概要

Meraki DashboardのAdministratorアカウント (Non-SAML User)は、必ず1つは残す必要があります。
2022年04月頃にサポートに仕様の確認を行った情報となります。

注意点

SAMLによるSSO (Single Sign-On)を設定していて、管理者権限を持つSAML Userが居たとしても、必ず1つはAdministratorアカウント (Non-SAML User)を残す必要があります。

本仕様が影響するシナリオ

実務だとAdministratorアカウントを社員の個人メール アドレスに紐付けてしまうと、退職や人事異動などの影響を受ける可能性があるため、 メーリング リストをAdministratorアカウントとして登録するのが想定されます。 ですが、MFAでGoogle Authenticatorを有効化すると個人の端末に紐付ける必要が出てきてしまい、運用上の問題になる可能性があります。

そのため、複数の社員のメール アドレスに管理者の権限を付与しておいて、人事異動の季節などに定期的に見直す方法が検討候補に入る可能性があります。 しかしながら、同一のメール アドレスであるMeraki Dashboardのアカウントが既に存在すると、SAMLによるSSOが出来なくなります。 そうなってしまうと、社員によってログイン方法が異なるためユーザビリティが低下してしまいます。

上述の点を改めてまとめると、 全てのアカウントの管理を認証系の製品 (例: Duo Security)で統一したいものの、 Administratorアカウント (Non-SAML User)は必ず残す必要があり、 プロジェクトの中から代表となる社員をAdministratorアカウント (Non-SAML User)にしてしまうと、その社員だけSSOが出来なくなるジレンマが起きます。