第25回 ダッシュボードへのログイン認証

掲載日 2017/11/07

こんにちは。
Meraki担当のDSASです。

今日は製品の機能ではなく、「ダッシュボードへのログイン認証のバリエーション」についてご紹介いたします。
ダッシュボードへのアクセスの基本はユーザ名(メールアドレス)とパスワードですが、もちろんセキュリティを高める為のいくつかのオプション設定がございます。
(日本ではサポートされないオプションがあるので注意が必要です!)

それでは主要なオプションについて説明します。
まずは「ログインIP範囲」です。
その名のとおり指定したIPアドレスからのみダッシュボードへのアクセスを許可する設定です。これにより社内からのみダッシュボードにアクセスするという制限を設けることが可能です。また複数のIPアドレスを登録することが可能です。

図1.ログインIP範囲設定画面

次は「2要素認証」です。
Merakiの2要素認証とは、ユーザ名とパスワード認証+αの認証を行うことです。
まずは日本ではサポートされていませんが、一番シンプルに2要素認証が実装されている「SMS認証」を紹介します。

SMSは電話番号宛てに届けられるメッセージです。
このメッセージにログイン用のパスコードを含めることにより、管理者は自身の「ユーザ名/パスワード」に加え、携帯電話に受信したSMSの「パスコード」を入力することでダッシュボードにアクセスできるようになります。
つまり「ユーザ名/パスワード」と「パスコード」の2つの要素で認証を行います。
繰り返しになりますが、日本では未サポートです。(ただし試すことは可能です)

図2.プロファイルから設定可能なSMS認証と日本未サポートの警告

次は日本でもサポートされている「グーグル認証による2要素認証」です。
これはGoogle Authenticatorと呼ばれるスマホ用アプリを利用します。
サポートされるスマホは、Android、iPhone、BlackBerryです。

図3.Google AuthenticatorのiPhone用アプリ

各アプリサイトからGoogle Authenticatorをダウンロードして設定(ダッシュボードに表示されるバーコードを読み込むだけ)すると、Google Authenticatorのアプリにパスコードが表示されるようになります。
管理者は追加でこのパスコードを入力することによりダッシュボードにアクセスできるようになります。
もちろんパスコードの使いまわしはできませんし、アプリの画面でパスコードの有効期限がタイムアウトされていくことが確認できます。

図4.Google Authenticatorのワンタイムパスワード表示画面

詳しい設定の方法は以下をご確認ください。
Using Google Authenticator for Two-factor Authentication in Dashboard

最後は、「SAMLによるSSO」です。
これは2要素認証ではございませんが、他のオプションに比べると非常に高度な機能ですので、構築にはスキルが必要になります。十分にご注意ください。
ざっくり紹介いたしますと管理者は最初にMeraki以外の他のシステムで認証され、その際にトークンというパスを受け取ります。ダッシュボードへはそのトークン(パス)を利用して認証するという認証方法です。
ご興味のある方は以下をご確認ください、
Configuring SAML Single Sign-on for Dashboard

以上です。


掲載日:2017/11/07 更新日:2019/09/03 16:16  管理ID:172904