Cisco Meraki のSAML JIT設定方法

 項目

内容 

事前確認

  • Cisco Meraki にて事前の設定が必要です。

  • 最新の設定手順は、Cisco Meraki からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

 

メールアドレス

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

ユーザー情報にカスタム属性を追加

トラスト・ログインのメンバー情報にカスタム属性で Cisco Meraki の「ユーザー名」「SAMLの管理者役割」の情報を追加します。


【トラスト・ログイン カスタム属性 設定例】

  • カスタム属性の属性名は任意です。
  • 「SAMLの管理者役割」の属性値は後ほどCisco Meraki 側の設定するSAMLの管理者役割名です。

    00_1.png

カスタム属性の設定方法は以下のページをご参照ください。

    カスタム属性 設定方法(個別登録)

    カスタム属性 設定方法(一括登録)

 

「SAMLの管理者役割」はグループマッピングを用いた設定も可能ですが、本マニュアルではカスタム属性を利用した設定方法をご紹介します。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

  4. ダウンロードした証明書の拡張子を[.cer]に変換し、ファイルを開きます。
    04.png
    05.png

    「詳細」タブのフィールド「拇印」の値をコピーします。
    06.png

    コピーした「拇印」の値をテキストエディター等に貼り付け、2文字間隔にコロン(:)を追加した値を生成しておきます。

    07.png

 

ここで、Cisco Meraki 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでCisco Meraki ダッシュボード を開いてください。

Cisco Meraki の設定

  1. 「オーガナイゼーション」>「設定」を開きます。
    08.png

  2. 「認証」設定に移動し、「SAML SSLが有効」に切り替え、「SSO Subdomain」に任意のサブドメインを指定します。「SAML IdPの追加」をクリックします。
    09.png

  3. 下記の通り設定し、右下の「保存」ボタンで設定を保存します。
    X.509証明書のSHA1フィンガープリント 前項 手順4で生成した「拇印」の値
    SSOログインURL トラスト・ログインから取得した「IDプロバイダーURL」

    10.png

  4. 「カスタマーURL」または「Consumer URL (Vision)」のいずれかのURLを控えておきます。
    このURLは認証後にユーザーをリダイレクトさせる場所になりますので、運用方法に合わせて選択してください。
    11.png

  5. 「SP initiated SAML IdP」で設定したSAML IdPの拇印を選択して、「保存」ボタンで保存します。
    16.png

    SP-Initiated でSSOする場合、下記URLからログインが可能です。
    https://account.meraki.com/login/dashboard_login?sso=true
    [設定したSSO Subdomain].sso.meraki.com
    Meraki Vision ログインページ

  6. 「オーガナイゼーション」>「管理者」を開きます。
    12.png

  7. 「SAMLの役割を追加」ボタンで管理者役割の設定を追加します。
    役割名はカスタム属性に追加した属性値です。
    「変更内容を保存」ボタンで設定を保存します。
    13.png

 

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下の通り設定します。
    エンティティID https://[Cisco Meraki で設定したSSO Subdomain].sso.meraki.com
    ネームIDフォーマット emailAddress
    サービスへのACS URL

    Cisco Meraki から取得した「カスタマーURL」または「Consumer URL (Vision)」


    14.png

  2. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値

    ① の値

    Basic

    の値

    カスタム属性

    「ユーザー名」を設定した属性名

    の値 Basic の値 カスタム属性 「SAMLの管理者役割」を設定した属性名
    https://dashboard.meraki.com/saml/attributes/username
    https://dashboard.meraki.com/saml/attributes/role

    15.png

  3. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

 

Cisco Meraki のSAML JIT設定方法

 項目

内容 

事前確認

  • Cisco Meraki にて事前の設定が必要です。

  • 最新の設定手順は、Cisco Meraki からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

 

メールアドレス

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

事前準備

ユーザー情報にカスタム属性を追加

トラスト・ログインのメンバー情報にカスタム属性で Cisco Meraki の「ユーザー名」「SAMLの管理者役割」の情報を追加します。


【トラスト・ログイン カスタム属性 設定例】

  • カスタム属性の属性名は任意です。
  • 「SAMLの管理者役割」の属性値は後ほどCisco Meraki 側の設定するSAMLの管理者役割名です。

    00_1.png

カスタム属性の設定方法は以下のページをご参照ください。

    カスタム属性 設定方法(個別登録)

    カスタム属性 設定方法(一括登録)

 

「SAMLの管理者役割」はグループマッピングを用いた設定も可能ですが、本マニュアルではカスタム属性を利用した設定方法をご紹介します。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png

  4. ダウンロードした証明書の拡張子を[.cer]に変換し、ファイルを開きます。
    04.png
    05.png

    「詳細」タブのフィールド「拇印」の値をコピーします。
    06.png

    コピーした「拇印」の値をテキストエディター等に貼り付け、2文字間隔にコロン(:)を追加した値を生成しておきます。

    07.png

 

ここで、Cisco Meraki 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでCisco Meraki ダッシュボード を開いてください。

Cisco Meraki の設定

  1. 「オーガナイゼーション」>「設定」を開きます。
    08.png

  2. 「認証」設定に移動し、「SAML SSLが有効」に切り替え、「SSO Subdomain」に任意のサブドメインを指定します。「SAML IdPの追加」をクリックします。
    09.png

  3. 下記の通り設定し、右下の「保存」ボタンで設定を保存します。
    X.509証明書のSHA1フィンガープリント 前項 手順4で生成した「拇印」の値
    SSOログインURL トラスト・ログインから取得した「IDプロバイダーURL」

    10.png

  4. 「カスタマーURL」または「Consumer URL (Vision)」のいずれかのURLを控えておきます。
    このURLは認証後にユーザーをリダイレクトさせる場所になりますので、運用方法に合わせて選択してください。
    11.png

  5. 「SP initiated SAML IdP」で設定したSAML IdPの拇印を選択して、「保存」ボタンで保存します。
    16.png

    SP-Initiated でSSOする場合、下記URLからログインが可能です。
    https://account.meraki.com/login/dashboard_login?sso=true
    [設定したSSO Subdomain].sso.meraki.com
    Meraki Vision ログインページ

  6. 「オーガナイゼーション」>「管理者」を開きます。
    12.png

  7. 「SAMLの役割を追加」ボタンで管理者役割の設定を追加します。
    役割名はカスタム属性に追加した属性値です。
    「変更内容を保存」ボタンで設定を保存します。
    13.png

 

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」を以下の通り設定します。
    エンティティID https://[Cisco Meraki で設定したSSO Subdomain].sso.meraki.com
    ネームIDフォーマット emailAddress
    サービスへのACS URL

    Cisco Meraki から取得した「カスタマーURL」または「Consumer URL (Vision)」


    14.png

  2. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値

    ① の値

    Basic

    の値

    カスタム属性

    「ユーザー名」を設定した属性名

    の値 Basic の値 カスタム属性 「SAMLの管理者役割」を設定した属性名
    https://dashboard.meraki.com/saml/attributes/username
    https://dashboard.meraki.com/saml/attributes/role

    15.png

  3. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。