シングルサインオン (SAML SSO) の設定
このドキュメントは原文を 2025年08月19日付けで翻訳したものです。
最新の情報は原文をご確認ください。
SAML(Security Assertion Markup Language)は、Cisco Meraki ダッシュボードと連携して、ユーザーの外部認証および SSO(シングルサインオン)を提供できます。本記事では、SAML がダッシュボードでどのように動作するかの概要、ダッシュボードでの設定方法、外部プラットフォームと連携するために必要な情報について説明します。
Meraki Learning Hub の無料オンライン研修コースでさらに学びましょう:
SAML の概要
SAML を使用する場合、3 つの主要要素があります:
- ユーザー - サービスプロバイダー(ダッシュボード)へのログインを試みるクライアント。
- アイデンティティプロバイダー(IdP) - ユーザーの ID を管理する機関。ユーザー名やパスワード、所属グループや属性を把握しています。通常、ユーザーがログインするポータルです。
- サービスプロバイダー(SP) - ユーザーが利用したいアプリケーション。本例ではダッシュボードです。
ダッシュボードで SAML を利用する場合、ユーザーはまず IdP で認証を受けます。これを IdP 開始型 SAML (IdP Initiated SAML) と呼びます。ユーザーが正常に認証されてダッシュボードにリダイレクトされると、有効なロールが付与され、IdP の設定が正しければアクセスが許可されます。
SAML ログイン方法
Meraki では 2 種類の SAML ログイン方法を提供しています。IdP 開始型 SAML と SP 開始型 SAML (SP initiated SAML) です。どちらの方法が組織に最適かは、管理者が希望するユーザーエクスペリエンスや、組織の IdP 標準によって異なります。
両方のログイン方法は同時に利用可能 であり、排他的ではありません。
ただし、SP 開始型 SAML(モバイルアプリの SSO には必須)を利用する場合、追加設定が必要です。詳細は SP 開始型 SAML/SSO 構成ガイド をご参照ください。
IdP 開始型 SAML
IdP 開始型 SAML は、ユーザーがアプリやサービスに認証するために普段利用しているログインポータルがある場合に最適です。
この記事の以降のセクションでは、IdP 開始型 SAML を含め、すべての SAML タイプで必要となる基本設定について説明します。
IdP 開始型 SAML のユーザーフロー
- ログインポータルから開始(例:Okta、Duo、ADFS、OneLogin など)
- アクセスしたいサービスを選択(例:Meraki ダッシュボード)
- Meraki ダッシュボードにリダイレクト
SP 開始型 SAML
SP 開始型 SAML は、ログイン/認証ポータルが存在しない場合や、ユーザーに Meraki ダッシュボードからログインを開始させたい場合、または Meraki モバイルアプリで SSO を利用したい場合に最適です。
この記事の以降のセクションでは、すべての SAML タイプで必要となる基本設定について説明します。SP 開始型 SAML は IdP 開始型 SAML と完全な互換性があり、両方同時に利用可能です。ただし、SP 開始型 SAML(モバイルアプリの SSO には必須)を利用する場合は追加設定が必要であり、詳細は SP 開始型 SAML/SSO 構成ガイド をご参照ください。
SP 開始型 SAML のユーザーフロー
- ダッシュボード/モバイルアプリから開始
- ログインドメインを指定
- IdP へリダイレクト(例:Okta、Duo、ADFS、OneLogin など)
- Meraki ダッシュボードにリダイレクト
ダッシュボードでの設定
ダッシュボードで SAML SSO を設定するには、以下の 2 ステップが必要です:
- ダッシュボードで SAML SSO を有効化
- ダッシュボードで SAML ロールを作成
ダッシュボードで SAML SSO を有効化
- オーガナイゼーション> 設定 ページで、認証 セクションに移動します。
注: このセクションが表示されない場合は、Cisco Meraki サポートにお問い合わせのうえ、機能の有効化をご依頼ください。
- SAML SSO を「SAML SSO 有効」に変更します。
- X.509 証明書の SHA1 フィンガープリントを入力します。これはコロン(:)で区切られた 20 組の 16 進数文字列となります。IdP の X.509 証明書から取得します。
- Windows で .crt ファイルを開いた場合、詳細 > サムプリント でフィンガープリントを確認できます。これをコピーし、スペースをコロンに置き換えてください。
Windows:
ダッシュボード:
- Windows で .crt ファイルを開いた場合、詳細 > サムプリント でフィンガープリントを確認できます。これをコピーし、スペースをコロンに置き換えてください。
- (任意)SLO ログアウト URLを入力します。ダッシュボードからログアウト時にユーザーがリダイレクトされる URL です。
- 一般的には、IdP 側でユーザーをログアウトさせる URL や、その他のサービスのログアウト先となります。
- また、ダッシュボードからログアウト後にホームページや他のポータルへリダイレクトすることも可能です。
- 変更を保存をクリックします。
ご注意:フィンガープリントが証明書に一致し、X.509 SHA1 フィンガープリントであれば、証明書自体は SHA1 でも SHA256 でも問題ありません。
ダッシュボードで SAML ロールを作成
オーガナイゼーション > 管理者 ページに SAML 管理者ロール セクションが追加されます。このセクションで、ダッシュボード上のユーザーグループに権限を割り当てます。SAML ユーザーがログインすると、IdP から提供される SAML トークン内の 'role' 属性に割り当てられた権限が付与されます。
新しいロールを作成するには、SAML ロールを追加 をクリックします。これらのロールへの権限付与は通常のユーザーと同じ方法で行います。ロールへの権限割当については、管理者の管理に関する記事をご参照ください。作成が完了したら、管理者を作成 および 変更を保存 をクリックします。
ロール名にセミコロン(;)を使用しないでください。 SAML アサーションではセミコロンがリスト形式の属性区切り文字として使用されます。例:「role」属性が "RoleA;RoleB;RoleC" の場合、Meraki ダッシュボードのバックエンドは先頭のロール(この例では 'RoleA')から順にマッチングを試みます。したがって、ロール名にセミコロンを含めても一致することはありません。
SAML アサーションに失敗する場合、定義したロール名のスペルミスや先頭の空白文字がないかご確認ください。これが最も多い原因です。
既存の非SAML Meraki管理者アカウントをSAMLアカウントに変換するには、ダッシュボードからその管理者アカウントを削除し、使用しているSAMLプラットフォームを通じてSAMLアカウントとして再登録する必要があります。
アイデンティティプロバイダー(IdP)の構成
IdP の構成手順はベンダーによって異なりますので、詳細はご利用の IdP ベンダーのドキュメントをご参照ください。
以下の記事では、代表的な 3 つの IdP の構成手順を紹介しています:
IdP 属性情報
多くの IdP で必要となる属性があります。以下はこれらの属性と、ダッシュボードでの確認箇所です:
Entity ID
IdP開始型ダッシュボード SSO の場合、この値は https://dashboard.meraki.com です。
SP開始型 SSO の場合、SP SAML 機能が有効な各 Meraki ダッシュボード組織ごとに動的な発行者/Entity IDが使用されます。例:設定したサブドメインが「example」の場合、IdP に設定する一意の発行者/Entity IDは「https://example.sso.meraki.com」です。SP開始型 SAML の詳細は、「固有サブドメインの定義」をご参照ください。
Assertion Consumer Service(ACS)URL
これは オーガナイゼーション > 設定 ページの SAML 設定内「Consumer URL」として提供されます。組織ごとに固有の値となります。2 つの URL が表示され、1 つ目は Meraki ダッシュボード用、2 つ目(「Consumer URL (Vision)」)はカメラ閲覧用の Meraki Vision ポータル向けです。Meraki Vision ポータルへユーザーをリダイレクトしたい場合はこの部分のみ変更してください。Meraki Vision についての詳細はこちらをご覧ください。
ユーザー名属性
SAML トークン/アサーション内にユーザー名属性を必ず含めてください。具体的には「https://dashboard.meraki.com/saml/attributes/username」です。この値がダッシュボード上で識別されるユーザー名となります。一般的にはメールアドレスをマッピングすることを推奨します。
この属性は、既存のダッシュボード管理者または Meraki 認証ユーザーのメールアドレス(いずれかのダッシュボード組織で設定されている)と一致してはなりません。
メールアドレスの末尾に「/SSO」など任意の文字列を付加することで、SAMLユーザーのユーザー名が既存のダッシュボード管理者や Meraki 認証アカウントと競合しないように設定できます。
ロール属性
SAML トークン/アサーション内にロール属性も必須です。具体的には「https://dashboard.meraki.com/saml/attributes/role」です。この値は オーガナイゼーション > 管理者 ページで定義されているロールのいずれかと一致している必要があります。
注: ダッシュボードが受け付けるロール属性は 1 つのみです。複数のロールやグループ属性が指定された場合、最初に一致した属性が使用されます。「MemberOf」と「role」属性の両方が指定されている場合は「MemberOf」が優先されます。
その他 IdP 情報
IdP の互換性・機能に関する追加情報:
- 制限付きシングルログアウト(SLO)機能に対応しています。ダッシュボードは SLO URL を使用してダッシュボードからログアウト後にユーザーをリダイレクトします。IdP 側で SLO に対応していれば連携可能ですが、ダッシュボード側は IdP からの SAML LogoutRequest 受付には対応していません。
- SAML 2.0 のみサポートしています。
- IdP プラットフォームには他にも様々な項目がありますが、多くの場合、上記以外は空欄またはデフォルト設定で問題ありません。ダッシュボード互換性に必須なのは上記の情報のみです。
MSP 向け SAML SSO
SAML では複数組織の利用をサポートしています。従来のログインと同様、該当組織間で同一ユーザーであることを識別する必要があります。そのため、以下の内容が対象組織間で同じである必要があります:
- 組織の X.509 証明書フィンガープリント(大文字・小文字を区別)
- SAML 管理者ロール(トークンで利用できるロール属性は 1 つのみ)
- 各組織で付与される権限は異なっても、ロール名は同一である必要があります
これらが満たされると、ユーザーは MSP ポータルにリダイレクトされ、各組織で必要な権限が付与されます。MSP 組織のいずれかの Consumer URL を利用できます。いずれも MSP ポータルにリダイレクトされます。
注:SAML ユーザーの組織アクセス権を変更した場合、IdP およびダッシュボードからログアウトし、ブラウザを完全に閉じる必要がある場合があります。
トラブルシューティング
SAML SSO でログイン時にエラーが表示される場合は、従来型管理者としてログインし、SAML ログイン履歴を確認してください。これは オーガナイゼーション > 管理者 ページの SAML 管理者ロール セクション直下にあります。ここでは SAML ログイン試行の履歴、発生したエラー、アサーションで指定されたユーザー名やロールなどを確認できます。
発生しうるエラーメッセージの対処法については、SAML ログイン履歴エラーメッセージの記事をご参照ください。
SAML SSO でのメールやアラートの受信
SAML ユーザーフィールドに任意の値を指定できるため、SAML SSO でログインした管理者は Meraki からメールやアラートを受信できません。これは管理者に有効なメールアドレスが設定されている保証がないためです。設定済みメールアラートやライセンス警告メールなど、すべてのメールが対象です。組織の大半の管理者が SAML SSO 経由でログインし、Meraki からのメールやアラートの受信が必要な場合は、これらのメールを受信できる非 SAML SSO 管理者を組織に作成することを推奨します。
SAML SSO でのサポートへのお問い合わせ
SAML ロールを持つ管理者は、管理者の管理ドキュメントの通り、組織の全権限または制限付きアクセスを設定できます。なお、Cisco Meraki サポートでは、従来型管理者と同様に サポートパスコードの確認が必要となる場合があります。
注: SAML 資格情報でケースをオープンする際は、サポートが連絡可能なメールアドレスを必ず記載してください。記載がない場合、サポートからの回答が遅れる可能性があります。
SAML ロールの管理者が組織の全権限を持っている場合、他の管理者の編集や削除が可能です。ただし、少なくとも 1 人の非 SAML ダッシュボード組織管理者がアカウントに残っている必要があり、SAML 管理者は最後のダッシュボード組織管理者を削除または降格できません。