Cisco 担当者コラム
Cisco・Meraki
Meraki 第123回「MXシリーズでのAnyConnect VPN SAMLを使用したAzure AD認証」
こんにちは。Meraki担当のShingoです。前回MerakiMXシリーズでのAnyConnect VPNによるリモートアクセスについてご紹介させて頂きました。今回は第2弾としてMXシリーズでのAnyConnect VPNでSAMLを使用したAzure AD認証を検証したので、ご紹介させて頂きたいと思います。なお、前回を一読した後にこちらを参考にするのが推奨です。※AnyConnectVPNを利用する際の注意点は前回を参照ください。
初めにSAMLのメリットとしては、利便性等があげられます。複数のWebアプリケーションで同じIDとパスワードでログイン出来るのは便利ですね。また、運用面では原則Azure AD上のユーザを管理するのみになるので管理コストも削減することが出来ます。それでは、早速設定手順をご紹介していきます。まず、Merakiダッシュボードの「セキュリティ&SD-WAN」>「クライアントVPN」>「AnyConnect設定」をクリックします。
IPアドレス、ポート番号とDNSは任意で適当な値を設定下さい。
そして、下図の認証タイプ「SAML」を選択します。
ここで注意があります。
SAML 認証には、MX ファームウェア ver.16.13 以降または ver.17.5以降が必要です。
また、SAMLを利用するにはMerakiサポートに有効にして貰う必要があります。
次に、AnyConnect Server URLを設定します。
上にスクロールし、ホスト名をコピーします。
前にhttps://を付けます。(ポート番号を443以外を設定する場合は、末尾に「:ポート番号」を付けます)
最後に、SAML Metadata FileをAzure ADからダウンロードして以下で選択します。
この後追記する方法でAzure AD側で作成します。
続いて、Azure ADの設定を紹介します。
Azure AD > エンタープライズアプリケーション 新しいアプリケーションから作成します。
Cisco AnyConnectをクリックし作成します。(余談ですが、Azure AD上のAnyConnectアイコンが旧WebExのアイコンになっていますね)
シングルサインオンの設定をクリックします。
SAMLをクリックします。
SAML構成を作成するために編集をクリックします。
エンティティIDを入力します。
ポートが443の場合:(https://Merakiホスト名/saml/sp/metadata/SAML)
ポートが443以外の場合:(https://Merakiホスト名:ポート番号/saml/sp/metadata/SAML)
応答URLを入力します。
ポートが443の場合:(https://Merakiホスト名/saml/sp/acs)
ポートが443以外の場合:(https://Merakiホスト名:ポート番号/saml/sp/acs)
入力後、保存をクリックします。
フェデレーション メタデータ XMLをダウンロードします。
Meraki側SAML MetadataFileで選択するものです。
ユーザとグループをクリックし、「ユーザまたはグループを追加」から適応するユーザ等を選択します。
これでAzure ADの設定は完了です。
最後にMeraki側に戻ります。
設定が入っているかを確認し、一番下にある「変更内容の保存」をクリックします。
インストールしたAnyConnectクライアントソフトを立ち上げて、ダッシュボードからコピーしたAnyConnect Server URLを入力し「Connect」をクリックします。
初回のみAzure ADのユーザ情報を入力します。
ユーザ名とパスワードを入力し、「接続」をクリックします。
これでVPN接続は完了です。
VPN接続を切断する場合は、「Disconnect」をクリックします。
SAMLを利用したAnyConnect VPN 接続手順は以上となります。
Azure AD上で制御がしにくいアクセスポリシーなどをMeraki側で設定することで、アクセスの許可・ブロックが出来るのは良い点だと感じました。
細かい制御等は難しいですが、設定箇所は非常にシンプルで分かりやすいと感じました。
まだ発展途上な所は多少ありますが、SAMLを試してみたいという際は検討してみるのもいかがでしょうか。
今回は以上です。
お読みいただきありがとうございました。
Ciscoの記事
- Security 第79回「Cisco Secure Client Cloud Managementのご利用の流れ」
- Meraki 第152回「Meraki Subscriptionライセンスについて」
- Collaboration 第146回 「高品質な音声体験を実現するCisco Webex の生成AI技術 ~Webex AI Codec~」
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」