My Home NW Lab

逸般の誤家庭のネットワーク

Meraki Dashboardの送信元アドレス制限はSAML Userには適用されない

Meraki Dashboardには送信元アドレス制限 (Login IP ranges)がありますが、SSO (Single Sign-On)でログインするSAML Userには適用されません。

Meraki Dashboardの送信元アドレス制限

より正確には、メニュー: Organization > SettingsSecurity 設定がSAML Administrator Account (SAML User)には適用されません。

メニュー: Organization > Settings の Security 設定

ドキュメントの該当記述は下記になります。

documentation.meraki.com

Note: Security Settings do not apply to SAML Administrator accounts.

SAML Administrator Accountの名称は、SAML administrator rolesの設定名と関連するSAML Userの別の言い回しだと思われます。

SAML UserはSSO (Single Sign-On)が行われる都合で、Merakiの管理外となるため制御ができないものだと推察されます。

検証情報

実際に検証した際の情報を記載します。

検証時のIPアドレスに関する情報は下記の通りです。

項目 備考
許可対象のIPアドレス 49.#.#.# , 203.#.#.# 一部情報をマスクしています。
接続時のIPアドレス 133.#.#.# 一部情報をマスクしています。

動的IPアドレスな環境では、検証時にロック アウトされないように注意してください。

Non-SAML User (通常のMerakiアカウント)に対する送信元アドレス制限 (Login IP ranges)

下記の画面では、許可されていないIPアドレスからNon-SAML Userでアクセスしたためブロックされています。

Non-SAML User (通常のMerakiアカウント)に対する送信元アドレス制限 (Login IP ranges)

SSOでログインするSAML Userに対する送信元アドレス制限 (Login IP ranges)

下記の2つ画面では、Cisco Duo SecurityのDuo Central (ポータル画面)から、SSOでSAML Userとしてログインして、Meraki Dashboard側のSecurity設定が効かなかったため設定画面が表示されています。

SSOでログインするSAML Userに対する送信元アドレス制限 (Login IP ranges) (1/2)

SSOでログインするSAML Userに対する送信元アドレス制限 (Login IP ranges) (2/2)

設計への影響

セキュリティ要件などで送信元アドレス制限が必須の場合は、SSOソリューション側での制御などの検討が必要になってきます。

セキュリティ要件への影響

ハードニング (Hardening)や利便性の向上で、後からSSOの導入を検討する場合も留意してください。

関連記事

myhomenwlab.hatenablog.com