OneLoginのユーザー削除によりMerakiネットワークへの接続を即時遮断する

OneLogin × SecureW2 × Cisco Meraki連携ソリューションの紹介

構成

OneLogin × SecureW2 × Cisco Meraki連携ソリューションは、OneLogin上のユーザー無効化/削除をトリガーとして、そのユーザーに紐づいた証明書の失効およびネットワーク接続の遮断をリアルタイムで実現します。そのため管理者が証明書失効やAP設定をする必要なく、OneLoginからユーザーステータスを変更するだけでそのデバイスからのネットワークアクセスを制御することができます。また一連の動作はSecureW2の機能である「Event Hooks」、「Real-Time Intelligence (RTI)」を使用することで実現しています。

仕組みについてご説明します。

1. 管理者がOneLogin上の対象ユーザーを無効化/削除します。
2. 「Event Hooks」 が動作し、証明書失効が指示されます。
3. そのユーザーに紐づいている証明書が失効されます。
4. 証明書失効をトリガーとしてSecureW2の機能である「Real-Time Intelligence (RTI)」が動作し、Cisco Merakiのアクセスポリシー要件が変更されます。
5. デバイスからのネットワーク接続が遮断されます⁠。

前提条件

• SecureW2の管理者アカウントを保有していること
• SecureW2のライセンス「Dynamic RADIUS」を契約していること
• SecureW2のライセンス「JoinNow Real-Time Intelligence」を契約していること
• OneLogin × SecureW2 連携（Event Hooksの設定） が済んでいること※
• SecureW2発行のクライアント証明書の配布・登録が済んでいること
• Cisco Merakiの管理者アカウントをお持ちであること

※OneLogin × SecureW2 連携（Event Hooksの設定）についてこちらをご覧ください。

Real-Time Intelligence (RTI）とはSecureW2の機能の1つであり、証明書の失効をトリガーにネットワークからの即時遮断を行う機能です。この機能を設定すると、証明書が失効されてから約1~2分程度でデバイスとネットワークの接続が遮断されます。

具体的な仕組みについてご説明します。

1. SecureW2の証明書を失効したことをトリガーに、失効された証明書がSecureW2のクラウドRADIUSで認証に使用されていたかをログから検出します。
2. 認証成功していたデバイスを確認でき次第、RADIUSメッセージから抽出したサプリカントのMACアドレスを識別し、Cisco Merakiなどのコントローラーに対して当該MACアドレスのアクセスをブロックするようAPIやコンソールアクセスを管理者に代わって実施します。
3. デバイスのネットワーク接続を遮断します。

MACアドレスがブロックされるため、原則そのデバイスはネットワークに参加できなくなります。また、例えば無線LAN接続を有線LAN接続に切り替えたり、MACアドレスを偽装して再接続を試みても、既にクライアント証明書が失効されているため、再認証時には802.1X認証によりアクセス拒否され、ネットワークへの接続は認められません。

作業詳細

主な作業内容は、Cisco MerakiとSecureW2でそれぞれ次の通りです。

上図のように、API Keyを生成し、Cisco Merakiの情報をSecureW2で設定するだけで簡単にReal-Time Intelligenceをご利用いただけます。

具体的な作業手順

SecureW2とCisco Merakiの設定

1. JoinNow Management Portal にログインし、External Connections > Configuration をクリックします。
   
2. [ Add External Connection ] をクリックします。
   
3. 以下のように入力したら、[ Save ]をクリックします。

   項目名	設定値	項目の説明
   Name	例: 検証デモ	例: Merakiのネットワーク名
   Type	【 Cisco Meraki 】（選択）	ネットワーク機器名

   
4. Configurationタブに移動し、Cisco Merakiから必要な情報を取得しSecureW2に入力していきます。
   
5. Merakiにログインし、SecureW2の以下の項目に入力します。

   項目名	設定値	項目の説明
   Controller URL	例: https://my.meraki.com/	MerakiのURL①
   Meraki Network Name	例: 検証デモ	Merakiのネットワーク名②

   
   
6. Merakiの左タブにて、Organization > Settings をクリックします。
   
7. オーガナイゼーションの名前を、SecureW2の以下の項目に入力します。

   項目名	設定値	項目の説明
   Meraki Organization Name	例: Pentio Dev	Merakiのオーガナイゼーションの名前③

   
   
8. Organization > API & Webhooks をクリックします。
   
9. API Keys and access タブに移動し、Generate API keyをクリックします。
   
10. API キーが表示されるので、SecureW2へコピー&ペーストします。保存したら[ Done ] をクリックします。
    
    
11. [ Validate ] をクリックして、テスト接続を行います。「Connection verified successfully」と表示されたら、[ Update ] をクリックします。
    
    設定方法は以上となります。

動作確認

OneLogin × SecureW2 × Cisco Meraki連携ソリューションの動作を一貫して確認します。具体的には以下の項目を確認します。

• クライアント証明書を用いて無線LANへ接続する
• ユーザー削除後、クライアント証明書が失効される
• 同時に、そのデバイスのネットワーク接続が遮断される

こちらの動画をご覧ください。

1. OneLoginのユーザー「demo taro (demo@example.com) 」は現在Activeなステータスになっています。
   
2. ユーザーに紐づいた証明書を用いて無線LANへ接続します。
   
   
3. このユーザーを削除します。
   
4. ユーザー削除から約1~2分経過後、配布されていた証明書が失効されました。
   
5. 証明書失効から約1~2分後、デバイスのネットワーク接続が遮断されました。
   

おわりに

今回は、OneLogin上のユーザー無効化/削除をトリガーに、クライアント証明書失効およびネットワーク接続の遮断について検証しました。今回の検証にて使用したReal-Time Intelligence (RTI）とはSecureW2の機能の1つであり、ユーザーステータスに応じてCisco Merakiのアクセスポリシー要件変更を自動で行います。OneLogin × SecureW2 × Cisco Meraki連携ソリューションのメリットとして以下のようなものがあります。

• OneLoginの状態に応じたアクセスコントロール：RADIUS認証のIDソースとしてOneLoginを利用することで、IDaaSによる統合された認証・認可をネットワークアクセス制御に提供します。
• リアルタイムなクライアント証明書失効、アクセスコントロール：本記事で紹介したEvent Hooks、Real-Time Intelligenceはユーザーの無効化/削除を実行後、約1-2分で動作します。

そのため社員の退社/異動に伴う工数の削減など管理者の負担が軽減されるだけでなく、リアルタイムなアクセスコントロールなどIDaaSを中心としたネットワーク運用を可能にします。 ぜひOneLogin × SecureW2 × Cisco Meraki連携ソリューションの導入を検討してみてはいかがでしょうか。以上で「OneLoginのユーザー削除によりMerakiネットワークへの接続を即時遮断する」を終わります。

SecureW2とCisco Merakiの詳細については以下の資料をご覧ください。