Cisco 担当者コラム
Cisco・Security
Security 第50回「DuoでSSOを使ってみよう3」
こんにちは。セキュリティ製品担当の林です。
前回に引き続きDuoを使用したSSOについて今回が完結編です!
前回、社内ADを認証ソースとしてDuo Cloudと同期させる部分の手順をご紹介しましたので、今回はSAMLに対応したサービスとDuoを連携させる手順をご紹介します。
今回は、連携先のサービスとしてMerakiのダッシュボードを使用します。連携先のサービスによって、必要な設定内容は異なりますので、あくまでサンプルとしてご覧ください。
最初に、Duo側の設定画面を開きます。
左側メニューから Applications を開き、画面右上のProtect anApplicationをクリックします。
この画面が開いたら、入力する情報を取得するために別のタブを開いてMerakiのダッシュボードを開きます。このページは後で戻ってくるので開いておいてくださいね。
Merakiのダッシュボードを開いたら左側メニューから
オーガナイゼーション > 設定
を開いて認証の項目でSAML SSOを有効にします。そのあと、SAML IdPの追加が表示されますのでこちらをクリックします。
そうすると、SAMLIdP(Duoのこと)の情報を入れる項目が表示されますので、先ほど開いたDuoの画面から同じ名前の項目を探して貼り付けます。
貼り付け終わったら、一旦Meraki側で設定の保存をします。
すると、MerakiダッシュボードにカスタマーURLの値が表示されますので今度はこれをDuo側の画面に貼り付けます。
続いて、SSOでログインした際の権限割り当てを設定します。Merakiダッシュボードの左側メニューから
オーガナイゼーション > 管理者
をクリックして、SAMLの管理者役割を追加します。
今回はAdminという役割を作成してオーガナイゼーションへのフルアクセスを割り当てました。
続いて、Duoの管理画面からMerakiで作成した役割とDuo Groupsを紐づけます。Duo GroupsはDuoのユーザが所属するグループで、部署名やプロジェクトなどに紐づくActive DirectoryのOUのようなものだと思って頂くと良いかと思います。
ここではDefaultというDuo GroupをAdminの役割に紐づけました。
もし、DuoGroupsが一つもない場合にはあらかじめDuo管理画面左側メニューのGroupsからDuo Groupsを作成するようにしてください。
これで設定は大体終了です。あとは、アプリケーションの登録名やログイン時のメッセージなどを編集して設定を保存します。
最後に接続テストです。
Duoの管理画面左側メニューからSingleSign-onをクリックするとSSOで使用するポータルのドメインが確認できます。
このドメインを開くと、ユーザ認証が走りますので、前回Duoに紐づけたActive Directoryのユーザでログインします。
2要素目の認証が走りますので、認証をクリアします。
私はDuo Mobileのアプリを使用したDuo Pushを使用しました。
すると、DuoのSSOポータル画面が開きます。
今回はMerakiしか設定していないのでちょっと殺風景ですが、このアイコンをクリックするとSSO経由でMerakiダッシュボードへのログインが実行されます。
ちなみに、デフォルトの設定ではこのポータルからアプリケーションに入るたびに2要素目の認証が実行される、という挙動をします。
これだとセキュリティは高いけど、利便性が微妙、、、という場合はDuo管理画面のPoliciesからポリシーを作成して、以下のRemembered devicesの項目で一度ログインしたデバイスは一定期間再認証が不要になるよう設定することも可能です。
(作成したポリシーはApplicationsの画面から紐づけが可能です)
こちらはお客様のポリシーに応じてお試しいただければと思います。
3回にわたってSAMLを使用したSSOの使い方についてご紹介しましたがいかがだったでしょうか。
最近ではMFAやSAMLという単語を聞くことも非常に多くなってきましたので、ぜひDuoを使ったご提案もご検討いただけますと幸いです。
今回は以上です。ここまでお読みいただきありがとうございました。
Ciscoの記事
- Security 第79回「Cisco Secure Client Cloud Managementのご利用の流れ」
- Meraki 第152回「Meraki Subscriptionライセンスについて」
- Collaboration 第146回 「高品質な音声体験を実現するCisco Webex の生成AI技術 ~Webex AI Codec~」
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」