SP開始型 SAML SSO 設定ガイド
このドキュメントは原文を 2025年08月19日付けで翻訳したものです。
最新の情報は原文をご確認ください。
SP開始型SAML/SSO
Meraki は主に 2 種類の SAML ログイン方法として IdP開始型SAML と SP開始型SAML を提供しています。どちらのログイン方法が組織に最適かは、管理者が希望するユーザーエクスペリエンスや、企業の IdP 標準によって異なります。
両方のログイン方法は同時に利用可能 であり、排他的ではありません。
どちらのログイン方法でも、SAML ログインをサービスとして有効化・構成するための基本的な操作が必要です。これらの構成については、「ダッシュボード用SAMLシングルサインオンの構成」の記事で説明しています。
本記事では、SP開始型SAML SSO認証の構成方法について説明します。これは一般的な SAML ログイン サービスに加え、追加の設定が必要です。これにより、ユーザーはダッシュボード、Meraki モバイルアプリ、または Meraki Vision ポータル から直接ログインフローを開始できるようになります。
注: 本ガイドは SAML の SP 開始部分の構成に特化しており、既存の SAML 構成が必要です。SAML の構成方法については、「ダッシュボード用SAMLシングルサインオンの構成」の記事をご参照ください。
注: SP開始型SAMLで利用できるドメインは meraki.com ドメインのみです。meraki.cn、meraki.ca、meraki.in、gov-meraki.com など他のドメインは現在 SP 開始型 SAML フローに対応していません。
既存の非SAML Meraki管理者アカウントをSAMLアカウントに切り替えるには、ダッシュボードからその管理者アカウントを削除し、使用しているSAMLプラットフォーム経由でSAMLアカウントとして再追加する必要があります。
ユーザー名属性は、既存のダッシュボード管理者または Meraki 認証ユーザーとしてダッシュボード組織に設定されたメールアドレスと一致してはなりません。
SAMLロールの作成方法の詳細は こちら をご覧ください。
構成
Meraki では SP 開始型 SAML の実装としてサブドメインベースを採用しています。これは、ダッシュボード組織ごとに固有のサブドメインを設定し、ダッシュボードによるログインフローの際にそのサブドメインを指定する必要があることを意味します。SP 開始型 SAML の構成手順は主に 3 つです:
1) 組織用の固有サブドメインの定義
2) IdP の SSO ログイン URL の指定
3) SP 開始型 SAML 用の IdP の選択
組織用の固有サブドメインの定義
SP SAML 実装では、Meraki 全体で一意なサブドメインの設定が必要です。SP SAML を有効化したい各組織には独自のサブドメインが必要です。
SAML アカウントで複数の組織にアクセスできる場合、すべての組織で SP SAML を有効化しなくても引き続きアクセス可能です。ログイン時に SP SAML が構成されている組織のサブドメインを指定すれば問題ありません。
サブドメインの設定は、オーガナイゼーション > 設定 > 認証 > SSO サブドメインで他の SAML 設定と一緒に構成できます。
SP SAML 機能が有効になっている各 Meraki ダッシュボード組織には、動的な発行者/エンティティIDが使用されます。例:設定したサブドメインが「example」の場合、IdP 側で設定する一意の発行者/エンティティIDは「https://example.sso.meraki.com」となります。
Entra 管理センター側での設定方法については、Microsoft Entra ドキュメント をご参照ください。
IdP の SSO ログイン URL の指定
このフローはダッシュボードから開始されるため、ユーザーを IdP 側で認証するために転送する先を知っておく必要があります。これが SSO ログイン URL であり、IdP から提供されます。SP 開始型 SAML の正常動作には必須です。
ログイン URL の設定は IdP 側の構成の一部です:
IdP 側で新規の汎用 SAML アプリケーションを構成する必要がある場合があります。既存の Meraki SSO アプリケーションは、IdP 側での更新がない限り SP 開始型フローをサポートしない場合があります。
SP 開始型 SAML 用の IdP の選択
現時点で Meraki では SP 開始型 SAML に 1 つの IdP のみ対応しています。ご利用される IdP を「SP SAML IdP」セクションで選択してください。構成済み IdP の SHA1 フィンガープリントとして表示されます。
SP SAML IdP を選択後、構成内容を保存すると SP SAML の設定が完了します!
WebでのSP開始型SAMLによるログイン
SP 開始型 SAML フローでは、ダッシュボードの SP SAML ログインページ(または IdP で定義したカスタムログイン URL)に手動でアクセスする必要があります。アクセスのしやすさのため、この URL をブックマークすることをおすすめします。
次のいずれかのURLにアクセスしてください:
- https://account.meraki.com/login/dashboard_login?sso=true
- <organization subdomain>.sso.meraki.com(例:設定したSSOサブドメインが「example」の場合は example.sso.meraki.com にアクセス)
Meraki Vision ポータルを利用する場合の URL は https://vision.meraki.com です。
Meraki for Government ダッシュボードを利用する場合の URL は https://account.gov-meraki.com/login/dashboard_login?sso=true です。
ログインしたい組織で登録済みの SAML サブドメインを入力し、「次へ」を押してください。
次に、オーガナイゼーション名と「Log in with SSO」ボタンが表示された確認画面にリダイレクトされます。「Log in with SSO」ボタンをクリックしてください。
IdP 認証画面にリダイレクトされます。認証が成功すると、ダッシュボードにサインインした状態でリダイレクトされます!
モバイルでのSP開始型SAMLによるログイン
Meraki モバイルアプリに既にログインしている場合は、設定 > アカウント からログアウトし、(有効になっていれば)生体認証を無効にしてください。生体認証を無効にするには「編集」をタップし、生体認証のトグルをオフにしてから「保存」を押してください。生体認証が無効化されたら「ログアウト」をタップします。
ログアウト/初回起動時には「Log in with SSO」ボタンが表示されます。
「Log in with SSO」ボタンをタップし、組織で設定した固有の SSO サブドメインを入力してください。
その後、構成済み IdP によるログインが促され、認証後は SAML ユーザーとしてアプリへリダイレクトされます。
既知の問題
| 問題種別 | 問題の説明 |
|---|---|
| ログイン画面のテキスト不具合 | SP SAML ログインページのテキストが正しく表示されない場合があります。本来「Meraki ダッシュボード組織のサブドメイン」と表示されるべきところが「組織名」となってしまうことがあります。 |
| ログイン画面 UI 不具合 | 一部のブラウザで「組織へのサインイン」画面が軽微なグラフィカルの乱れとともに正しく表示されない場合があります。 |
| 無効な SSO モバイルアプリエラー | モバイルアプリのバージョンが 4.25.1 未満の場合、「無効な SSO URL」エラーが表示されることがあります。 |
| 生体認証機能の利用可否 | SAML SSO ユーザーでは生体認証による認証はサポートされていません。 |