Meraki Dashboardには送信元アドレス制限 (Login IP ranges)がありますが、SSO (Single Sign-On)でログインするSAML Userには適用されません。
より正確には、メニュー: Organization > Settings の Security 設定がSAML Administrator Account (SAML User)には適用されません。
ドキュメントの該当記述は下記になります。
Note: Security Settings do not apply to SAML Administrator accounts.
SAML Administrator Accountの名称は、SAML administrator rolesの設定名と関連するSAML Userの別の言い回しだと思われます。
SAML UserはSSO (Single Sign-On)が行われる都合で、Merakiの管理外となるため制御ができないものだと推察されます。
検証情報
実際に検証した際の情報を記載します。
検証時のIPアドレスに関する情報は下記の通りです。
| 項目 | 値 | 備考 |
|---|---|---|
| 許可対象のIPアドレス | 49.#.#.# , 203.#.#.# | 一部情報をマスクしています。 |
| 接続時のIPアドレス | 133.#.#.# | 一部情報をマスクしています。 |
動的IPアドレスな環境では、検証時にロック アウトされないように注意してください。
Non-SAML User (通常のMerakiアカウント)に対する送信元アドレス制限 (Login IP ranges)
下記の画面では、許可されていないIPアドレスからNon-SAML Userでアクセスしたためブロックされています。
SSOでログインするSAML Userに対する送信元アドレス制限 (Login IP ranges)
下記の2つ画面では、Cisco Duo SecurityのDuo Central (ポータル画面)から、SSOでSAML Userとしてログインして、Meraki Dashboard側のSecurity設定が効かなかったため設定画面が表示されています。
設計への影響
セキュリティ要件などで送信元アドレス制限が必須の場合は、SSOソリューション側での制御などの検討が必要になってきます。
ハードニング (Hardening)や利便性の向上で、後からSSOの導入を検討する場合も留意してください。
