OneLoginのユーザー削除によりMerakiネットワーク接続用の証明書を自動失効する

OneLogin × SecureW2 × Cisco Meraki連携ソリューションの紹介

OneLogin × SecureW2 × Cisco Meraki連携ソリューションは、OneLogin上のユーザー無効化/削除をトリガーとして、そのユーザーに紐づいた証明書の失効およびネットワーク接続の遮断をリアルタイムで実現します。そのため管理者が証明書失効やAP設定をする必要なく、OneLoginからユーザーステータスを変更するだけでそのデバイスからのネットワークアクセスを制御することができます。また一連の動作はSecureW2の機能である「Event Hooks」、「Real-Time Intelligence (RTI)」を使用することで実現しています。

仕組みについてご説明します。

1. 管理者がOneLogin上の対象ユーザーを無効化/削除します。
2. 「Event Hooks」が動作し、証明書失効が指示されます。
3. 対象ユーザーに紐づいている証明書が失効されます。
4. 証明書失効をトリガーとして「Real-Time Intelligence (RTI)」が動作し、Cisco Merakiのアクセスポリシー要件が変更されます。
5. デバイスからのネットワーク接続が遮断されます。

前提条件

• SecureW2の管理者アカウントを保有していること
• SecureW2のライセンス「Dynamic RADIUS」を契約していること
• SecureW2のライセンス「JoinNow Real-Time Intelligence」を契約していること
• IDaaSとしてOneLoginを利用しており、ユーザー作成が済んでいること
• SecureW2発行のクライアント証明書の配布・登録が済んでいること

Event Hooksの動作概要

Event HooksとはSecureW2の機能の1つであり、ご利用中のIDaaSに存在するユーザーのステータスが無効化/削除されると、そのユーザーに紐づいた証明書が自動失効される機能です。
OneLoginとSecureW2はAPIで相互連携することで、ユーザー情報を共有することが可能となります。これを利用して、OneLogin上のユーザーが無効化/削除されたことをトリガーとし、SecureW2がそのユーザーへ発行した証明書を自動失効することができます。

作業詳細

主な作業内容は、OneLoginとSecureW2でそれぞれ次の通りです。

上図のようにOneLoginおよびSecureW2上でいくつか設定を行うだけで、OneLoginのユーザー情報に基づく証明書自動失効を簡単に実現することができます。

具体的な作業手順

Event Hooksの設定

1. JoinNow Management Portalにログインし、Identity Management > Event Hooks をクリックします。
   
2. [ Add Event Hook ] をクリックします。
   
3. 以下のように内容を入力し、[ Save ] をクリックします。

   項目	設定値
   Name	例: OneLogin
   Provider	【 例: OneLogin 】（選択）

   
4. Configurationタブに移動し、Events で[ Revoke the associated certificate ] をそれぞれ選択します。他の設定項目については以下の表の通りです。

   設定	説明
   Revoke the associated certificate	関連する証明書を失効する
   Deregister the associated Web Auth Device	Web認証Wi-Fiを通じて接続されたネットワークから、関連するデバイスの登録を解除する
   Deregister the associated VPN Token	関連するVPNトークンの登録を解除する

   
5. [ Download ] をクリックします。ダウンロードしたcsvファイルにはWebhook用のシークレットが記載されており、後ほど使用します。
   

   こちらがダウンロードしたcsvファイルの内容です。

   
6. [ Update ] をクリックします。
   
7. OneLogin管理ポータルにログインし、Developers > Webhooks をクリックします。
   
8. New Webhook > Event Webhook for Log Management をクリックします。
   
9. 以下のように入力したら、 [ Save ] をクリックします。

   項目名	設定値	項目の説明
   Name	例: SecureW2 Event Hooks
   Format	【 JSON Array 】（選択）
   Listener URL	https://api.securew2.com/v1/notify	SecureW2のNotification URL
   Custom Headers	Authorization: Bearer [secret]	手順5でダウンロードしたシークレット

   

以上でOneLoginとSecureW2でWebhookの連携ができました。

Identity Lookup Providerの設定

1. JoinNow Management Portalにログインし、Identity Management > Identity Providers をクリックします。
   
2. [ Add Identity Provider ] をクリックします。
   
3. 以下のように内容を入力し、[ Save ] をクリックします。

   項目名	設定値
   Name	例: Event Hooks / OneLogin
   Provider	【 Local 】（選択）

   
4. [ Update ] をクリックします。
   
5. 続けて、[ Add Identity Provider ] をクリックします。
   
6. 以下のように内容を入力し、[ Save ]をクリックします。

   項目名	設定値
   Name	例: OneLogin Identity Lookup
   Provider	【 OneLogin Identity Lookup 】（選択）

   
7. Configurationタブに移動し、OneLoginから必要な情報を取得しSecureW2に入力していきます。
   
8. OneLogin管理ポータルにログインし、OneLoginのURLをSecureW2の Provider URL に入力します。サブドメインについてはお客様がご利用中のOneLoginアカウントに合わせて入力してください。
   
9. Developers > API Credentials をクリックします。
   
10. [ New Credential ] をクリックします。
    
11. 以下のように入力し、[ Save ] をクリックします。

    項目名	設定値
    Name	例: SecureW2 Account Lookup
    Provider	【 Read users 】（選択）

    
12. 作成したOneLogin APIのClient IDとClient Secretが表示されます。それらをSecureW2の Client Id と Client Secret に入力し、[ Update ] をクリックします。
    
    

以上でIdentity Lookup Provider の設定ができました。

Account Lookup Policyの設定

1. Policy Management > Account Lookup Policies をクリックします。
   
2. [ Add Account Lookup Policy ] をクリックします。
   
3. 以下のように入力し、[ Save ] をクリックします。

   項目名	設定値
   Name	例: OneLogin

   
4. Conditionsタブに移動し、以下のように選択します。

   項目名	設定値	項目の説明
   Identity Provider	【 例: Event Hooks / OneLogin 】（選択）	Identity Lookup Provider の設定 > 手順3で作成したIdP

   
5. Settingsタブに移動し、以下のように選択します。

   項目名	設定値	項目の説明
   Identity Provider Lookup	【 例: OneLogin Identity Lookup 】（選択）	Identity Lookup Provider の設定 > 手順6で作成したIdP
   Lookup Type	【 例: Custom 】（選択）
   Identity	【 例: Certificate-SAN-UPN 】（選択）	証明書のどの値を参照するか

   
6. テスト接続をするため、[ Validate Configuration ] をクリックします。
   
7. Enter a Valid identity にOneLoginに存在するユーザーのメールアドレスを入力し、 [ Validate ] をクリックします。
   
8. Account lookup successful と表示されればテスト接続は成功です。確認でき次第、[ Update ] をクリックします。
   

以上でAccount Lookup Policyの設定ができました。

動作確認

以下の動作を確認します。

• クライアント証明書を用いて無線LANへ接続する
• ユーザー削除後、クライアント証明書が失効される

こちらの動画をご覧ください

1. OneLoginのユーザー「demo taro (demo@example.com) 」は現在Activeなステータスになっています。
   
2. ユーザーに紐づいた証明書を用いて無線LANへ接続します。
   
3. このユーザーを無効化または削除します。本記事ではユーザーを削除して動作確認しますが、無効化した場合も同様の動作となります。
   
4. 約1-2分程度待つと、ユーザー削除がトリガーとなり、配布されていた証明書が失効されたことがわかります。
   
   

おわりに

今回は、OneLogin上のユーザーを無効化/削除し、そのユーザーと紐づいているクライアント証明書を自動失効させる検証をしました。これにより管理者はSecureW2からクライアント証明書を失効する必要なく、OneLoginのユーザーステータスを変更させるだけで、クライアント証明書の廃棄を行うことができます。

また 上記に加えてCisco Merakiと連携することで、証明書の失効とネットワーク接続遮断までを、リアルタイムかつ一気通貫で実現することができます。本来、ネットワークへの再接続など再認証がトリガーされるまでデバイスのネットワーク接続は遮断されませんが、これにより証明書の失効とネットワーク遮断を同時に行うことができます。これら3製品を連携させることで以下のようなメリットがあります。

• OneLoginの状態に応じたアクセスコントロール：RADIUS認証のIDソースとしてOneLoginを利用することで、IDaaSによる統合された認証・認可をネットワークアクセス制御に提供します。
• リアルタイムなクライアント証明書失効、アクセスコントロール：本記事で紹介したEvent Hooks、Real-Time Intelligenceはユーザーの無効化/削除を実行後、約1-2分で動作します。

そのため社員の退社/異動に伴う工数の削減など管理者の負担が軽減されるだけでなく、リアルタイムなアクセスコントロールなどIDaaSを中心としたネットワーク運用を可能にします。 ぜひOneLogin × SecureW2 × Cisco Meraki連携ソリューションの導入を検討してみてはいかがでしょうか。以上で「OneLoginのユーザー削除によりMerakiネットワーク接続用の証明書を自動失効する 〜IDaaSによるネットワーク認証認可連携 Part 1〜」を終わります。

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。