meraki管理コンソールへのログインにAzureADを利用する

meraki管理コンソールへのログインにAzureADを利用する

SAML設定シリーズ（？）
Cisco Meraki便利ですよね。管理コンソールにログインできればNW断も簡単に発生させることができてしまうのでここの管理コンソールログインにAzureADの情報を利用するようにします。

AzureADにアプリケーションを登録

1. AzureADにログインします
2. 「エンタープライズアプリケーション」をクリックします
3. 【新しいアプリケーション】をクリックします
   
4. 【ギャラリー以外のアプリケーション】をクリックします
   
5. 任意の名前を入力し（ここではMerakiとしました）、【追加】をクリックします
   
6. 「シングルサインオン」→【SAML】をクリックします。（画面はkintoneのときのスクリーンショットを使いまわしｗ）
   
7. [SAML署名証明書]にある鉛筆マークをクリックします
   
8. 【新しい証明書】をクリックします
   
9. 署名オプションから「SAMLアサーションへの署名」を選択し、署名アルゴリズムから「SHA-1」を選択し、【保存】をクリックします
   
10. 非アクティブ証明書上で右クリックし、【証明書をアクティブにする】をクリックします
    
11. 【はい】をクリックします
    
12. アクティブ証明書で右クリックし、【Base64証明書のダウンロード】をクリックします
    
13. ダウンロードした証明書ファイルを開き、「詳細」タブをクリックします
    拇印の内容をコピーします
    
14. コピーした拇印を、下記のフォーマットに編集します。
    例）12hdlo9873jdnm0984hrti2ashlfjhkto447823h　→　12:hd:lo:98:73:jd:nm:09:84:hr:ti:2a:sh:lf:jh:kt:o4:47:82:3h
15. meraki Dashboardへログインします
16. 「オーガナイゼーション」→【設定】をクリックします
    

SSOの設定

1. 「SAML設定」欄にある「SAML SSO」から「SAML SSOが有効」を選択し、【SAML IdPの追加】をクリックします
   
2. 「X.509証明書のSHA1フィンガープリント」欄に事前に編集した証明書の拇印情報を入力します。
   
3. 【変更内容を保存】をクリックします
4. AzureAD側に作成したMerakiアプリケーションに戻ります
5. 「基本的なSAML構成」横にある鉛筆マークをクリックします
   
6. 識別子欄に、https://dashboard.meraki.com/と入力します。
   応答URL欄には、meraki側に表示されている「カスタマーURL」のURLをコピーし貼り付けます。
   
7. 【保存】をクリックします

ロールの作成

Meraki側にSAML認証用ロールを作成し、AzureAD側のマニフェストと連携できるようにしていきます。

1. meraki ダッシュボードへログインします
2. 「オーガナイゼーション」→【管理者】をクリックします
   
3. SAMLの管理者役割欄にある【SAMLの役割を追加】をクリックします
   
4. 必要情報と権限を設定し、【役割を作成】をクリックします
   今回は、管理者用のAdminロールと読み取り専用のReadというふたつの役割を作成しました。
   設定は以下のようになっています。（必要に応じて権限設定を変更してください）

   役割	Admin	Read
   オーガナイゼーションにおけるアクセス	フル	読み取り専用

   

5. 一番下にある【変更内容を保存】をクリックします
   

AzureADマニフェストの編集

AzureAD側に作成したアプリケーションのマニフェストを修正し、merakiに作成したロールと一致させます

1. 事前にGUIDを２つ作成します
2. https://www.guidgenerator.com/online-guid-generator.aspx　へアクセスします
3. 「How many GUIDs do you want」を２にし、【Generate some GUIDs!】をクリックします。
   
4. 作成されたGUIDをメモ帳等に保存しておきます
5. AzureADを開き、「アプリの登録」→「すべてのアプリケーション」→　作成した【meraki】をクリックします
   
6. 【マニフェスト】をクリックします
   
7. appRoles内を編集します
   idに事前に作成したGUIDを設定します。
   valueに、meraki側で作成したロール名を指定します。（今回はAdminとRead)
   descriptionやdisplaynameもあわせておきます。

   "appRoles": [
   		{
   			"allowedMemberTypes": [
   				"User"
   			],
   			"description": "Admin",
   			"displayName": "Admin",
   			"id": "18d14569-c3bd-****-****-********",
   			"isEnabled": true,
   			"lang": null,
   			"origin": "Application",
   			"value": "Admin"
   		},
   		{
   			"allowedMemberTypes": [
   				"User"
   			],
   			"description": "Read",
   			"displayName": "Read",
   			"id": "b9632174-c057-****-****-********",
   			"isEnabled": true,
   			"lang": null,
   			"origin": "Application",
   			"value": "Read"
   		}
   	],

8. 【保存】をクリックします

クレームルールの編集

1. 「ユーザ属性とクレーム」横にある鉛筆マークをクリックします
   
2. 【新しいクレームの追加】をクリックします
   
3. 以下のように設定し【保存】をクリックします。
   

   名前	username
   名前空間	https://dashboard.meraki.com/saml/attributes
   ソース	属性
   ソース属性	user.userprincipalname

   

4. 【新しいクレームの追加】をクリックします
5. 以下のように設定し【保存】をクリックします。
   

   名前	role
   名前空間	https://dashboard.meraki.com/saml/attributes
   ソース	属性
   ソース属性	user.assignedroles

   

アプリケーションにユーザーを割り当てる

1. 作成したmerakiアプリケーションを開きます
2. 「ユーザーとグループ」→【ユーザーの追加】をクリックします
   
3. ユーザを選択、ロールを選択し【割り当て】をクリックします
   

マイポータルからアクセスを確認する

1. http://myapps.microsoft.com にアクセスします
2. 割り当てたユーザでログインします
3. アイコンからmeraki を検索しクリックします
   
4. 正常にmerakiダッシュボードにログインできることを確認します
   

せっかくなのでMerakiアイコンにしておこうと思ったのですが、公式サイトからダウンロードできないのかなぁ・・・
プロダクトイメージ内にある、「Cisco Meraki Topology Icons」の中のアイコンでも設定しておこうかな