概要

Cisco Duo SecurityによるMeraki DashboardへのSSO (Single Sign-On)では、Duo Centralと呼ばれるPortalを介したSSOとなります。 Duo CentralにはSSOのアクセス先がアイコン (Tile)として表示されます。

Duo Centralは専用のURLが発行されます。サブ ドメインのカスタマイズも可能です。ただし、評価期間中の場合は自動発行されたURLとなります。

注意点

注意点ですが、Meraki Dashboard Loginの画面でDuoによる認証対象のアカウントでログインしようとすると、 DuoによるMFA (Multi-Factor Authentication)が行われるわけではありません。 あくまでも、Duo CentralからMeraki DashboardへSSOを行う過程でDuoのMFAが行われるのです。

Meraki Dashboard LoginのMFA

ちなみに、Meraki Dashboard LoginでMFAを行いたい際は、Google Authenticatorを使用します。 SMSによるMFAもありますが、対象地域が限られておりBETA版の扱いになります。

documentation.meraki.com

Cisco Duo SecurityによるMFAの採択価値

• ビジネス的な視点で見ると、元々Cisco Duo Securityにより各SaaSなどに対してSSOを行いたいといった要望があり、 その一環でMeraki DashbaordにもSSOを行えるようにするのがDuo Securityの本筋的な使い方だと思われます。

• 表現を変えると、Google Authenticatorの認証コードが手入力になるユーザビリティが気に入らずに、Duo Pushによるワンタッチの認証が好ましくて、 Meraki DashboardへのログインのためだけにDuoによるMFAを行いたいような背景となると、コスト パフォーマンスに見合わない可能性があります。

前者はSSO (MFAを含む)に価値を見出して、後者はMFAのみに価値を見出したとも表現できると思います。 そのため、関係者同士でCisco Duo Securityの利用イメージの認識を合わせるのが好ましいです。 本記事を執筆したのも利用イメージのすり合わせを行いやすくするための意図があります。

補足

補足となりますが、各OrganizationにSAMLの設定をしてDuo Cetnralからのアクセス先としてOrganizationを登録している都合上、 Duo側にはSSO対象の各Organizationを個々に設定する必要があり、MSP事業者の場合は顧客数 (テナント数)に比例して設定負荷がかかる可能性があります。 また、SSO環境下では各Organizationに対しての個別のログインとなるため、MSP Portalによる横断的な移動が出来なくなります。

関連ドキュメント

• Duo CentralからMeraki DashboardへSSOを行うための設定手順は、下記のドキュメントに記載があります。

  duo.com

• Meraki DashboardにおけるSAMLの設定の情報は、下記のドキュメントに記載があります。

  documentation.meraki.com

関連記事

• Meraki DashboardのAdministratorアカウント (Non-SAML User)は必ず1つは残す必要がある - My Home NW Lab

• SSO用のメール アドレスに紐付くMerakiアカウントが既にあると、Meraki DashboardへのSSOは出来ない - My Home NW Lab

• Meraki DashboardにSSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行ができない - My Home NW Lab

• Meraki Dashboardの送信元アドレス制限はSAML Userには適用されない - My Home NW Lab