シングルサインオンの設定(SSO)
更新日時 2023年 1月 19日
シングルサインオン(SSO)を使用すると、チームの各メンバーは、自社で使用するすべてのシステムを1つのアカウントで利用できるようになります。HubSpot Enterpriseをご利用で、自社にSSOがセットアップ済みの場合、SSOの資格情報を使用してHubSpotにログインすることをユーザーに求めることが可能です。
全般的なセットアップ
- IDプロバイダーアカウントにログインします。
- アプリケーションに進みます。
- HubSpotの新しいアプリケーションを作成します。
- オーディエンスURIと、サインオンURL、ACS、受信者、またはリダイレクトの値を取得するには、次の手順に従います。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- 左のサイドバーメニューで、[アカウントの既定値]を選択します。
- [セキュリティー]タブをクリックします。
- [ログイン]の下にある[シングルサインオン]をクリックします。
- 右側のパネルで、必要に応じて値の横の[コピー]をクリックします。Microsoft AD FSを使用している場合は、[Microsoft AD FS]タブをクリックして必要な値をコピーします。
- IDプロバイダーアカウント上で、必要なフィールドに貼り付けます。
- ユーザー名の形式/名前IDの設定を求められた場合、Eメールに設定します。
- オーディエンスURIと、サインオンURL、ACS、受信者、またはリダイレクトの値を取得するには、次の手順に従います。
- IDプロバイダーまたは発行者のURL、シングルサインオンURL、およびIDプロバイダーからの証明書をコピーし、HubSpotのSSO設定パネル内の該当するフィールドに貼り付けます。
- [認証]をクリックします。
Active Directoryフェデレーションサービス(AD FS)を使用する場合は、AD FSを使用したシングルサインオンのセットアップを参照してください。
すべてのユーザーにSSOを求める
SSOをセットアップした後、すべてのユーザーに対し、SSOを使ってHubSpotにログインするよう求めることができます。
注:
すべてのユーザーにSSOを求めるには、次のようにします。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- 左のサイドバーメニューで[アカウントの既定値]をクリックします。
- [セキュリティー]タブをクリックします。
- [ログイン]の下で、[ログインにシングルサインオンを必須にします]チェックボックスをオンにします。
特定のユーザーをSSO要件から除外する
SSOをセットアップした後、SSO要件から特定のユーザーを除外すると、そのユーザーはHubSpotユーザーアカウントでもログインできるようになります。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- 左のサイドバーメニューで[アカウントの既定値]をクリックします。
- [セキュリティー]タブをクリックします。
- [ログイン]の下で、[除外されたユーザーを管理]をクリックします。
- ダイアログボックスの[ユーザーを選択]ドロップダウンメニューをクリックし、HubSpotアカウントにログインできるユーザーを選択します。例えば、SSOログインを持たないパートナー企業や請負業者を選択できます。
- [保存]をクリックします。
注: [ログインにシングルサインオンを必須にします]チェックボックスをオンにしているユーザーは、除外されるユーザーに自動的に追加されます。スーパー管理者権限を持つユーザーを少なくとも1人除外することをお勧めします。このユーザーが、IDプロバイダーの停止時にログインして[ログインにシングルサインオンを必須にします]チェックボックスをオフにすることによって、すべてのユーザーがHubSpotアカウントでログインできるようになります。
特定のIDプロバイダーの手順
Okta
注: Oktaインスタンスでは、管理者のアクセス権が必要です。この手順は、OktaのクラシックUIでのみ行えます。
- Oktaにログインします。Okta開発者アカウントの管理インスタンスにログインしていることを確認してください。
- 上部ナビゲーションバーの[Applications(アプリケーション)]をクリックします。
- [Add application(アプリケーションを追加)]をクリックします。
- 「HubSpot SAML」を検索し、[Add(追加)]をクリックします。
- [General Settings(全般設定)]画面で [Done(完了)]をクリックします。
- アプリケーションの詳細ページで、[Sign On(サインオン)]タブをクリックします。
- 「SAML 2.0 is not configured until you complete the setup instructions(SAML 2.0は、セットアップ手順を完了するまで構成されません)」というメッセージの下で、[View Setup Instructions(セットアップ手順を表示)]をクリックします。これにより、新しいタブが開きます。そのタブを開いたまま、Oktaの元のタブに戻ります。
- 同じタブで、[Advanced Sign-on Settings(詳細サインオン設定)]まで下にスクロールし、[Portal Id(ポータルID)]フィールドにHub IDを追加します。自社のHub IDを調べる方法をご覧ください。
- ユーザー設定に移動します。HubSpotアカウント内にも含まれているユーザー(自分を含む)に新しいアプリを割り当てます。
- [View Setup Instructions(セットアップ手順の参照)]タブに戻ります。各URLおよび証明書をコピーし、HubSpotの[IDプロバイダーのIDまたは発行者URL]フィールド、[IDプロバイダーのシングルサインオンURL]フィールド、および[X.509証明書]フィールドに貼り付けます。
- [認証]をクリックします。設定を完了し、保存するために、Oktaアカウントでログインすることを求められます。
SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのIDプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。
OneLogin
注: 必要に応じてOneLogin上に新しいSAML 2.0アプリケーションを作成するためには、OneLoginインスタンスの管理者アクセス権が必要です。
-
OneLoginにログインします。
-
[Apps(アプリ)]に移動します。
-
「HubSpot」を検索します。
-
「SAML 2.0」と表示されたアプリをクリックします。
-
右上の[Save(保存)]をクリックします。
-
[Configuration(構成)]タブをクリックします。
-
[HubSpot Account ID(HubSpotアカウントID)]フィールドにHub IDを追加します。自社のHub IDを調べる方法をご覧ください。
- [SSO]タブをクリックします。
- OneLoginから以下のフィールドをコピーし、HubSpotのSSOセットアップパネルの該当するフィールドに貼り付けます。
- [Issuer URL(発行者URL)]の下にある値をコピーし、[IDプロバイダーのIDまたは発行者URL]に貼り付けます。
- [SAML 2.0 Endpoint (HTTP)(SAML 2.0エンドポイント(HTTP))]の下にある値をコピーし、[IDプロバイダーのシングルサインオンURL]に貼り付けます。
- [X.509 Certificate(X.509証明書)]から[View Detail(詳細を表示)]をクリックし、証明書をコピーして[X.509証明書]に貼り付けます。
-
OneLoginアカウントの右上にある[Save(保存)]をクリックします。
SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのIDプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。
Azure Active Directory
Azure Active Directoryユーザーの場合、Microsoft Azure MarketplaceでHubSpotアプリをインストールし、Microsoftの手順に従って連携をセットアップしてください。これにより、Azure ADをユーザーアクセスの管理に使用し、HubSpotのシングルサインオンを有効にできます。
SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのSSOプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。
G-SuiteをIDプロバイダーとして使用し、HubSpotシングルサインオンをセットアップする方法は、Googleの手順を確認してください。
SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのSSOプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。
よくある質問
HubSpotによってSAMLサービスプロバイダーとして使用されるバインドはどれですか?
HubSpotではHTTP Postが使用されます。
Active Directoryフェデレーションサービスを使用しています。どのような証明書利用者信頼(RPT)を使用すればよいですか?
HubSpotユーザーはEメールアドレスによって識別されます。ご使用のIDプロバイダーによって送信されるnameIDが、HubSpotユーザーのEメールアドレスに対応する形式になっていることを確認してください。
HubSpotはどのような署名アルゴリズムに対応していますか?
HubSpotは、署名アルゴリズムとしてSHA-1とSHA-256に対応しています。SHA-256を使って署名することをお勧めします。
x509証明書は、どのような形式で提供すればよいですか?
HubSpotではPEM形式のx509証明書が必要です。PEMファイルのテキストの内容を、HubSpotのx509証明書フィールドにコピーする必要があります。この値には、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」も含める必要があります。
2要素認証、必須の2要素認証、SSO、および必須のSSOを同時に有効にすることはできますか?
はい。2要素認証(2FA)が有効になっている場合は、HubSpotユーザー名とパスワードによるあらゆるログインに対して有効です。HubSpotの2FAを有効にしても、Googleの2FAやSSOを使用してログインすることが可能です。したがって、ユーザーがSSO要件から除外されている場合、SSOを迂回するすべてのログインが2FAまたはGoogleを確実に通過するように、HubSpotの2FAを要求することができます。
Google アカウントの2FAを有効にする場合、HubSpotのセットアップとは別に行います。ただし、Google アカウントを使ってHubSpotにログインすると、Googleの2FAによってHubSpotアカウントが保護されます。
アカウントで2要素認証またはSSOが同時に必要な場合、つまり同時に有効化されている場合、以下の状況が発生します。
- SSOによるアカウントへのログインが必須の場合は、SSOでのみログインが可能です。新しいデバイスを使用する際は、Eメールで送られてくるコードを入力するか、2要素認証(有効化されている場合)を使用する必要もあります。デバイスで[ログイン情報を記憶]をクリックすると、2要素認証のチャレンジが6か月に1回のみになります。
- アカウント上はSSOが必須でも自分が除外されている場合は、2要素認証またはGoogleを使ってログインできます。
- SSOがセットアップされていなくても2FAでのログインが必須の場合は、2FAまたはGoogleを使ってログインできます。
- アカウント上の要件はなくてもSSOが有効化されている場合は、SSOを含むどの方法でもログインできます。
関連記事
-
HubSpotユーザー権限ガイド
ユーザーの追加および編集権限を持つHubSpotユーザーは、HubSpotアカウント内の新しいユーザーと既存のユーザーの権限をカスタマイズできます。 [ユーザーとチーム]設定にアクセスしてユーザー権限を更新する...
ナレッジベース -
Sales Hub と Service Hub の有料ユーザーを管理する
Sales HubアカウントまたはService Hubアカウントにユーザーの追加および編集権限と請求の変更権限の両方が付与されている場合、他のユーザーにサブスクリプションに含まれる有料のセールスやサービスの機能...
ナレッジベース -
HubSpotの2要素認証ログインを設定する
通常、HubSpotにログインするには、ユーザー名とパスワードだけが必要です。2要素認証(2FA)が有効になっている場合は、ログイン時に携帯電話などの別個のデバイスを使用した認証が必要です。...
ナレッジベース