meraki管理コンソールへのログインにAzureADを利用する

meraki管理コンソールへのログインにAzureADを利用する

meraki管理コンソールへのログインにAzureADを利用する

SAML設定シリーズ(?)
Cisco Meraki便利ですよね。管理コンソールにログインできればNW断も簡単に発生させることができてしまうのでここの管理コンソールログインにAzureADの情報を利用するようにします。

AzureADにアプリケーションを登録

  1. AzureADにログインします
  2. 「エンタープライズアプリケーション」をクリックします
  3. 【新しいアプリケーション】をクリックします
  4. 【ギャラリー以外のアプリケーション】をクリックします
  5. 任意の名前を入力し(ここではMerakiとしました)、【追加】をクリックします
  6. 「シングルサインオン」→【SAML】をクリックします。(画面はkintoneのときのスクリーンショットを使いまわしw)
  7. [SAML署名証明書]にある鉛筆マークをクリックします
  8. 【新しい証明書】をクリックします
  9. 署名オプションから「SAMLアサーションへの署名」を選択し、署名アルゴリズムから「SHA-1」を選択し、【保存】をクリックします
  10. 非アクティブ証明書上で右クリックし、【証明書をアクティブにする】をクリックします
  11. 【はい】をクリックします
  12. アクティブ証明書で右クリックし、【Base64証明書のダウンロード】をクリックします
  13. ダウンロードした証明書ファイルを開き、「詳細」タブをクリックします
    拇印の内容をコピーします
  14. コピーした拇印を、下記のフォーマットに編集します。
    例)12hdlo9873jdnm0984hrti2ashlfjhkto447823h → 12:hd:lo:98:73:jd:nm:09:84:hr:ti:2a:sh:lf:jh:kt:o4:47:82:3h
  15. meraki Dashboardへログインします
  16. 「オーガナイゼーション」→【設定】をクリックします

SSOの設定

  1. 「SAML設定」欄にある「SAML SSO」から「SAML SSOが有効」を選択し、【SAML IdPの追加】をクリックします
  2. 「X.509証明書のSHA1フィンガープリント」欄に事前に編集した証明書の拇印情報を入力します。
  3. 【変更内容を保存】をクリックします
  4. AzureAD側に作成したMerakiアプリケーションに戻ります
  5. 「基本的なSAML構成」横にある鉛筆マークをクリックします
  6. 識別子欄に、https://dashboard.meraki.com/と入力します。
    応答URL欄には、meraki側に表示されている「カスタマーURL」のURLをコピーし貼り付けます。
  7. 【保存】をクリックします

 

ロールの作成

Meraki側にSAML認証用ロールを作成し、AzureAD側のマニフェストと連携できるようにしていきます。

  1. meraki ダッシュボードへログインします
  2. 「オーガナイゼーション」→【管理者】をクリックします
  3. SAMLの管理者役割欄にある【SAMLの役割を追加】をクリックします
  4. 必要情報と権限を設定し、【役割を作成】をクリックします
    今回は、管理者用のAdminロールと読み取り専用のReadというふたつの役割を作成しました。
    設定は以下のようになっています。(必要に応じて権限設定を変更してください)

    役割 Admin Read
    オーガナイゼーションにおけるアクセス フル 読み取り専用

  5. 一番下にある【変更内容を保存】をクリックします

AzureADマニフェストの編集

AzureAD側に作成したアプリケーションのマニフェストを修正し、merakiに作成したロールと一致させます

  1. 事前にGUIDを2つ作成します
  2. https://www.guidgenerator.com/online-guid-generator.aspx へアクセスします
  3. 「How many GUIDs do you want」を2にし、【Generate some GUIDs!】をクリックします。
  4. 作成されたGUIDをメモ帳等に保存しておきます
  5. AzureADを開き、「アプリの登録」→「すべてのアプリケーション」→ 作成した【meraki】をクリックします
  6. 【マニフェスト】をクリックします
  7. appRoles内を編集します
    idに事前に作成したGUIDを設定します。
    valueに、meraki側で作成したロール名を指定します。(今回はAdminとRead)
    descriptionやdisplaynameもあわせておきます。

    "appRoles": [
    		{
    			"allowedMemberTypes": [
    				"User"
    			],
    			"description": "Admin",
    			"displayName": "Admin",
    			"id": "18d14569-c3bd-****-****-********",
    			"isEnabled": true,
    			"lang": null,
    			"origin": "Application",
    			"value": "Admin"
    		},
    		{
    			"allowedMemberTypes": [
    				"User"
    			],
    			"description": "Read",
    			"displayName": "Read",
    			"id": "b9632174-c057-****-****-********",
    			"isEnabled": true,
    			"lang": null,
    			"origin": "Application",
    			"value": "Read"
    		}
    	],
  8. 【保存】をクリックします

クレームルールの編集

  1. 「ユーザ属性とクレーム」横にある鉛筆マークをクリックします
  2. 【新しいクレームの追加】をクリックします
  3. 以下のように設定し【保存】をクリックします。
    名前 username
    名前空間 https://dashboard.meraki.com/saml/attributes
    ソース 属性
    ソース属性 user.userprincipalname

  4. 【新しいクレームの追加】をクリックします
  5. 以下のように設定し【保存】をクリックします。
    名前 role
    名前空間 https://dashboard.meraki.com/saml/attributes
    ソース 属性
    ソース属性 user.assignedroles

アプリケーションにユーザーを割り当てる

  1. 作成したmerakiアプリケーションを開きます
  2. 「ユーザーとグループ」→【ユーザーの追加】をクリックします
  3. ユーザを選択、ロールを選択し【割り当て】をクリックします

マイポータルからアクセスを確認する

  1. http://myapps.microsoft.com にアクセスします
  2. 割り当てたユーザでログインします
  3. アイコンからmeraki を検索しクリックします
  4. 正常にmerakiダッシュボードにログインできることを確認します

 

せっかくなのでMerakiアイコンにしておこうと思ったのですが、公式サイトからダウンロードできないのかなぁ・・・
プロダクトイメージ内にある、「Cisco Meraki Topology Icons」の中のアイコンでも設定しておこうかな

 

Azure Active Directoryカテゴリの最新記事


Warning: Use of undefined constant XML - assumed 'XML' (this will throw an Error in a future version of PHP) in /home/add-smart/intracker.net/public_html/blog/wp-content/plugins/wp-syntaxhighlighter/wp-syntaxhighlighter.php on line 1048