お客さまへの大切なお知らせ:膨大なサポート情報を少しでも早くお客さまにお届けするため、本コンテンツの日本語版は人間の翻訳者を介さない自動翻訳で提供されております。正確な最新情報については本コンテンツの英語版をご覧ください。
Account Settings

シングルサインオンの設定(SSO)

更新日時 2020年 10月 19日

対象製品

Marketing Hub  Enterprise
Sales Hub  Enterprise
Service Hub  Enterprise
CMS Hub  Enterprise

シングルサインオン(SSO)を使用すると、チームの各メンバーは、自社で使用するすべてのシステムを1つのアカウントで利用できるようになります。HubSpot Enterpriseをご利用で、自社にSSOがセットアップ済みの場合、SSOの資格情報を使用してHubSpotにログインすることをユーザーに求めることが可能です。

注:このセットアッププロセスは、IDプロバイダーアカウント上にアプリケーションを構築した経験があるIT管理者によって行われる必要があります。

全般的なセットアップ

初回のセットアップ

  • IDプロバイダーアカウントにログインします。
  • アプリケーションに進みます。
  • HubSpotの新しいアプリケーションを作成します。
    • オーディエンスURIと、サインオンURL、ACS、受信者、またはリダイレクトの値を取得するには、次の手順を実行します。
      • HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
      • 左のサイドバーメニューで、[アカウントの既定値]を選択します。
      • [シングルサインオン(SSO)]セクションで、[セットアップ]をクリックします。
      • 右側のペインで、必要な値の横の[コピー]をクリックします。Microsoft AD FSを使用している場合は、[Microsoft AD FS]タブをクリックして必要な値をコピーします。
      • IDプロバイダーアカウント上で、必要なフィールドに貼り付けます。
    • ユーザー名の形式/名前IDの設定を求められた場合、「Eメール」に設定します。
  • IDプロバイダーまたは発行者のURL、シングルサインオンURL、およびIDプロバイダーからの証明書をコピーし、HubSpotのSSO設定パネル内の該当するフィールドに貼り付けます。
  • [認証]をクリックします。
上記の操作手順とフィールド名はIDプロバイダーによって異なる場合があります。ここでは、以下の一般的に使用されているIDプロバイダーのアプリケーションセットアップ手順を具体的に説明します。

Active Directoryフェデレーションサービス(ADFS)を使用する場合は、ADFSを使用したシングルサインオンのセットアップを参照してください。

すべてのユーザーにSSOを求める

  • HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
  • 左のサイドバーメニューで[アカウントの既定値]をクリックします。
  • [シングルサインオン(SSO)]セクションで[ログインにシングルサインオンを必須にします]チェックボックスをオンにします。

特定のユーザーをSSOから除外する

  • HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
  • 左のサイドバーメニューで[アカウントの既定値]をクリックします。
  • 特定のユーザーが HubSpot アカウントでログインできるようにするには、[シングルサインオン(SSO)]セクションで[ユーザーを除外]をクリックします。

  • ダイアログボックスの[ユーザーを選択]ドロップダウンメニューをクリックし、HubSpotアカウントにログインできるユーザーを選択します。例えば、SSOログインを持たないパートナー企業や請負業者を選択できます。
  • [保存] をクリックします。

注: [ログインにシングルサインオンを必須にします]チェックボックスをオンにしているユーザーは、除外されるユーザーに自動的に追加されます。スーパー管理者権限を持つユーザーを少なくとも1人除外することをお勧めします。IDプロバイダーが停止した場合には、このユーザーがログインして[ログインにシングルサインオンを必須にします]チェックボックスをオフにすることによって、すべてのユーザーがHubSpotアカウントでログインできるようになります。

特定のIDプロバイダーの手順

Okta

注: Oktaインスタンスでは、管理者のアクセス権が必要です。この手順は、OktaのクラシックUIでのみ行えます。

  • Oktaにログインします。Okta開発者アカウントの管理インスタンスにログインしていることを確認してください。
  • 上部ナビゲーションバーの[Applications(アプリケーション)]をクリックします。
  • [Add application(アプリケーションを追加)]をクリックします。
  • 「HubSpot SAML」を検索し、[Add(追加)]をクリックします。
  • General Settings(全般設定)]画面で [Done(完了)]をクリックします。
  • アプリケーションの詳細ページで、[Sign On(サインオン)]タブをクリックします。
  • 「SAML 2.0 is not configured until you complete the setup instructions(SAML 2.0は、セットアップ手順を完了するまで構成されません)」というメッセージの下で、[View Setup Instructions(セットアップ手順を表示)]をクリックします。これにより、新しいタブが開きます。そのタブを開いたまま、Oktaの元のタブに戻ります。
  • 同じタブで、[Advanced Sign-on Settings(詳細サインオン設定)]まで下にスクロールし、[Portal Id(ポータルID)]フィールドにHub IDを追加します。自社のHub IDを調べる方法をご覧ください。
  • ユーザー設定に移動します。HubSpotアカウント内にも含まれているユーザー(自分を含む)に新しいアプリを割り当てます。
  • [View Setup Instructions(セットアップ手順の参照)]タブに戻ります。各URLおよび証明書をコピーし、HubSpotの[IDプロバイダーのIDまたは発行者URL]フィールド、[IDプロバイダーのシングルサインオンURL]フィールド、および[X.509証明書]フィールドに貼り付けます。
  • [認証]をクリックします。設定を完了し、保存するために、Oktaアカウントでログインすることを求められます。

SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのIDプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。

OneLogin

注: 必要に応じてOneLogin上に新しいSAML 2.0アプリケーションを作成するためには、OneLoginインスタンスの管理者アクセス権が必要です。

  • OneLoginにログインします。

  • [Apps(アプリ)]に移動します。

  • 「HubSpot」を検索します。

  • 「SAML 2.0」と表示されたアプリをクリックします。

  • 右上の[Save(保存)]をクリックします。

  • [Configuration(構成)]タブをクリックします。

  • [HubSpot Account ID(HubSpotアカウントID)]フィールドにHub IDを追加します。自社のHub IDを調べる方法をご覧ください。

  • [SSO]タブをクリックします。
  • OneLoginから以下のフィールドをコピーし、HubSpotのSSOセットアップパネルの該当するフィールドに貼り付けます。
    • [Issuer URL(発行者URL)]の下にある値をコピーし、[IDプロバイダーのIDまたは発行者URL]に貼り付けます。
    • [SAML 2.0 Endpoint (HTTP)(SAML 2.0エンドポイント(HTTP))]の下にある値をコピーし、[IDプロバイダーのシングルサインオンURL]に貼り付けます。
    • [X.509 Certificate(X.509証明書)]から[View Detail(詳細を表示)]をクリックし、証明書をコピーして[X.509証明書]に貼り付けます。

onelogin-sso-setup

  • OneLoginアカウントの右上にある[Save(保存)]をクリックします。

SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのIDプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。

Azure Active Directory

Azure Active Directoryユーザーの場合、Microsoft Azure MarketplaceでHubSpotアプリをインストールし、設定手順に従ってください。これにより、Azure ADをユーザーアクセスの管理に使用し、HubSpotのシングルサインオンを有効化できます。

SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのSSOプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。

Google

G-SuiteをIDプロバイダーとして使用し、HubSpotシングルサインオンをセットアップする方法は、Googleの手順を確認してください。

SSOのセットアップが確認されたら、https://app.hubspot.com/login/ssoに進み、Eメールアドレスを入力します。HubSpotによってポータルのシングルサインオン設定が参照され、サインインのためのSSOプロバイダーへの遷移が行われます。直接リンクでアカウントに進んだ場合も、[SSOを使用してログイン]ボタンが表示されます。

よくある質問

HubSpotによってSAMLサービスプロバイダーとして使用されるバインドはどれですか?

HubSpotではHTTP Postが使用されます。

Active Directoryフェデレーションサービスを使用しています。どのような証明書利用者信頼(RPT)を使用すればよいですか?

詳しくは、ADFSを使用したシングルサインオンのセットアップを参照してください。
 
SAMLアプリケーションではどのユーザー名形式を設定すればよいですか?

HubSpotユーザーはEメールアドレスによって識別されます。ご使用のIDプロバイダーによって送信されるnameIDが、HubSpotユーザーのEメールアドレスに対応する形式になっていることを確認してください。

HubSpotはどのような署名アルゴリズムに対応していますか?

HubSpotは、署名アルゴリズムとしてSHA-1とSHA-256に対応しています。SHA-256を使ってリクエストに署名することをお勧めします。

x509証明書は、どのような形式で提供すればよいですか?

HubSpotではPEM形式のx509証明書が必要です。PEMファイルのテキストの内容を、HubSpotのx509証明書フィールドにコピーする必要があります。この値には、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」も含める必要があります。

2要素認証、必須の2要素認証、SSO、および必須のSSOを同時に有効にできますか?

はい。2要素認証(2FA)が有効になっている場合は、HubSpotユーザー名とパスワードによるあらゆるログインに対して有効です。HubSpotの2FAを有効にしても、Googleの2FAやSSOを使用してログインすることが可能です。したがって、ユーザーをSSOから除外した場合に、SSOを使用しないすべてのログインが2FAまたはGoogle経由で行われるように、HubSpotの2FAを必須にすることができます。

Googleアカウントの2FAを有効にする場合、HubSpotのセットアップとは別に行います。ただし、Googleアカウントを使ってHubSpotにログインすると、Googleの2FAによってHubSpotアカウントが保護されます。

アカウントで2要素認証またはSSOが同時に必要な場合、つまり同時に有効化されている場合、以下の状況が発生します。

  • SSOによるアカウントへのログインが必須の場合は、SSOでのみログインが可能です。
  • アカウント上はSSOが必須でも自分が除外されている場合は、2FAまたはGoogleを使ってログインできます。
  • SSOがセットアップされていなくても2FAでのログインが必須の場合は、2FAまたはGoogleを使ってログインできます。
  • アカウント上の要件はなくてもSSOが有効化されている場合は、SSOを含むどの方法でもログインできます。