Active Directoryフェデレーションサービス(AD FS)を使用してシングルサインオン(SSO)をセットアップ
更新日時 2023年 6月 28日
以下の 製品でご利用いただけます(別途記載されている場合を除きます)。
|
|
|
|
HubSpot Enterpriseアカウントがある場合、Active Directoryフェデレーションサービス(AD FS)を使用してシングルサインオンをセットアップできます。
AD FSを使用してHubSpotアカウントにログインするには、次の要件を満たす必要があります。
- Active Directoryインスタンスのすべてのユーザーには、Eメールアドレス属性が必要です。
- HubSpot Enterpriseアカウントを使用しています。
- Windows Server 2008、2012、2019が稼働しているサーバーをお持ちの方。
注:このセットアッププロセスは、IDプロバイダーアカウントでアプリケーションを構築した経験があるIT管理者によって行われる必要があります。HubSpotでのSSOのセットアップについてご確認ください。
始める前に
始める前に、Microsoft AD FSを使用してSSOを設定するために、HubSpotアカウントから次の2つの値をメモしておいてください。
- HubSpotアカウントにログインします。
- HubSpotアカウントにて、メインのナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左サイドバーで、「アカウントの既定値」をクリックします。
- [セキュリティー]タブをクリックします。
- シングルサインオンを設定する]をクリックします。
- シングルサインオンの設定 ]スライドインパネルで、[ Microsoft AD FS ]をクリックします。
- Audience URI (Service Provider Entity ID )とSign on URL、ACS、Recipient、またはRedirectの値は、設定プロセスでMicrosoft AD FSに追加する必要があるため、両方ともメモしておいてください。
1.リライイングパーティトラスト(RPT)の追加
Active Directoryフェデレーションサービス(AD FS)マネージャーを開き、以下の手順を実行します。
- AD FSマネージャーで、証明書利用者信頼(RPT)フォルダーを開きます。
- 右側のサイドバーメニューで、[証明書利用者信頼の追加...]を選択します。
- [証明書利用者信頼の追加ウィザード]ダイアログボックスで、[開始]をクリックして新しいRPTを追加します。
- [データソース選択]画面で、[証明書利用者についてのデータを手動で入力する]を選択します。
- [次へ>]をクリックします。
- [表示名]フィールドに、信頼の名前を入力します。これは内部で使用するため、簡単に認識できる名前を付けるようにしてください。
- [次へ>]をクリックします。
- [証明書を設定]画面で、デフォルトの設定をそのままにして、[次へ>]をクリックします。
- [SAML 2.0 WebSSOプロトコルのサポートを有効にする]チェックボックスを選択します。Relying party SAML 2.0 SSO service URL ]フィールドに、HubSpotアカウントからサインオンURL、ACS、受信者、リダイレクト URLのいずれかを入力します。

- [次へ>]をクリックします。
- [証明書利用者信頼の識別子]フィールドで次の手順を実行します。
- HubSpotアカウントからAudience URI(Service Provider Entity ID)の値を入力します。
- https://api.hubspot.comと入力して[追加]をクリックします。
- [次へ>]をクリックします。
- [アクセス制御ポリシーを選択]ウィンドウで、[すべてのユーザーを許可]を選択して、[次へ>]をクリックします。
- 設定を確認し、[次へ>]をクリックします。
- [閉じる]をクリックします。
2. 要求規則の作成
要求規則をセットアップする前に、ユーザーのEメールアドレスがHubSpotユーザーのEメールアドレスに一致することを確認してください。ユーザープリンシパル名(UPN)がEメールアドレスの形式である場合、UPNなど他のIDを使用できます。AD FSを使用したシングルサインオンが機能するには、HubSpotユーザーと一致するために、名前IDがEメールアドレスの形式である必要があります。
- [要求規則]ウィンドウで、[規則の追加]をクリックします。
- [要求規則のテンプレート]ドロップダウンメニューをクリックし、[LDAP属性を要求として送信]を選択します。
- [次へ>]をクリックします。
- [要求規則の構成]画面で次の手順を実行します。
- [要求規則名]フィールドに規則名を入力します。
- [属性ストア]ドロップダウンメニューをクリックし、[Active Directory]を選択します。
- [LDAP属性のマッピング]テーブルで、次の項目をマッピングします。
- [LDAP属性]列で、ドロップダウンメニューをクリックし、[Eメールアドレス]を選択します。
- [発信要求タイプ]列で、ドロップダウンメニューをクリックし、[Eメールアドレス]を選択します。
- [完了]をクリックします。
次に、[着信要求の変換]規則をセットアップします。
- [規則の追加]をクリックします。
- [要求規則のテンプレート]ドロップダウンメニューをクリックし、[着信要求の変換]を選択します。
- [次へ>]をクリックします。
- [要求規則の構成]画面で次の手順を実行します。
- 要求規則名を入力します。
- [着信要求タイプ]ドロップダウンメニューをクリックし、[Eメールアドレス]を選択します。
- [発信要求タイプ]ドロップダウンメニューをクリックし、[名前ID]を選択します。
- [発信名IDの形式]ドロップダウンメニューをクリックし、[Eメール]を選択します。
- [完了]をクリックして新しい規則を追加します。
- [OK]をクリックして両方の新しい規則を追加します。
3. 信頼の設定を調整
[証明書利用者信頼]フォルダーで、[アクション]サイドバーメニューから[プロパティー]を選択します。[詳細設定]タブをクリックし、SHA-256がセキュアハッシュアルゴリズムとして指定されていることを確認します。SHA-256とSHA-1の両方がサポートされていますが、SHA-256が推奨されています。
4. PEM形式のx509証明書を探す
PEM形式のx509証明書にアクセスするには、次の手順を実行します。
- AD FS管理ウィンドウに移動します。左のサイドバーメニューで、[サービス]>[証明書]に移動します。
- トークン署名証明書を見つけます。証明書を右クリックして、[証明書の表示]を選択します。
- ダイアログボックスで[詳細]タブをクリックします。
- [ファイルにコピー]をクリックします。
- 開いている[証明書のエクスポート]ウィンドウで、[次へ]をクリックします。
- [Base-64エンコードX.509(.CER)]を選択して、[次へ]をクリックします。
- エクスポートするファイルに名前を付けて、[次へ]をクリックします。
- [完了]をクリックしてエクスポートを完了します。
- エクスポートしたファイルを見つけ、Notepadなどのテキストエディターを使用して開きます。
- ファイルの内容をコピーします。
5. HubSpotのセットアップを完了する
- HubSpotアカウントにログインします。
- HubSpotアカウントにて、メインのナビゲーションバーに表示される設定アイコンsettingsをクリックします。
- 左サイドバーで、「アカウントの既定値」をクリックします。
- [セキュリティー]タブをクリックします。
- シングルサインオンを設定する]をクリックします。
- シングルサインオンの設定 ]スライドインパネルで、[ Microsoft AD FS ]をクリックします。
- X.509 Certificate の欄に、ファイルの内容を貼り付けます。
- AD FSマネージャーに戻ります。
- 左のサイドバーメニューで[エンドポイント]フォルダーを選択します。
- SSOサービスのエンドポイントとエンティティーURLを検索します。SSOサービスURLは通常「adfs/services/ls」で終了し、エンティティーURLは「adfs/services/trust」で終了します。
- HubSpotに戻ります。Identity provider Identifier or Issuer フィールドに、エンティティの URL を入力します。
- Identity Provider Single Sign-On URL 欄に、SSO サービスの URL を入力します。
- [確認] をクリックします。
注:HubSpotでシングルサインオンを構成する際にエラーが発生した場合は、デバイスのイベント ビューアー ログでエラーメッセージを確認します。エラーメッセージをトラブルシューティングできない場合は、HubSpotサポートにお問い合わせください。