更新日時 2025年8月7日
以下の 製品でご利用いただけます(別途記載されている場合を除きます)。
Marketing Hub
Professional
,
Enterprise
|
Sales Hub
Professional
,
Enterprise
|
Service Hub
Professional
,
Enterprise
|
Operations Hub
Professional
,
Enterprise
|
Content Hub
Professional
,
Enterprise
|
シングルサインオン(SSO)を使用すると、チームの各メンバーは、自社で使用する全てのシステムを1つのアカウントで利用できるようになります。
SAML(Security Assertion Markup Language)は、認証に使用されるオープン標準です。WebアプリケーションはXML(Extensible Markup Language)形式に基づくSAMLを使用して、IDプロバイダー(IdP)とサービスプロバイダー(SP)の2者間で認証データを転送します。
また、ログイン設定ウィザードからSSOを設定し、ユーザーがアカウントへのアクセスに使用できるログイン方法を制限することもできます。SAMLベースのSSOを設定している場合、SSOの資格情報を使用してHubSpotにログインすることをユーザーに求めることができます。
始める前に
- アカウントのSSOをセットアップするにはスーパー 管理者 である必要があります。
- SSOのセットアッププロセスは、IDプロバイダーアカウント上にアプリケーションを作成した経験があるIT管理者が実施する必要があります。
全般的なセットアップ
- IDプロバイダーアカウントにログインします。
- アプリケーションに進みます。
- HubSpotの新しいアプリケーションを作成します。「オーディエンスURI」と、「サインオンURL/ACS/受信者/リダイレクト」の値を取得するには、次の手順に従います。
-
- HubSpotアカウントにて、上部のナビゲーションバーに表示される設定アイコンをクリックします。
- 左のサイドバーメニューで[セキュリティー]を選択します。
- [ログイン]タブで、 ポータルログイン設定を構成していない場合は、[ ポータルログイン設定のセットアップ]をクリックします。または、[ シングルサインオンを設定(SSO)] セクションで、[セットアップ]をクリックします。右側のパネルで、次の操作を行います。
- XMLアップロードは、全てのSSOセットアップで使用できます。ドラッグ&ドロップするか、[ファイルを選択]をクリックしてフェデレーションメタデータをアップロードします。次に、[確認]をクリックします。
- IDサービスからデータを手動で入力する場合は、[他の全てのIDサービス事業者]タブで、必要に応じて値の横にある[コピー]をクリックします。次に、以下のIDサービスの値を貼りつけます。[認証]をクリックします。
- Microsoft AD FSを使用している場合は、[Microsoft AD FS]タブで、必要に応じて値の横にある[コピー]をクリックします。次に、以下のIDサービスの値を貼りつけます。[認証]をクリックします。
ご注意ください: Microsoft Entra (旧称 Azure) を使用している場合は、 [他のすべての ID プロバイダー ] タブを使用して SSO を構成してください。
Active Directoryフェデレーションサービス ( ADFS)を使用する場合は、ADFSを使用したシングルサインオンのセットアップを参照してください。
- 左のサイドバーメニューで[セキュリティー]を選択します。
- [ログイン]タブの[シングルサインオンを設定]セクションで、[免除ユーザー]をクリックします。
- ダイアログボックスの[ユーザーを選択]ドロップダウンメニューをクリックし、HubSpotアカウントにログインできるユーザーを選択します。例えば、SSOログインを持たないパートナー企業や請負業者を選択できます。
- [保存]をクリックします。
注:[シングルサインオンを求める]スイッチをオンに切り替えたユーザーは、除外されるユーザーに自動的に追加されます。少なくとも1人のスーパー管理者を除外することをお勧めします。このユーザーが、IDプロバイダーの停止時にログインして[シングルサインオンを求める]スイッチをオフに切り替えることで、全てのユーザーがHubSpotアカウントでログインできるようになります。
特定のIDプロバイダーの手順
Okta
注:Oktaインスタンスでは、管理者のアクセス権が必要です。この手順は、OktaのクラシックUIでのみ行えます。
- Oktaにログインします。Okta開発者アカウントの管理インスタンスにログインしていることを確認してください。
- 上部ナビゲーションバーの[Applications(アプリケーション)]をクリックします。
- [Add application(アプリケーションを追加)]をクリックします。
- 「HubSpot SAML」を検索し、[Add(追加)]をクリックします。
- [General Settings(全般設定)]画面で[Done(完了)]をクリックします。
- アプリケーションの詳細ページで、[Sign On(サインオン)]タブをクリックします。
- 「SAML 2.0 is not configured until you complete the setup instructions(SAML 2.0は、セットアップ手順を完了するまで構成されません)」というメッセージの下で、[View Setup Instructions(セットアップ手順を表示)]をクリックします。これにより、新しいタブが開きます。そのタブを開いたまま、Oktaの元のタブに戻ります。
- 同じタブで、[Advanced Sign-on Settings(詳細サインオン設定)]まで下にスクロールし、[Portal Id(ポータルID)]フィールドにHub IDを追加します。Hub ID にアクセスする方法をご覧ください。
- ユーザー設定に移動します。HubSpotアカウント内にも含まれているユーザー(自分を含む)に新しいアプリを割り当てます。
- [View Setup Instructions(セットアップ手順の参照)]タブに戻ります。各URLおよび証明書をコピーし、HubSpotの[IDサービスのIDまたは発行者URL]フィールド、[IDプロバイダーのシングルサインオンURL]フィールド、および[X.509証明書]フィールドに貼り付けます。
- [認証]をクリックします。設定を完了し、保存するために、Oktaアカウントでログインすることを求められます。
- SSOの設定を確認したら、https://app.hubspot.com/login/ssoに移動して、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのIDプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。
OneLogin
注:必要に応じてOneLogin上に新しいSAML 2.0アプリケーションを作成するためには、OneLoginインスタンスの管理者アクセス権が必要です。
- OneLoginにログインします。
- [Apps(アプリ)]に移動します。
- 「HubSpot」を検索します。
- 「SAML2.0」と表示されたアプリをクリックします。
- 右上の[保存]をクリックします。
- [Configuration(構成)]タブをクリックします。
- [HubSpot Account ID(HubSpotアカウントID)]フィールドにHub IDを追加します。Hub ID にアクセスする方法をご覧ください。
- [SSO]タブをクリックします。
- OneLoginから以下のフィールドをコピーし、HubSpotのSSOセットアップパネルの該当するフィールドに貼り付けます。
-
- [Issuer URL(発行者URL)]の下にある値をコピーし、[IDサービスのIDまたは発行者URL]に貼り付けます。
- [SAML 2.0 Endpoint (HTTP)(SAML 2.0エンドポイント(HTTP))]の下にある値をコピーし、[IDプロバイダーのシングルサインオンURL]に貼り付けます。
- [X.509 Certificate(X.509証明書)]をクリックして[View Details(詳細を表示)]をクリックし、証明書をコピーして[X.509証明書]に貼り付けます。
- OneLoginアカウントの右上にある[Save(保存)]をクリックします。
Microsoft Entra ID
Microsoft Entra ID(旧Azure Active Directory)ユーザーの場合、Microsoft Azure MarketplaceでHubSpotアプリをインストールし、Microsoftの指示に従って統合をセットアップします。これにより、Microsoft Entra IDをユーザーアクセスの管理に使用し、HubSpotのシングルサインオンを有効にできます。
SSOの設定を確認したら、https://app.hubspot.com/login/ssoに移動して、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのSSOプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。
G-SuiteをIDプロバイダーとして使用し、HubSpotシングルサインオンをセットアップする方法は、Googleの手順を確認してください。
SSOの設定を確認したら、https://app.hubspot.com/login/ssoに移動して、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのSSOプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。
よくある質問
HubSpotによってSAMLサービスプロバイダーとして使用されるバインドはどれですか?
HubSpotではHTTP Postが使用されます。
Active Directoryフェデレーションサービスを使用しています。どのような証明書利用者信頼(RPT)を使用すればよいですか?
HubSpotユーザーはEメールアドレスによって識別されます。ご使用のIDプロバイダーによって送信されるnameIDが、HubSpotユーザーのEメールアドレスに対応する形式になっていることを確認してください。
HubSpotはどのような署名アルゴリズムに対応していますか?
HubSpotでは、署名アルゴリズムとしてSHA-256のみをサポートしています。リクエストにはSHA-256で署名することが必須となります。
x509証明書は、どのような形式で提供すればよいですか?
HubSpotではPEM形式のx509証明書が必要です。PEMファイルのテキストの内容を、HubSpotのx509証明書フィールドにコピーする必要があります。この値には、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」も含める必要があります。
2要素認証、必須の2要素認証、SSO、および必須のSSOを同時に有効にすることはできますか?
はい。2要素認証(2FA)が有効になっている場合は、HubSpotユーザー名とパスワードによるあらゆるログインに対して有効です。HubSpotの2FAを有効にしても、Googleの2FAやSSOを使用してログインすることが可能です。したがって、ユーザーが SSO要件から除外されている場合、SSOを迂回する全てのログインが2FAまたはGoogleを確実に通過するように 、HubSpotの2FAを要求する ことができます。
Google アカウント2FAを有効にする場合、HubSpotのセットアップとは別に行います。ただし、Google アカウントを使ってHubSpotにログインすると、Googleの2FAによってHubSpotアカウントが保護されます。
アカウントで2要素認証とSSOが同時に必要な場合、または同時にオンにした場合、以下の状況が発生します。
- SSOでアカウントにログインする必要がある場合、HubSpotの2要素認証は求められません。
- SSOが必須でも自分が除外されている場合は、2要素認証、または[Google がログイン]または[Microsoftがログイン]のいずれかを使用してログインできます。
- 2FAを使用したログインが必須でSSOが設定されていない場合は、2FAオプション、または[Googleでログイン]または[Microsoftでログイン]オプションを使ってログインできます。
- アカウント上の要件はなくてもSSOが有効化されている場合は、SSOを含むどの方法でもログインできます。
HubSpot製品のトライアル中にSSOを設定して使用することはできますか?
はい。アカウントに Professional または Enterprise のトライアルがある場合、 スーパー管理者が アカウントのSSOを設定できます。