シングルサインオン（SSO）をセットアップして非公開コンテンツにアクセスする

シングルサインオン（SSO）は、単一のユーザー名とパスワードにより、複数の異なるアプリケーションに安全にログインするための手段です。

非公開コンテンツに対してSSOを使用することにより、IT管理者はGoogleやOktaなどのIDプロバイダーアカウントの中でHubSpotアプリをセットアップできます。IDプロバイダーアカウント内のHubSpotアプリにアクセスできる組織のメンバーは、SSOでログインして非公開コンテンツを表示できます。 

HubSpotアカウントのリストメンバーシップに基づいて、特定のコンテンツにアクセスできる個人をさらに絞り込むことができます。リストメンバーシップでコンテンツにアクセスするには、これらのチームメンバーがHubSpotアカウントでコンタクトレコード。

非公開コンテンツのSSOは、次のサブスクリプションでご利用いただけます。

• コンテンツハブ Professionalおよび Enterpriseアカウントでは、ブログ、ランディングページ、ウェブサイトページに SSO を設定できる。
• Service Hub ProfessionalおよびEnterpriseのアカウントでは、ナレッジベース記事とカスタマーポータルにSSOを設定することができます。

始める前に

• このセットアッププロセスは、IDプロバイダーアカウントでアプリケーションを作成した経験があり、HubSpotのウェブサイト設定の編集権限を持つIT管理者が行う必要があります。 
• IDプロバイダーアカウントごとに、HubSpotでホスティングされている1つのサブドメインについてSSOを設定できます。最適な結果を得るためには、1つのサブドメインをSSOメンバーシップ専用にすることをおすすめします。
• SSOを必要とする非公開コンテンツの通知Eメールとログインページは、HubSpotの非公開コンテンツ設定ではなく、ご利用のIDプロバイダーアカウントで処理されます。
• SSOを必要とする非公開コンテンツは検索エンジンによってクロールされず、アクセス権限が付与されているログイン済みコンタクトに対してのみ表示されます。
• 画像やフォームのようなページアセットは、ページの一部としてアクセスするためにのみSSOを必要とします。アセット自体へのURLが別に提供されている場合、URLへのアクセスにはSSOは必要ありません。ファイルツールのアセットにURLの共有範囲を設定する方法について詳しくはこちら .
• 以前にメンバー登録が必要だったドメインでSSOをオンにすると、SSOは元のメンバーリストを使用します。再度SSOをオフにすると、コンテンツでは再び同じリストでメンバー登録が必要となります。

IDプロバイダーアカウントでHubSpot非公開コンテンツに対するSSOをセットアップする

HubSpotでホスティングされる非公開コンテンツに対するSSOをセットアップするために、IT管理者はHubSpotコンテンツアクセスのための新しいアプリを作成することになります。このプロセスを完了するには、IT管理者がHubSpotの非公開コンテンツ設定に含まれている値を参照します。 

注：会員登録のある非公開コンテンツをすでにホストしているサブドメインに SSO が必要な場合、そのコンテンツは登録コンタクトにはアクセスできなくなります。

IDプロバイダーに新しいアプリを追加するために必要な手順とフィールドは、状況に応じて異なる場合があります。非公開コンテンツのSSOをセットアップするための一般的な手順は、以下のとおりです。

SAMLベースのアプリケーションを対象にSSOをセットアップする 

IDプロバイダーアカウントでHubSpot非公開コンテンツの新しいSAMLアプリを作成するには、次の手順に従います。

• IDプロバイダーアカウントにログインします。
• IDプロバイダーアカウント内のアプリに移動します。
• HubSpotアカウントで、新しいHubSpotアプリに必要な値を収集します。
  • HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
  • 左サイドバーのメニューで、コンテンツ > 非公開コンテンツに移動します。
  • ページの上部にある［編集するドメインを選択］ドロップダウンメニューをクリックし、サブドメインを選択します。
  • ［シングルサインオン（SSO）］セクションで、［SSOセットアップ］をクリックします。
  • 右側のパネルで、［セキュリティートークンの形式］ドロップダウンメニューをクリックし、［SAML］を選択します。
  • ［オーディエンスURL］と［サインオンURL］の値をコピーします。

• IDプロバイダーアカウントで、次の操作を行います。
  • HubSpotからコピーしたオーディエンスURLとサインオンURLを、対応するフィールドに貼り付けます。

• • ［発行者URL］、［シングルサインオンURL］、［証明書］のIDをコピーします。
• HubSpotアカウントで、次の操作を行います。
  • 発行者URL、シングルサインオンURL、および証明書の値を、［シングルサインオンを設定］パネル内の対応するフィールドに貼り付けます。
  • ［認証］をクリックします。

認証プロセスが完了したら、［非公開コンテンツ］設定で、ドメインでシングルサインオンが有効になっていることを確認します。 

JWTベースのアプリケーションを対象にSSOをセットアップする

• IDプロバイダーアカウントで、次の操作を行います。
  
  • IDプロバイダーアカウント内のアプリに移動します。
  • ［リモートログインURL］と［シークレットキー］のIDをコピーします。署名アルゴリズムを見つけます。 
  • セキュリティーを強化するために、［問題］、［件名］、［オーディエンス］の値をコピーします。 
• HubSpotアカウントで、これらの値をSSO設定に入力します。
  
  • HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
  • 左サイドバーのメニューで、コンテンツ > 非公開コンテンツに移動します。
  • ページの上部にある［編集するドメインを選択］ドロップダウンメニューをクリックし、サブドメインを選択します。
  • ［シングルサインオン（SSO）］セクションで、［SSOセットアップ］をクリックします。
  • 右側のパネルで、［セキュリティートークンの形式］ドロップダウンメニューをクリックし、［JWT］を選択します。
  • リモートログインURLを貼り付けます。
  • ［署名アルゴリズム］ドロップダウンメニューをクリックし、IDプロバイダーアカウントの値を選択します。
  • シークレットキーを貼り付けます。公開キーと秘密キーの両方がある非対称署名アルゴリズムを使用している場合は、シークレットキーが公開キーになります。

• • セキュリティーを強化するために、［問題］、［件名］、［オーディエンス］の値を貼り付けます。
  • ［認証］をクリックします。 

ウィンドウが開き、SSO設定で指定した「リモートログインURL」が表示されます。ウィンドウに表示されるURLには、クエリーパラメーター「redirect_url」が含まれ、設定するドメインのURLとパス「hcms/mem/jwt/verify」が値として指定されます。

検証のためには、［リモートログインURL］に資格情報を入力した後、「redirect_url」パラメーターで指定したURLへリクエストを行う必要があります。このリクエストは、JWT/ハッシュ値でなければならない、サポートされているクエリーパラメーターを含まなければならない。このクエリーパラメーターは、いったん復号化されると、そのペイロードに有効なEメールアドレスを含む'email'フィールドを含む。サポートされるクエリーパラメーターは 'jwt'、'code'、'id_token' および 'access_token' です。

JWT/ハッシュは、SSO設定で指定された署名アルゴリズムとシークレットキーを使用してHubSpotによって復号化されます。［リモートログインURL］ページに有効な資格情報が入力された後に行われるこの後続リクエストの送信の設定は、IDプロバイダーのアカウント内で行う必要があります。 

認証プロセスが完了したら、［非公開コンテンツ］設定で、ドメインでシングルサインオンが有効になっていることを確認します。

検証が完了したら、「リモートログインURL」での検証をパスした訪問者は、2つのクエリーパラメーターで「_hcms/mem/jwt」に送信されるはずです。

• 'jwt'、'code'、'id_token'、または'access_token'クエリーパラメーターにハッシュを指定し、このハッシュを復号化すると、訪問者のEメールアドレスがEメールフィールドに格納されます。 
• 'redirect_url' クエリーパラメーターで、訪問者を誘導するページを指定します。このURLは、「リモートログインURL」に送信されるリクエストの「redirect_url」クエリーパラメーターの値と同じである必要があります。

一般的なJWTエラーのトラブルシューティング

JWTベースのアプリケーションのSSOを設定する際に問題が発生した場合は、JWTのデバッガーを使用してJSONウェブトークンを確認することをお勧めします。 

JWTを確認したら、次のエラーを解決できます。 

• NO_SETTINGS：ポータルとドメインの組み合わせでJWT設定が返されません
• COULD_NOT_PARSE_HEADER：JWTヘッダーが存在し、かつbase64エンコードされていなければなりません
• WRONG_TYPE_IN_HEADER：JWTトークンヘッダーに「typ」フィールドが含まれているが、このフィールドは「jwt」ではありません
• ALGORITHM_MISSING_IN_HEADER：JWTトークンヘッダーにアルゴリズムを示す「alg」フィールドがありません
• NONE_ALGORITHM_PROVIDED：「alg」フィールドが「none」と等しいが、これは安全ではなく、サポートされていません
• TOKEN_VERIFICATION_FAILED：トークンが空であるか、NULLであるか、正しくない。あるいはクエリーパラメーターがサポートされていません。サポートされているクエリーパラメーターは「jwt」、「code」、「id_token」、「access_token」です
• MISSING_EMAIL_IN_TOKEN：デコードされたトークンにEメールフィールドがないか、EメールフィールドがNullまたは空です
• INVALID_KEY：シークレットキーがないか、無効です
• INVALID_KEY_LENGTH：シークレットキーの長さが選択された署名アルゴリズムの要件と一致しません
• PRIVATE_KEY_PROVIDED：選択された署名アルゴリズムではシークレットキーとして公開キーが必要であるが、秘密キーが提供されました
• INVALID_LOGIN_URL：提供されたリモートログインURLが無効です
• JTI_CLAIM_INVALID：JWTチェックを再生できません

コンテンツのSSOを有効にする

非公開コンテンツに対してSSOを必須にするには、次の2つのオプションがあります。

• 非公開 - シングルサインオン（SSO）必須：IDプロバイダー組織の中でHubSpotアプリにアクセスできるすべてのユーザーは、SSOでログインして非公開コンテンツを表示できます。
• 非公開 - シングルサインオン（SSO）必須、リスト絞り込みあり：IDプロバイダー組織のユーザーであり、特定のHubSpotリストメンバーシップにも登録されているユーザーは、SSOでログインして非公開コンテンツを表示できます。これらのユーザーはIDプロバイダーアカウント内のHubSpotアプリケーションに対するアクセス権を持っている必要がありますが、HubSpotアカウント内のユーザーである必要はありません。

ブログに対してSSOを必須にする

IDプロバイダーアカウント内で接続したサブドメインでホスティングされているブログに対してSSOを必須にすることができます。特定のブログに対してSSOを有効にすると、そのブログで公開されるすべてのブログ記事が影響を受けます。特定のブログ記事に対してSSOを必須にすることはできません。

注：、すでにメンバー登録（）で非公開コンテンツ（）をホストしているブログにSSOが必要な場合、そのブログはコンタクトからのアクセスができなくなります。

注：会員登録の非公開コンテンツに設定されているランディングページやウェブサイトページにSSOが必要な場合、そのページにはコンタクトがアクセスできなくなります。

• コンテンツを開きます。

  • ウェブサイトページ：HubSpotアカウントにて、［コンテンツ］＞［ウェブサイトページ］の順に進みます。
  • ランディングページ：HubSpotアカウントにて、［コンテンツ］＞［ランディングページ］の順に進みます。

• SSOを必須にするページの横にあるチェックボックスを選択してオンにします。
• テーブルの上部にある［その他］ドロップダウンメニューをクリックし、［オーディエンスアクセスの管理］を選択します。
• 右側のパネルで、選択したページに対してSSOをセットアップし、［保存］をクリックします。
  • IDプロバイダー組織の中でHubSpotアプリにアクセスできるすべてのユーザーに対して、HubSpotアプリにアクセスするためのアクセス権を付与する場合は、［非公開 - シングルサインオン（SSO）必須］を選択します。
  • IDプロバイダー組織の中でHubSpotアプリにアクセスできて、かつ特定のリストメンバーシップを持つすべての個人ユーザーに対してアクセス権を付与する場合は、［非公開 - シングルサインオン（SSO）必須、リスト絞り込みあり］を選択します。次に、このコンテンツへのアクセス権を付与する特定のリストを選択します。
• 特定ページへのオーディエンスアクセスの管理は、コンテンツエディターの［設定］タブでも可能です。

特定のナレッジベース記事に対してSSOを必須にする

IDプロバイダーアカウント内で接続したサブドメインでホスティングされているナレッジベース記事に対してSSOをセットアップすることができます。

注：メンバー登録付き非公開コンテンツに設定されているナレッジベース記事へのSSOが必要な場合、その記事はコンタクトからのアクセスができなくなります。

特定のナレッジベース記事に対してSSOをセットアップするには、次の手順に従います。

• HubSpotアカウントにて、［コンテンツ］＞［ナレッジベース］の順に進みます。
• ［記事］タブをクリックします。
• SSOを必須とする記事の横にあるチェックボックスを選択してオンにします。
• テーブルの上部にある［オーディエンスアクセスを制御］をクリックします。
• 右側のパネルで、これらの記事に対してSSOをセットアップし、［保存］をクリックします。
  • IDプロバイダー組織の中でHubSpotアプリにアクセスできるすべてのユーザーに対して、HubSpotアプリにアクセスするためのアクセス権を付与する場合は、［非公開 - シングルサインオン（SSO）必須］を選択します。
  • IDプロバイダー組織の中でHubSpotアプリにアクセスできて、かつ特定のリストメンバーシップを持つすべての個人ユーザーに対してアクセス権を付与する場合は、［非公開 - シングルサインオン（SSO）必須、リスト絞り込みあり］を選択します。次に、このコンテンツへのアクセス権を付与する特定のリストを選択します。

特定記事へのオーディエンスアクセスの管理は、記事エディターの［設定］タブでも可能です。

非公開コンテンツのSSOを無効にする

非公開コンテンツのSSOを無効にした場合のコンテンツへの影響は、選択した設定に応じて異なる場合があります。

• ［非公開 - シングルサインオン必須］に設定されたコンテンツは公開されます。
• ［非公開 - シングルサインオン必須、リスト絞り込みあり］に設定されたコンテンツはアクセス不可になります。

SSOを無効にしてもコンテンツを非公開のままにするには、その非公開コンテンツのオーディエンスアクセスを、［非公開 - シングルサインオン必須、リスト絞り込みあり］に変更することをおすすめします。そして、このコンテンツのオーディエンスアクセスを、CMS会員登録が必要なものに変更することができます。

非公開コンテンツのSSOを無効にするには、次の手順に従います。

• HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンsettingsをクリックします。
• 左サイドバーのメニューで、コンテンツ >非公開コンテンツに移動します。
• 設定の上部にある［編集するドメインを選択］ドロップダウンメニューをクリックし、ドメインを選択します。
• ［シングルサインオン（SSO）］セクションで、［SSOを管理］をクリックします。
• パネル下部にある［SSOが有効］スイッチをクリックしてオフにします。