Active Directoryフェデレーションサービス(AD FS)を使用してシングルサインオン(SSO)をセットアップ
更新日時 2021年 2月 27日
HubSpot Enterpriseアカウントがある場合、Active Directoryフェデレーションサービス(AD FS)を使用してシングルサインオンをセットアップできます。
AD FSをHubSpotアカウントにログインするには、次の要件を満たす必要があります。
- Active Directoryインスタンスのすべてのユーザーには、Eメールアドレス属性が必要です。
- HubSpot Enterpriseアカウントを使用しています。
- Microsoft Server 2012または2008を実行しているサーバーがあります。
注:このセットアッププロセスは、IT管理者がIDプロバイダーアカウントにアプリケーションを作成することで実行する必要があります。HubSpotでのSSOのセットアップについてご確認ください。
証明書利用者信頼(RPT)の追加
Active Directoryフェデレーションサービス(AD FS)マネージャーを開き、以下の手順に従ってください。
- AD FSマネージャーで、証明書利用者信頼(RPT)フォルダを選択します。
- 右側のサイドバーメニューで、[証明書利用者信頼の追加...]を選択します。
- [証明書利用者信頼の追加ウィザード]ダイアログボックスが表示されたら、[開始]をクリックして新しいRPTを追加します。
- [データソースの選択]画面で、[証明書利用者についてのデータを手動で入力する]ラジオボタンを選択します。
- [次へ>]をクリックします。
- [表示名]フィールドに信頼の名前を入力します。これは内部目的のため、簡単に認識できる名前を付けるようにしてください。
- [次へ>]をクリックします。
- [証明書を設定]画面で、デフォルトの設定を残してから、[次へ>]をクリックします。
- [SAML 2.0 WebSSOプロトコルのサポートを有効にする]チェックボックスを選択して、[証明書利用者 SAML 2.0 SSOサービスの URL]フィールドに以下を入力します。https://api.hubspot.com/login-api/v1/saml/acs?portal=[yourHubID]URL で「portal =」の後にHubIDを追加する必要があります。
- [次へ>]をクリックします。
- [証明書利用者信頼の識別子]フィールドで次の手順を実行します。
- https://api.hubspot.com/login-api/v1/saml/login/[yourHubID]を入力します。最後の 「/」の後にHub IDを追加する必要があります。[追加]をクリックします。
- https://api.hubspot.comを入力し、[追加]をクリックします。
- [次へ>]をクリックします。
- [アクセス制御ポリシーを選択]ウィンドウで、[すべてのユーザーを許可]を選択して、[次へ>]をクリックします。
- 設定を確認し、[次へ>]をクリックします。
- [閉じる]をクリックします。
要求規則の作成
要求規則をセットアップする前に、ユーザーのEメールアドレスがHubSpotユーザーのEメールアドレスに一致することを確認してください。ユーザープリンシパル名(UPN)がEメールアドレスの形式である場合、UPNなど他の ID を使用できます。AD FSを使用したシングルサインオンが機能するには、HubSpot ユーザーと一致するために、名前IDがEメールアドレスの形式である必要があります。
- [要求規則]ウィンドウで、[規則の追加]をクリックします。
- [要求規則のテンプレート]ドロップダウンメニューをクリックし、[LDAP属性を要求として送信]を選択します。
- [次へ>]をクリックします。
- [要求規則の構成]画面で次の手順を実行します。
- [要求規則名]フィールドに規則名を入力してください。
- [属性ストア]ドロップダウンメニューをクリックし、[Active Directory]を選択します。
- LDAP属性のマッピングテーブルで、次の項目をマッピングします。
- [LDAP属性]列で、ドロップダウンメニューをクリックし、[Eメールアドレス]を選択します。
- [発信要求タイプ]列で、ドロップダウンメニューをクリックし、[Eメールアドレス]を選択します。
- [完了]をクリックします。
次に、[着信要求の変換]規則をセットアップします。
- [規則の追加]をクリックします。
- [要求規則のテンプレート]ドロップダウンメニューをクリックし、[着信要求の変換]を選択します。
- [次へ>]をクリックします。
- [要求規則の構成]画面で次の手順を実行します。
- 要求規則名を入力します。
- [着信要求タイプ]ドロップダウンメニューをクリックし、[Eメールアドレス]を選択します。
- [発信要求タイプ]ドロップダウンメニューをクリックし、[名前ID]を選択します。
- [発信名IDの形式]ドロップダウンメニューをクリックし、[Eメール]を選択します。
- [完了]をクリックして新しい規則を追加します。
- [OK]をクリックして両方の新しい規則を追加します。
信頼の設定を調整
[証明書利用者信頼]フォルダで、[アクション]サイドバーメニューから[プロパティー]を選択します。[詳細設定]タブをクリックし、SHA-256がセキュアハッシュアルゴリズムとして指定されていることを確認します。SHA-256とSHA-1の両方がサポートされていますが、SHA-256が推奨されています。
PEM形式のx509証明書を見つけ、HubSpotでのセットアップを完了します。
PEM形式のx509証明書にアクセスするには、次の手順を実行します。
- 「AD FS]管理ウィンドウで、左側のサイドバーメニューから[証明書]を選択します。
- トークン署名証明書を見つけます。右クリックして、[証明書の表示]を選択します。
- ダイアログボックスで[詳細]タブをクリックします。
- [ファイルにコピー]をクリックします。
- 開いている[証明書のエクスポート]ウィンドウで、[次へ]をクリックします。
- [Base-64エンコードX.509 (.CER)]ラジオボタンを選択して、[次へ]をクリックします。
- エクスポートするファイルに名前を付けて、[次へ]をクリックします。
- [完了]をクリックしてエクスポートを完了します。
- エクスポートしたファイルを見つけ、Notepadなどのテキストエディターを使用して開きます。
- ファイルの内容をコピーします。
- HubSpotアカウントにログインします。
- HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
- [アカウントの規定値]画面の[シングルサインオン(SSO)]セクションで、[セットアップ]をクリックします。
- [シングルサインオンのセットアップ]スライドインパネルで、ファイルの内容を[X.509 証明書]フィールドに貼り付けます。
- AD FSマネージャーに戻ります。
- 左のサイドバーメニューで[エンドポイント] フォルダを選択します。
- SSOサービスのエンドポイントとエンティティURLを検索します。SSOサービスURLは通常「adfs/services/ls」で終了し、エンティティURLは「adfs/services/trust」で終了します。
- HubSpotの[IDプロバイダ識別子または発行者]フィールドにエンティティURLを追加します。[IDプロバイダのシングルサインオンURL]フィールドにSSOサービスURLを追加します。
- [確認]をクリックします。
注:HubSpotでシングルサインオンを構成する際にエラーが発生した場合、まずエラーメッセージに関するデバイスのイベントビューアログをチェックします。エラーメッセージをトラブルシューティングできない場合は、HubSpotサポートにお問い合わせください。