Active Directoryフェデレーションサービス（AD FS）を使用してシングルサインオン（SSO）をセットアップ

HubSpot Enterpriseアカウントがある場合、Active Directoryフェデレーションサービス（AD FS）を使用してシングルサインオンをセットアップできます。 

AD FSを使用してHubSpotアカウントにログインするには、次の要件を満たす必要があります。

• Active Directoryインスタンスのすべてのユーザーには、Eメールアドレス属性が必要です。
• HubSpot Enterpriseアカウントを使用しています。
• Microsoft Server 2012または2008を実行しているサーバーがあります。 

注：このセットアッププロセスは、IDプロバイダーアカウントでアプリケーションを構築した経験があるIT管理者によって行われる必要があります。HubSpotでのSSOのセットアップについてご確認ください。

証明書利用者信頼（RPT）の追加

Active Directoryフェデレーションサービス（AD FS）マネージャーを開き、以下の手順を実行します。

• AD FSマネージャーで、証明書利用者信頼（RPT）フォルダーを開きます。 
• 右側のサイドバーメニューで、［証明書利用者信頼の追加...］を選択します。 
• ［証明書利用者信頼の追加ウィザード］ダイアログボックスで、［開始］をクリックして新しいRPTを追加します。 
• ［データソース選択］画面で、［証明書利用者についてのデータを手動で入力する］を選択します。 
• ［次へ>］をクリックします。
• ［表示名］フィールドに、信頼の名前を入力します。これは内部で使用するため、簡単に認識できる名前を付けるようにしてください。 
• ［次へ>］をクリックします。 
• ［証明書を設定］画面で、デフォルトの設定をそのままにして、［次へ>］をクリックします。
• ［SAML 2.0 WebSSOプロトコルのサポートを有効にする］チェックボックスを選択します。［証明書利用者SAML 2.0 SSOサービスのURL］フィールドに、https://api.hubspot.com/login-api/v1/saml/acs?portalId=[yourHubID]と入力します（URLの「portalId=」の後にご使用のHub IDを追加してください）。
• ［次へ>］をクリックします。
• ［証明書利用者信頼の識別子］フィールドで次の手順を実行します。
  • https://api.hubspot.com/login-api/v1/saml/login/[yourHubID]と入力します（最後の「/」の後にご使用のHub IDを追加します）。［追加］をクリックします。
  • https://api.hubspot.comと入力して［追加］をクリックします。
• ［次へ>］をクリックします。
• ［アクセス制御ポリシーを選択］ウィンドウで、［すべてのユーザーを許可］を選択して、［次へ>］をクリックします。 
• 設定を確認し、［次へ>］をクリックします。 
• ［閉じる］をクリックします。 

要求規則の作成 

要求規則をセットアップする前に、ユーザーのEメールアドレスがHubSpotユーザーのEメールアドレスに一致することを確認してください。ユーザープリンシパル名（UPN）がEメールアドレスの形式である場合、UPNなど他のIDを使用できます。AD FSを使用したシングルサインオンが機能するには、HubSpotユーザーと一致するために、名前IDがEメールアドレスの形式である必要があります。

• ［要求規則］ウィンドウで、［規則の追加］をクリックします。 
• ［要求規則のテンプレート］ドロップダウンメニューをクリックし、［LDAP属性を要求として送信］を選択します。 
• ［次へ>］をクリックします。
• ［要求規則の構成］画面で次の手順を実行します。
  • ［要求規則名］フィールドに規則名を入力します。 
  • ［属性ストア］ドロップダウンメニューをクリックし、［Active Directory］を選択します。 
  • ［LDAP属性のマッピング］テーブルで、次の項目をマッピングします。
    • ［LDAP属性］列で、ドロップダウンメニューをクリックし、［Eメールアドレス］を選択します。 
    • ［発信要求タイプ］列で、ドロップダウンメニューをクリックし、［Eメールアドレス］を選択します。 
• ［完了］をクリックします。 

次に、［着信要求の変換］規則をセットアップします。 

• ［規則の追加］をクリックします。 
• ［要求規則のテンプレート］ドロップダウンメニューをクリックし、［着信要求の変換］を選択します。 
• ［次へ>］をクリックします。 
• ［要求規則の構成］画面で次の手順を実行します。
  • 要求規則名を入力します。 
  • ［着信要求タイプ］ドロップダウンメニューをクリックし、［Eメールアドレス］を選択します。 
  • ［発信要求タイプ］ドロップダウンメニューをクリックし、［名前ID］を選択します。 
  • ［発信名IDの形式］ドロップダウンメニューをクリックし、［Eメール］を選択します。  
  • ［完了］をクリックして新しい規則を追加します。 
• ［OK］をクリックして両方の新しい規則を追加します。 

信頼の設定を調整

［証明書利用者信頼］フォルダーで、［アクション］サイドバーメニューから［プロパティー］を選択します。［詳細設定］タブをクリックし、SHA-256がセキュアハッシュアルゴリズムとして指定されていることを確認します。SHA-256とSHA-1の両方がサポートされていますが、SHA-256が推奨されています。 

PEM形式のx509証明書を見つけ、HubSpotでのセットアップを完了します。

PEM形式のx509証明書にアクセスするには、次の手順を実行します。

• AD FS管理ウィンドウに移動します。左のサイドバーメニューで、［サービス］>［証明書］に移動します。 
• トークン署名証明書を見つけます。証明書を右クリックして、［証明書の表示］を選択します。 
• ダイアログボックスで［詳細］タブをクリックします。 
• ［ファイルにコピー］をクリックします。 
• 開いている［証明書のエクスポート］ウィンドウで、［次へ］をクリックします。 
• ［Base-64エンコードX.509（.CER）］を選択して、［次へ］をクリックします。 
• エクスポートするファイルに名前を付けて、［次へ］をクリックします。 
• ［完了］をクリックしてエクスポートを完了します。 

• エクスポートしたファイルを見つけ、Notepadなどのテキストエディターを使用して開きます。 
• ファイルの内容をコピーします。 
• HubSpotアカウントにログインします。 
• HubSpotアカウントにて、ナビゲーションバーに表示される［設定アイコン settings］をクリックします。
• ［アカウントの規定値］画面の［シングルサインオン（SSO）］セクションで、［セットアップ］をクリックします。
• ［シングルサインオンのセットアップ］スライドインパネルで、ファイルの内容を［X.509証明書］フィールドに貼り付けます。
• AD FSマネージャーに戻ります。 

• 左のサイドバーメニューで［エンドポイント］フォルダーを選択します。 
• SSOサービスのエンドポイントとエンティティーURLを検索します。SSOサービスURLは通常「adfs/services/ls」で終了し、エンティティーURLは「adfs/services/trust」で終了します。
• HubSpotに戻ります。［IDプロバイダー識別子または発行者］フィールドにエンティティーURLを入力します。［IDプロバイダーのシングルサインオンURL］フィールドにSSOサービスURLを入力します。
• ［確認］をクリックします。

注:HubSpotでシングルサインオンを構成する際にエラーが発生した場合は、デバイスのイベント ビューアー ログでエラーメッセージを確認します。エラーメッセージをトラブルシューティングできない場合は、HubSpotサポートにお問い合わせください。