シングルサインオン(SSO)をセットアップして非公開コンテンツにアクセスする
更新日時 2023年 2月 16日
シングルサインオン(SSO)は、単一のユーザー名とパスワードにより、複数の異なるアプリケーションに安全にログインするための手段です。
非公開コンテンツに対してSSOを使用することにより、IT管理者はGoogleやOktaなどのIDプロバイダーアカウントの中でHubSpotアプリをセットアップできます。IDプロバイダーアカウント内のHubSpotアプリにアクセスできる組織のメンバーは、SSOでログインして非公開コンテンツを表示できます。
HubSpotアカウントのリストメンバーシップに基づいて、特定のコンテンツにアクセスできる個人をさらに絞り込むことができます。リストメンバーシップに基づいてコンテンツへのアクセスを許可するチームメンバーには、HubSpotアカウント内にコンタクトレコードがなければなりません。
非公開コンテンツのSSOは、次のサブスクリプションでご利用いただけます。
- マーケティングハブとCMSハブエンタープライズアカウントでは、ブログ、ランディングページ、ウェブサイトページにSSOを設定することができます。
- サービスハブプロフェッショナルおよびEnterpriseアカウントでは、ナレッジベース記事とカスタマーポータルに SSOを設定することができます。
始める前に
- このセットアッププロセスは、IDプロバイダーアカウントでアプリケーションを作成した経験を持ち、HubSpotでウェブサイトの設定を編集する権限が付与されているIT管理者が実施する必要があります。
- IDプロバイダーアカウントごとに、HubSpotでホスティングされている1つのサブドメインについてSSOを設定できます。最適な結果を得るためには、1つのサブドメインをSSOメンバーシップ専用にすることをおすすめします。
- SSOを必要とする非公開コンテンツの通知Eメールとログインページは、HubSpotの非公開コンテンツ設定ではなく、ご利用のIDプロバイダーアカウントで処理されます。
- SSOを必要とする非公開コンテンツは検索エンジンによってクロールされず、アクセス権限が付与されているログイン済みコンタクトに対してのみ表示されます。
- 画像やフォームなどのページアセットは、ページの一部としてアクセスするためにのみSSOを必要とします。アセット自体のURLが別途提供されている場合は、アクセスにSSOは必要ありません。ファイルツールでアセットにURLの可視性を設定する方法については、こちらをご覧ください。
IDプロバイダーアカウントでHubSpot非公開コンテンツに対するSSOをセットアップする
HubSpotでホスティングされる非公開コンテンツに対するSSOをセットアップするために、IT管理者はHubSpotコンテンツアクセスのための新しいアプリを作成することになります。このプロセスを完了するには、IT管理者がHubSpotの非公開コンテンツ設定に含まれている値を参照します。
注:メンバー登録による非公開コンテンツをすでにホスティングしているサブドメインでSSOを必須とする場合、そのコンテンツに登録済みコンタクトがアクセスできなくなります。
IDプロバイダーに新しいアプリを追加するために必要な手順とフィールドは、状況に応じて異なる場合があります。非公開コンテンツに対するSSOをセットアップするための一般的な手順は、以下のとおりです。
SAMLベースのアプリケーションを対象にSSOをセットアップする
IDプロバイダーアカウントでHubSpot非公開コンテンツの新しいSAMLアプリを作成するには、次の手順に従います。
- IDプロバイダーアカウントにログインします。
- IDプロバイダーアカウント内のアプリに移動します。
- HubSpotアカウントで、新しいHubSpotアプリに必要な値を収集します。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- 左のサイドバーメニューで、[ウェブサイト]>[非公開コンテンツ]の順に進みます。
- ページの上部にある[編集するドメインを選択]ドロップダウンメニューをクリックし、サブドメインを選択します。
- [シングルサインオン(SSO)]セクションで、[SSOセットアップ]をクリックします。
- 右側のパネルで、[セキュリティートークンの形式]ドロップダウンメニューをクリックし、[SAML]を選択します。
- [オーディエンスURL]と[サインオンURL]の値をコピーします。
- IDプロバイダーアカウントで、次の操作を行います。
- HubSpotからコピーしたオーディエンスURLとサインオンURLを、対応するフィールドに貼り付けます。
-
- [発行者URL]、[シングルサインオンURL]、[証明書]のIDをコピーします。
- HubSpotアカウントで、次の操作を行います。
- 発行者URL、シングルサインオンURL、および証明書の値を、[シングルサインオンを設定]パネル内の対応するフィールドに貼り付けます。
- [認証]をクリックします。
認証プロセスが完了したら、[非公開コンテンツ]設定で、ドメインでシングルサインオンが有効になっていることを確認します。
JWTベースのアプリケーションを対象にSSOをセットアップする
- IDプロバイダーアカウントで、次の操作を行います。
- IDプロバイダーアカウント内のアプリに移動します。
- [リモートログインURL]と[シークレットキー]のIDをコピーします。署名アルゴリズムを見つけます。
- セキュリティーを強化するために、[問題]、[件名]、[オーディエンス]の値をコピーします。
- HubSpotアカウントで、これらの値をSSO設定に入力します。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- 左のサイドバーメニューで、[ウェブサイト]>[非公開コンテンツ]の順に進みます。
- ページの上部にある[編集するドメインを選択]ドロップダウンメニューをクリックし、サブドメインを選択します。
- [シングルサインオン(SSO)]セクションで、[SSOセットアップ]をクリックします。
- 右側のパネルで、[セキュリティートークンの形式]ドロップダウンメニューをクリックし、[JWT]を選択します。
- リモートログインURLを貼り付けます。
- [署名アルゴリズム]ドロップダウンメニューをクリックし、IDプロバイダーアカウントの値を選択します。
- シークレットキーを貼り付けます。
-
- セキュリティーを強化するために、[問題]、[件名]、[オーディエンス]の値を貼り付けます。
- [認証]をクリックします。
SSO設定内で指定された「リモートログインURL」へのウィンドウが開きます。ウィンドウで開いたURLには、クエリーパラメーター「redirect_url」の値として、設定するドメイン上のURLとパス「_hcms/mem/jwt/verify」を指定します。
検証のためには、「リモートログインURL」に認証情報を入力した後、「redirect_url」パラメータで指定したURLへリクエストを行う必要があります。このリクエストには、クエリパラメータ 'jwt' を含める必要があり、その値はJWT/ハッシュでなければなりません。このハッシュは、一度復号されると、有効なEメールアドレスを持つ 'email' フィールドをそのペイロードに含むようになります。
JWT/hashは、SSO設定内で提供された署名アルゴリズムと秘密鍵を使用してHubSpotによって復号化されます。リモートログインURL」ページで有効な認証情報が入力された後に行われるこの後続のリクエストの送信は、IDプロバイダーアカウント内で設定される必要があります。
認証プロセスが完了したら、[非公開コンテンツ]設定で、ドメインでシングルサインオンが有効になっていることを確認します。
検証が完了したら、「リモートログインURL」での検証をパスした訪問者は、2つのクエリパラメータで「_hcms/mem/jwt」に送信されるはずです。
- 'jwt' クエリパラメータにハッシュを設定し、復号化すると、Eメールフィールドに訪問者のEメールアドレスが格納されます。
- 'redirect_url' クエリパラメータで、訪問者を誘導するページを指定します。このURLは、「リモートログインURL」に送信されるリクエストの「redirect_url」クエリパラメータの値と同じである必要があります。
コンテンツのSSOを有効にする
非公開コンテンツに対してSSOを必須にするには、次の2つのオプションがあります。
- 非公開 - シングルサインオン(SSO)必須:IDプロバイダー組織の中でHubSpotアプリにアクセスできるすべてのユーザーは、SSOでログインして非公開コンテンツを表示できます。
- 非公開 - シングルサインオン(SSO)必須、リスト絞り込みあり:IDプロバイダー組織のユーザーであり、特定のHubSpotリストメンバーシップにも登録されているユーザーは、SSOでログインして非公開コンテンツを表示できます。これらのユーザーはIDプロバイダーアカウント内のHubSpotアプリケーションに対するアクセス権を持っている必要がありますが、HubSpotアカウント内のユーザーである必要はありません。
ブログに対してSSOを必須にする
IDプロバイダーアカウント内で接続したサブドメインでホスティングされているブログに対してSSOを必須にすることができます。特定のブログに対してSSOを有効にすると、そのブログで公開されるすべてのブログ記事が影響を受けます。特定のブログ記事に対してSSOを必須にすることはできません。
注:メンバー登録を必要とする非公開コンテンツをすでにホスティングしているブログでSSOを必須にすると、コンテンツに登録しているコンタクトがそのブログにアクセスできなくなります。
ブログに対するSSOをセットアップするには、次の手順に従います。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- 左のサイドバーメニューで、[ウェブサイト]>[ブログ]の順に進みます。
- 左上の[修正するブログを選択]ドロップダウンメニューをクリックし、IDプロバイダーで設定されているサブドメインでホスティングされているブログを選択します。
- [オーディエンスアクセスを制御]セクションで、SSOをセットアップします。
- IDプロバイダー組織の中でHubSpotアプリにアクセスできるすべてのユーザーに対して、HubSpotアプリにアクセスするためのアクセス権を付与する場合は、[非公開 - シングルサインオン(SSO)必須]を選択します。
- IDプロバイダー組織の中でHubSpotアプリにアクセスできて、かつ特定のリストメンバーシップを持つすべての個人ユーザーに対してアクセス権を付与する場合は、[非公開 - シングルサインオン(SSO)必須、リスト絞り込みあり]を選択します。次に、このコンテンツへのアクセス権を付与するリストを選択します。
- 左下の[保存]をクリックします。
ランディングページまたはウェブサイトページに対してSSOを必須にする
IDプロバイダーアカウント内で接続したサブドメインでホスティングされているランディングページまたはウェブサイトページに対してSSOを必須にすることができます。
注:メンバー登録を必要とする非公開コンテンツをすでにホスティングしているランディングページまたはウェブページのSSOを有効にすると、コンテンツに登録しているコンタクトがそのページにアクセスできなくなります。
特定のページに対してSSOをセットアップするには、次の手順に従います。-
コンテンツを開きます。
- ウェブサイトページ:HubSpotアカウントにて、[マーケティング] > [ウェブサイト] > [ウェブサイトページ]の順に進みます。
- ランディングページ:HubSpotアカウントにて、[マーケティング] > [ランディングページ]の順に進みます。
- SSOを必須にするページの横にあるチェックボックスを選択してオンにします。
- テーブルの上部にある「More」ドロップダウンメニューをクリックし、「Control audience access」を選択します。
- 右側のパネルで、選択したページに対してSSOを設定し、[ 保存 ]をクリックします。
- IDプロバイダー組織の中でHubSpotアプリにアクセスできるすべてのユーザーに対して、HubSpotアプリにアクセスするためのアクセス権を付与する場合は、[非公開 - シングルサインオン(SSO)必須]を選択します。
- IDプロバイダー組織の中でHubSpotアプリにアクセスできて、かつ特定のリストメンバーシップを持つすべての個人ユーザーに対してアクセス権を付与する場合は、[非公開 - シングルサインオン(SSO)必須、リスト絞り込みあり]を選択します。次に、このコンテンツへのアクセス権を付与する特定のリストを選択します。
- また、コンテンツエディターの「設定」タブで、特定のページに対するオーディエンスのアクセスを制御することができます。
特定のナレッジベース記事に対してSSOを必須にする
IDプロバイダーアカウント内で接続したサブドメインでホスティングされているナレッジベース記事に対してSSOをセットアップすることができます。現在、ナレッジベース全体でSSOを必須にすることはできません。
注:メンバー登録を必要とする非公開コンテンツに対してすでに設定されているナレッジベース記事でSSOを必須にすると、コンテンツに登録しているコンタクトがその記事にアクセスできなくなります。
特定のナレッジベース記事に対してSSOをセットアップするには、次の手順に従います。
- HubSpotアカウントにて、[サービス] > [ナレッジベース]の順に進みます。
- [記事]タブをクリックします。
- SSOを必須とする記事の横にあるチェックボックスを選択してオンにします。
- テーブルの上部にある[オーディエンスアクセスを制御]をクリックします。
- 右側のパネルで、これらの記事に対してSSOを設定し、[ 保存 ]をクリックします。
- IDプロバイダー組織の中でHubSpotアプリにアクセスできるすべてのユーザーに対して、HubSpotアプリにアクセスするためのアクセス権を付与する場合は、[非公開 - シングルサインオン(SSO)必須]を選択します。
- IDプロバイダー組織の中でHubSpotアプリにアクセスできて、かつ特定のリストメンバーシップを持つすべての個人ユーザーに対してアクセス権を付与する場合は、[非公開 - シングルサインオン(SSO)必須、リスト絞り込みあり]を選択します。次に、このコンテンツへのアクセス権を付与する特定のリストを選択します。
特定記事へのオーディエンスアクセスの管理は、記事エディターの[設定]タブでも可能です。
非公開コンテンツのSSOを無効にする
非公開コンテンツのSSOを無効にした場合のコンテンツへの影響は、選択した設定に応じて異なる場合があります。
- [非公開 - シングルサインオン必須]に設定されたコンテンツは公開されます。
- [非公開 - シングルサインオン必須、リスト絞り込みあり]に設定されたコンテンツはアクセス不可になります。
SSOを無効にしてもコンテンツを非公開のままにするには、その非公開コンテンツのオーディエンスアクセスを、[非公開 - シングルサインオン必須、リスト絞り込みあり]に変更することをおすすめします。こうすると、このコンテンツのオーディエンスアクセスを変更して、CMSメンバーシップ登録が必須になるようにすることができます。
非公開コンテンツのSSOを無効にするには、次の手順に従います。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- 左のサイドバーメニューで、[ウェブサイト]>[非公開コンテンツ]の順に進みます。
- 設定の上部にある[編集するドメインを選択]ドロップダウンメニューをクリックし、ドメインを選択します。
- [シングルサインオン(SSO)]セクションで、[SSOを管理]をクリックします。
- パネル下部にある[SSOが有効]スイッチをクリックしてオフにします。
関連記事
-
HubSpotユーザーを追加する
HubSpotアカウント上でユーザーの追加と編集の権限を付与されているユーザーは、新規ユーザーの作成とユーザー権限のカスタマイズを行えます。 アカウントからユーザーを削除する方法についても説明します。 ユーザーの追加
ナレッジベース -
HubSpotユーザー権限ガイド
ユーザーの追加および編集権限を持つHubSpotユーザーは、HubSpotアカウント内の新しいユーザーと既存のユーザーの権限をカスタマイズできます。 [ユーザーとチーム]設定にアクセスしてユーザー権限を更新する...
ナレッジベース -
HubSpotのプロパティーフィールドのタイプ
HubSpotでカスタムプロパティー...
ナレッジベース