Active Directoryフェデレーションサービス（AD FS）を使用してシングルサインオン（SSO）をセットアップ

HubSpot Professional または Enterprise アカウントをお持ちの場合は、Active Directory フェデレーション サービス (AD FS) を使用してシングル サインオンをセットアップできます。 

始める前に

AD FSを使用してHubSpotアカウントにログインするには、次の要件を満たす必要があります。

• Active Directoryインスタンスのすべてのユーザーには、Eメールアドレス属性が必要です。
• HubSpot Professional または Enterprise アカウントを使用しています。
• Windows Server 2008、2012、または2019を実行しているサーバーがあります。 

注:このセットアッププロセスは、IDプロバイダーアカウント上にアプリケーションを構築した経験があるIT管理者によって行われる必要があります。詳しくは、SSOとHubSpotの組み合わせをご確認ください。 

Microsoft AD FSを使用してSSOをセットアップする

1. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
2. 左のサイドバーメニューで、[ セキュリティー]に移動します。 
3. [ログイン]タブで、 ポータルログイン設定を構成していない場合は、[ ポータルログイン設定のセットアップ]をクリックします。または、「 シングルサインオン(SSO)」 セクションで、「 設定 」をクリックします。
4. 右側のパネルで、[私はMicrosoft AD FS(レガシーオンプレミス) を使用しています]スイッチをオンに切り替えます。 
5. 「オーディエンスURL」(サービスプロバイダーエンティティーID)と、「サインオンURL」、「ACS」、「受信者」、「リダイレクト 」の値をコピーします。セットアッププロセス中に両方の値をMicrosoft AD FSに追加する必要があります。 

証明書利用者信頼（RPT）の追加

Active Directoryフェデレーションサービス（AD FS）マネージャーを開き、以下の手順を実行します。

1. AD FSマネージャーで、証明書利用者信頼（RPT）フォルダーを開きます。 
2. 右側のサイドバーメニューで、［証明書利用者信頼の追加...］を選択します。 
3. ［証明書利用者信頼の追加ウィザード］ダイアログボックスで、［開始］をクリックして新しいRPTを追加します。 
4. ［データソース選択］画面で、［証明書利用者についてのデータを手動で入力する］を選択します。[次へ]をクリックします。
5. [表示名]フィールドに、信頼 の名前を入力します 。これは内部用であるため、簡単に認識できる名前を付けてください。[次へ]をクリックします。
6. [証明書設定] 画面で、既定の設定をそのままにして、[次へ] をクリックします。
7. ［SAML 2.0 WebSSOプロトコルのサポートを有効にする］チェックボックスを選択します。
8. [証明書利用者SAML 2.0 SSOサービスURL]フィールドに、HubSpotアカウントからサインオンURL、ACS、受信者、またはリダイレクト URLを入力します。[次へ]をクリックします。

9. [証明書利用者信頼識別子] フィールドで、次の操作を行います。
   • HubSpotアカウントからオーディエンスURL(サービスプロバイダーエンティティーID) 値を入力します。 
   • https://api.hubspot.com を入力し、[追加]をクリックします。 
10. ［次へ］をクリックします。
11. [アクセス制御ポリシーの選択(Choose an access control policy)] ウィンドウで、[全員を許可(Permit everyone)] を選択し、[次へ(Next)] をクリックします。
12. 設定を確認してから、[次へ]をクリックします。
13. ［閉じる］をクリックします。 

要求規則の作成 

要求ルールを設定する前に、ユーザーのEメールアドレスがHubSpotユーザーのEメールアドレスと一致していることを確認してください。ユーザープリンシパル名（UPN）がEメールアドレスの形式である場合、UPNなど他のIDを使用できます。AD FSでのシングルサインオンを機能させるには、nameIDがHubSpotユーザーに一致するようにEメールアドレスの形式である必要があります。 

1. [Claims Rule] ウィンドウで、[Add Rule] をクリックします。 
2. [Claim rule template] ドロップダウンメニューをクリックし、[ Send LDAP Attributes as Claims] を選択します。［次へ］をクリックします。
3. ［要求規則の構成］画面で次の手順を実行します。
   • [要求規則名] フィールドに、規則 名を入力します。 
   • ［属性ストア］ドロップダウンメニューをクリックし、［Active Directory］を選択します。 
   • ［LDAP属性のマッピング］テーブルで、次の項目をマッピングします。
     • ［LDAP属性］列で、ドロップダウンメニューをクリックし、［Eメールアドレス］を選択します。 
     • [Outgoing ClaimType]列でドロップダウンメニューをクリックし、[Eメールアドレス]を選択します。 
4. ［完了］をクリックします。 

次に、［着信要求の変換］規則をセットアップします。 

1. ［規則の追加］をクリックします。 
2. ［要求規則のテンプレート］ドロップダウンメニューをクリックし、［着信要求の変換］を選択します。[次へ]をクリックします。
3. [要求規則の構成] 画面で、次の操作を行います。
   • 要求規則名を入力します。 
   • ［着信要求タイプ］ドロップダウンメニューをクリックし、［Eメールアドレス］を選択します。 
   • ［発信要求タイプ］ドロップダウンメニューをクリックし、［名前ID］を選択します。 
   • ［発信名IDの形式］ドロップダウンメニューをクリックし、［Eメール］を選択します。 
   • ［完了］をクリックして新しい規則を追加します。 
4. ［OK］をクリックして両方の新しい規則を追加します。 

信頼の設定を調整

1. ［証明書利用者信頼］フォルダーで、［アクション］サイドバーメニューから［プロパティー］を選択します。
2. ［詳細設定］タブをクリックし、SHA-256がセキュアハッシュアルゴリズムとして指定されていることを確認します。

SHA-256とSHA-1の両方がサポートされていますが、SHA-256が推奨されています。 

PEM形式のx509証明書を探す

PEM形式のx509証明書にアクセスするには、次の手順を実行します。

1. AD FS管理ウィンドウに移動します。左のサイドバーメニューで、［サービス］>［証明書］に移動します。 
2. トークン署名証明書を見つけます。証明書を右クリックし、[証明書の表示] を選択します。 

3. ダイアログボックスで［詳細］タブをクリックします。 
4. ［ファイルにコピー］をクリックします。 
5. 開いている［証明書のエクスポート］ウィンドウで、［次へ］をクリックします。 
6. ［Base-64エンコードX.509（.CER）］を選択して、［次へ］をクリックします。 
7. エクスポートするファイルに名前を付けて、［次へ］をクリックします。 
8. ［完了］をクリックしてエクスポートを完了します。 
9. エクスポートしたファイルを見つけ、Notepadなどのテキストエディターを使用して開きます。 
10. ファイルの内容をコピーします。

HubSpotの設定を完了します。

1. HubSpotアカウントにログインします。 
2. HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
3. 左のサイドバーメニューで、[ セキュリティー]に移動します。
4. [ログイン ]タブの [シングルサインオン(SSO)] セクションで、[ 設定]をクリックします。
5. ファイルの内容を [X.509証明書]フィールドに貼り付けます。 
6. AD FSマネージャーに戻ります。 
7. 左のサイドバーメニューで、[エンドポイント]フォルダーを選択します。 
8. SSOサービスエンドポイントとエンティティーURLを検索します。SSOサービスのURLは通常「adfs/services/ls」で終わり、エンティティーURLは「adfs/services/trust」で終わります。
9. HubSpotに戻ります。[ID プロバイダーの識別子または発行者 URL] フィールドに、 エンティティ URL を入力します。
10. [IDプロバイダーのシングルサインオンURL] フィールドに、 SSOサービスのURLを入力します。 
11. ［確認］ をクリックします。 

注: HubSpotでシングルサインオンを設定するときにエラーが発生した場合は、デバイス上のイベントビューアーログでエラーメッセージを確認してください。エラーメッセージのトラブルシューティングができない場合は、HubSpotサポート［コンタクト］にお問い合わせください。