Oktaを介してSCIMでHubSpotユーザーをプロビジョニングする

SCIM（System for Cross-domain Identity Management）を使用してユーザーをプロビジョニングすることで、Oktaを介してHubSpotのユーザーを安全かつ自動的に作成し、管理できるようになります。

この記事では、Oktaを介してユーザープロビジョニングを設定する方法をご紹介します。

前提条件

• HubSpotのアカウントでシングルサインオン（SSO）が有効になっている必要があります。 
• SCIMを設定する前に、チームのOkta Rolesに基づいて HubSpot のユーザー権限セットを設定することをお勧めします。
• ユーザーの権限を設定するには、HubSpotで権限セットを作成する必要があります。OktaのRoleが HubSpotの権限セット名と一致すれば、Oktaはそのユーザーに権限を割り当てることができます。 
• SCIMで設定したユーザーに有料シートを割り当てるには、まずHubSpotでシートを購入し、有料シート付きの権限セットを作成する必要があります。そして、Oktaで、ユーザーのRoleを、設定した権限と同じになるように設定します。
• ドメインを認証するには、DNSレコードを更新する必要があります。DNSプロバイダーに対するログイン情報が設定されていて、TXTレコードにアクセスできることを確認してください。

SCIMプロビジョニングを設定する

Oktaを介したSCIMユーザープロビジョニングを設定するには、まず、OktaでHubSpotアプリを追加し、そのアプリにユーザーを割り当てる必要があります。

• Oktaにログインします。
• 左のサイドバーメニューで［Applications（アプリケーション）］>［Applications（アプリケーション）］を選択し、OktaアカウントでHubSpotアプリを参照して追加します。
• HubSpotアプリの画面で、［Provisioning（プロビジョニング）］タブをクリックし、［Configure API Integration（API統合の構成）］をクリックします。
  
  
• ［Enable API integration（API統合を有効にする）］チェックボックスをオンにして、［Authenticate with HubSpot（HubSpotで認証する）］をクリックします。新しいウィンドウが開きます。このウィンドウで、OktaにHubSpotアカウントへのアクセス権を付与できます。
• HubSpotのウィンドウで、Oktaを統合するアカウントを選択し、［Choose account（アカウントを選択）］をクリックします。
• ［Connect app（アプリを接続）］をクリックします。ウィンドウが閉じて、Okta管理コンソールにリダイレクトされます。
• ［保存］をクリックします。
• ［Provisioning（プロビジョニング）］タブで、［Edit（編集）］をクリックし、OktaでHubSpotを対象にユーザーをプロビジョニングする方法を選択します。
  
• ［Create Users（ユーザーの作成）］、［Update User Attributes（ユーザー属性の更新）］、［Deactivate Users（ユーザーの無効化）］の横にある［Enable（有効にする）］チェックボックスをそれぞれオンにします。
• ［保存］をクリックします。
• 次に、HubSpotアプリにユーザーを割り当てます。

ドメインを認証する

OktaでHubSpotアプリを追加した後は、HubSpotでドメインを認証するために、DNSレコードを更新する必要があります。 

• HubSpotアカウントにて、ナビゲーションバーに表示される［設定アイコン settings］をクリックします。
• 左のサイドバーメニューで、［連携］>［接続されたアプリ］に移動します。
• ［Okta SCIM］をクリックします。

• ［ドメイン］フィールドに、ユーザーのメール送信ドメインを入力します。

• ［保存］をクリックします。
• ［今すぐ認証］をクリックします。

• ダイアログボックスで、［次へ］を選択します。

• ［値］列にある値をコピーします。この値は、DNSプロバイダーで新しいTXTレコードを作成する際に使用することになります。
• DNSプロバイダーアカウントにログインし、認証するドメイン用の新しいTXTレコードを作成します。HubSpotからコピーした値を［値／ポイント先／ターゲット］フィールドに貼り付けます。 
• TXTレコードを作成したら、HubSpotに戻って［次へ］をクリックします。DNSの変更が伝播すると、ドメインが認証されます。

注：DNSの変更が伝播されてHubSpotに反映されるまでに最大48時間かかる場合があります。

SCIMのプロビジョニングを無効にする

HubSpotでSCIMプロビジョニングを無効にするには、Oktaアカウントに変更を加える前に、HubSpotでOkta SCIMをアンインストールする必要があります。 

• HubSpotアカウントにて、ナビゲーションバーに表示される［設定アイコン settings］をクリックします。
• 左のサイドバーメニューで、［連携］>［接続されたアプリ］に移動します。
• Okta SCIMアプリで、「Actions」ドロップダウンメニューをクリックし、「Uninstall」をクリックします。
• Oktaアカウントでは、ユーザーは編集可能になり、SCIMとの同期は行われなくなります。

よくある質問

SCIMで作成されたユーザーをHubSpotで編集することはできますか？

いいえ。SCIMで作成されたユーザーは、IDプロバイダーを通じてのみ更新することができます。これには、ユーザー権限、ユーザー名、メールアドレスが含まれます。 

Oktaはユーザーをチームに割り当てることができますか？

いいえ。ただし、ユーザーがHubSpotに追加された後は、HubSpotでチームを手動で更新することができます。

HubSpotやOktaでSCIMユーザーを削除するとどうなりますか？

HubSpotでユーザーを削除しても、Oktaでそのユーザーが削除されることはありません。ただし、ユーザーのHubSpotへのアクセス権をOktaから削除したり、Oktaでユーザーのアカウントを無効にしたりすると、そのユーザーはHubSpotでも削除されます。HubSpotにユーザーを追加しても、そのユーザーはOktaに追加されません。

Oktaを接続すると、HubSpotアカウントの既存ユーザーはどうなりますか？

Oktaを介してSCIMを設定すると、Oktaのユーザーと一致する既存のHubSpotユーザーは、自動的にSCIMユーザーに変換されます。HubSpotは、OktaのRoleに基づいた権限セットをユーザーに割り当てようとします。OktaでHubSpotの権限設定と一致するロールがない場合、そのユーザーはHubSpotで最低限の権限しか持っていないことになります。 

このドメインは確認できませんでした」というエラーが表示されるのですが、どのように修正すればよいのでしょうか。

このエラーが表示される場合は、ドメインが正しく入力されているか、スペルミスがないかを確認してください。また、HubSpotの設定ステップからTXTレコードの正しい値をDNSプロバイダーにコピーしたことを確認してください。