

前提条件

注意事項

SAML連携の設定

1. OneLogin側の設定（前半）

2. Cisco Meraki側の設定（前半）

3. OneLogin側の設定（後半）

Rolesの設定

1. Usersから割り当て

2. Rulesによる割り当て

SAML SSOの無効化

補足

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Merakiの 組織管理権限（オーガナイゼーションにおけるアクセス: フル） をお持ちであること
  

注意事項

Cisco Meraki のシングルサインオン仕様により、2つの注意事項がございます。

1. シングルサインオンと既存のユーザーは統合出来ない
2. シングルサインオンユーザーではAPI Keyが発行出来ない

1. シングルサインオンと既存のユーザーは統合出来ない

IdPからシングルサインオンしてログインするユーザーのメールアドレスは、既にMerakiに存在するメールアドレスと重複登録することができません。シングルサインオンでは現在ご利用のものとは異なるメールアドレスを新たに指定頂く必要がございます。また、そのためアカウントとしても既存のものとシングルサインオン用のものの2つとなります。

（例） hanako.tokyo@pentio.com というアドレスでMerakiをご利用だったユーザーは、このメールアドレスを利用してOneLoginからMerakiへシングルサインオンすることができないため、例えば

• hanako.tokyo@m.pentio.com
• h-tokyo@pentio.com
• hanako.tokyo+meraki@pentio.com ※1

のように何かしらの手法で別のメールアドレスをご登録頂く必要がございます。

※1 Google Workspace を企業向けメールサービスとしてご利用のお客様であれば、管理者やエンドユーザーによる特別なエイリアス設定を行わなくても、本来のメールアドレスの@直前に +{任意の値} を指定することで、既存のメールボックスで受信可能なエイリアスが指定頂けます。

2. シングルサインオンユーザーではAPI Keyが発行出来ない

Merakiにシングルサインオンユーザーとしてログインした場合は、適切な権限を有していてもAPI Keyを発行することが出来ません。API Keyの発行が必要な際は、必ず通常のID・パスワードでログインする旧来の管理者アカウントをご利用ください。なお、シングルサインオン連携後も通常のID・パスワードでログインする管理者アカウントの発行、招待は可能です。

詳しくはCisco Merakiのドキュメントを御覧ください

SAML連携の設定

1. OneLogin側の設定（前半）

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4.  Meraki と検索し、該当コネクタを選択します
   
   
    
5. Connector Version で SAML2.0 が選択されていることを確認し、［Save］をクリックします
   
   
    
6. SSO タブに移動し、View Details をクリックします
   
   
    
7. Fingerprint をクリップボードへコピーします
   MerakiがSHA256をサポートしていないため、SHA fingerprintはデフォルトのSHA1をお使いください
   
   
    
8. [Certificates]をクリックします
   

2. Cisco Meraki側の設定

1. Merakiにオーガナイゼーションにおけるアクセス: フル な既存ユーザーでログインします
   
   
    
2. オーガナイゼーションタブ > ［設定］をクリックします
   
   
    
3.  SAML SSO の SAML SSOが無効 を SAML SSOが有効 に変更します
   
   
    
4. SAML SSOが有効 に切り替わったことを確認し、［SAML IdPの追加］をクリックします
   
   
    
5. X.509証明書のSHAフィンガープリント に手順9でコピーしたSHA fingerprintのFingerprintを貼り付け、［保存］します
   ＊SLOのご利用を希望されるお客様は、OneLoginのSSO > SLO Endpoint(HTTP)をMerakiのSLOのログアウトURLに貼り付けてください
   
   
    
6. カスタマーURL をクリップボードへコピーします
   
   
    
7. Merakiでは役割を判定要素として認証するので設定します
   Merakiの役割は OneLoginのRoleで指定することが可能です。設定手順に関しては下記セクションをご覧ください
   Rolesの設定
   オーガナイゼーションタブ > 管理者を開きます
   
   
    
8. SAMLの管理者役割の［SAMLの役割を追加］をクリックします
   
   
    
9. 役割: に手順8で割り当てたロール名を記入します（例：System Admin）
   オーガナイゼーションにおけるアクセス: を選択します
   ［アクセス権限の追加］をクリックします
   
   
    
10. アクセス権限のターゲットとアクセスを設定します
    ［役割を作成］をクリックします
    
    
     
11. ［変更内容を保存］をクリックします
    
    
     
12. 画面上部に 「変更が保存されました。」 が表示され、役割が追加されたことを確認します
    

3. OneLogin側の設定（後半）

1. Configuration タブに移動し、SAML Consumer URL へコピーしたカスタマーURL を貼り付け後、［Save］をクリックします
   

SAML連携の設定は以上です。

Rolesの設定

Cisco MerakiはSSOする際に、メールアドレス と Merakiで設定した役割 を識別子としてログインを行います。そのためユーザーへRoleを割り当てる必要があります。Roleの割り当て方法は以下の二種類です。

1. Usersから割り当て: 割り当ての対象が少人数の場合
2. Rulesによる割り当て: 割り当ての対象が複数人の場合

1. Usersから割り当て

1. アプリコネクタの設定画面から Usersタブ  をクリックします
   
   
    
2. Rolesを設定したいユーザーを選択します
   
   
    
3. Roles に2. Cisco Meraki側の設定の手順9で作成した役割の名前を記入します
   例）System Admin
   
   
    
4. 入力が完了したら［Save］をクリックします
   
   
    
5. ［Save］をクリックします
   
    

2. Rulesによる割り当て

1. アプリコネクタの設定画面から Rulesタブ  をクリックします
   
   
    
2. ［Add Rule］をクリックします
   
   
    
3. Ruleの名前を入力します
   例）管理者 => SystemAdmin
   
   
    
4. Conditions へRoles includes [割り当てたいRole] と設定します
   ConditionsとはRuleをどのユーザーに割り当てるのかをRoleやEmailを用いて指定する項目です
   例）Admin というRoleのユーザーに割り当てる場合 → Roles include Admin と設定
   
   
   複数のRoleで割り当てたい場合はConditionsの［➕］アイコンをクリックすると設定可能です
   
   
    
5. Actions を設定します
   ActionsとはRuleを適用させるユーザーをどのよう処理をするかを設定する項目です
   例）Cisco Meraki上のSystemAdminというRoleをユーザーに割り当てる場合
   [Set role in Meraki]  　☑️ Map From OneLogin
   Set Role to［- Macro -］「SystemAdmin」
   
   
    
6. 設定が完了したら［Save］をクリックします
   
   
    
7. ［Save］をクリックします
   

SAML SSOの無効化

1. Merakiにオーガナイゼーションにおけるアクセス: フル な既存ユーザーでログインします
   オーガナイゼーション > 設定をクリックします
   
   
    
2. 認証 > SAML SSOの SAML SSOが有効 を SAML SSOが無効 に変更します
   
   
    
3. SAML SSOが有効 に切り替わったことを確認し、［変更内容を保存］をクリックします
   
   
    
4. 設定は保存されました。 のポップアップが表示され、SAML SSOが無効 を確認します
   
   
    
5. Merakiのコネクターが割り当てられているアカウントでMerakiにSSOを試みます
   
   
    
6. 下画像のようなエラーがでれば、SAML連携の解除は完了です
   

補足

Cisco Meraki の仕様により直接ID・パスワードを利用してログインする従来からのアカウントをシングルサインオンでも継続利用することは出来ませんが、Google Workspaceをご利用のお客様に関しては特別なエイリアス設定をGoogle側で行わなくてもエイリアスアドレスを作成可能であるため、こちらについて補足としてご案内いたします。

なお、この場合でもMerakiにはアカウント自体は既存のものに加えてエイリアスのものが2つ目として作成されます。また他のエイリアスアドレス指定方法とMeraki側で有意な差はございません。あくまでエイリアスアドレスを各ユーザーごと作成する手間を省く目的となりますので予めご理解のほどよろしくお願い致します。

1. Parametersタブ >  Username を選択します
   
   
    
2. Edit Field Username > Value を -Macro- に変更します
   
   
    
3. 変更が完了したら［Save］をクリックして保存します
   
   
    
4. 次に Usersタブ > Userで、SAML連携以前からMerakiに存在するユーザーのアカウントを選択します
   
   
    
5. Edit Meraki login for {ユーザー名} > Username に下記の2種類どちらかのメールアドレスを記入し［Save］します
   ・admin+meraki@onelogin.jp（元メールアドレス：admin@onelogin.jpの＠の前に+を先頭として文字列を入れます）
   
   
    
6. メールアドレスを変更したユーザーでOneLoginにログインし、MerakiにSSOでログインします
   
   
    
7. ログインができ、右上のユーザー名が変更されていることを確認できれば完了です