Security 第50回「DuoでSSOを使ってみよう3」

そうすると、SAMLIdP（Duoのこと）の情報を入れる項目が表示されますので、先ほど開いたDuoの画面から同じ名前の項目を探して貼り付けます。

貼り付け終わったら、一旦Meraki側で設定の保存をします。

すると、MerakiダッシュボードにカスタマーURLの値が表示されますので今度はこれをDuo側の画面に貼り付けます。

続いて、SSOでログインした際の権限割り当てを設定します。Merakiダッシュボードの左側メニューから　

　オーガナイゼーション　＞　管理者　

をクリックして、SAMLの管理者役割を追加します。

今回はAdminという役割を作成してオーガナイゼーションへのフルアクセスを割り当てました。

続いて、Duoの管理画面からMerakiで作成した役割とDuo Groupsを紐づけます。Duo GroupsはDuoのユーザが所属するグループで、部署名やプロジェクトなどに紐づくActive DirectoryのOUのようなものだと思って頂くと良いかと思います。

ここではDefaultというDuo GroupをAdminの役割に紐づけました。

もし、DuoGroupsが一つもない場合にはあらかじめDuo管理画面左側メニューのGroupsからDuo Groupsを作成するようにしてください。

これで設定は大体終了です。あとは、アプリケーションの登録名やログイン時のメッセージなどを編集して設定を保存します。

最後に接続テストです。

Duoの管理画面左側メニューからSingleSign-onをクリックするとSSOで使用するポータルのドメインが確認できます。

このドメインを開くと、ユーザ認証が走りますので、前回Duoに紐づけたActive Directoryのユーザでログインします。

2要素目の認証が走りますので、認証をクリアします。
私はDuo Mobileのアプリを使用したDuo Pushを使用しました。

すると、DuoのSSOポータル画面が開きます。

今回はMerakiしか設定していないのでちょっと殺風景ですが、このアイコンをクリックするとSSO経由でMerakiダッシュボードへのログインが実行されます。

ちなみに、デフォルトの設定ではこのポータルからアプリケーションに入るたびに2要素目の認証が実行される、という挙動をします。

これだとセキュリティは高いけど、利便性が微妙、、、という場合はDuo管理画面のPoliciesからポリシーを作成して、以下のRemembered devicesの項目で一度ログインしたデバイスは一定期間再認証が不要になるよう設定することも可能です。

(作成したポリシーはApplicationsの画面から紐づけが可能です)

こちらはお客様のポリシーに応じてお試しいただければと思います。

3回にわたってSAMLを使用したSSOの使い方についてご紹介しましたがいかがだったでしょうか。

最近ではMFAやSAMLという単語を聞くことも非常に多くなってきましたので、ぜひDuoを使ったご提案もご検討いただけますと幸いです。

今回は以上です。ここまでお読みいただきありがとうございました。