お客さまへの大切なお知らせ:膨大なサポート情報を少しでも早くお客さまにお届けするため、本コンテンツの日本語版は人間の翻訳者を介さない自動翻訳で提供されております。正確な最新情報については本コンテンツの英語版をご覧ください。

シングルサインオンの設定 (SSO)

更新日時 2019年 10月 1日

対象製品

Marketing Hub  Enterprise
Sales Hub  Enterprise
Service Hub  Enterprise

シングルサインオン(SSO)を使用すると、チームのメンバー全員に、1 つのアカウントを提供できます。そのアカウントは、業務に使用するすべてのシステムに対応します。HubSpot Enterpriseアカウントがあり、業務にSSOが設定されている場合、ユーザーがSSO資格情報を使用して HubSpot にログインできるように要求することができます。

ご注意ください:この設定プロセスは、アプリケーションの作成経験がある IT管理者がIDプロバイダーアカウントを使用して実行する必要があります。

一般的なセットアップ

初期セットアップ

  • IDプロバイダーアカウントにログインします。
  • アプリケーションを開きます。
  • HubSpotの新しいアプリケーションを作成します。
    • [オーディエンス URI] と、[サインオン URL、ACS、受信者、またはリダイレクト] の値を取得するには、次の手順を実行します。
      • HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
      • [シングルサインオン(SSO)] セクションで、[設定] をクリックします。
      • 右側のペインで、必要な値の横の [コピー] をクリックします。Microsoft AD FS を使用している場合は、[Microsoft AD FS] タブをクリックして必要な値をコピーします。
      • ID プロバイダーアカウントの必要なフィールドに貼り付けます。
    • メッセージが表示されたら、ユーザー名の形式/名前 ID を [Eメール] に設定します。
  • IDまたは発行者のURL、シングルサインオンURL、およびID プロバイダーからの証明書をコピーし、HubSpot の[SSO]設定パネル内の対応するフィールドに貼り付けます。
  • [確認] をクリックします。
上記の操作手順とフィールド名はIDプロバイダーによって異なる場合があります。ここでは、以下の一般的に使用されているIDプロバイダーのアプリケーション設定手順についてより具体的に説明します。

Active Directoryフェデレーションサービス(ADFS)を使用している場合は、ADFS を使用したシングルサインオンのセットアップについて参照してください。

すべてのユーザーにSSOを要求する

  • HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
  • [シングルサインオン(SSO)]セクションで[シングルサインオンを要求]チェックボックスをオンにします。

SSO要件から特定のユーザーを除外する

  • HubSpotアカウントにて、ナビゲーションバーに表示される[設定アイコン settings]をクリックします。
  • 特定のユーザーがHubSpotアカウントでログインできるようにするには、[シングルサインオン(SSO)]セクションで[ユーザーを除外]をクリックします。

  • ダイアログボックスで[ユーザーを選択]ドロップダウンメニューをクリックし、HubSpotアカウントでログインできるユーザーを選択します。たとえば、SSOログインを持たないパートナーや請負業者を選択することができます。
  • [保存]をクリックします。

ご注意ください:[ログイン時にシングルサインオンを必須にする]チェックボックスをオンにしているユーザーは、除外されるユーザーに自動的に追加されます。スーパー管理者権限を持つユーザーを少なくとも1人除外することをお勧めします。IDプロバイダーがダウンした場合、スーパー管理者権限を持つユーザーがログインして[ログイン時にシングルサインオンを必須にする]チェックボックスをオフにすることによって、すべてのユーザーがHubSpot アカウントでログインできるようになります。

特定のIDプロバイダーの手順

Okta

注: Okta インスタンスでは、管理者のアクセス権が必要です。この手順は、OktaのクラシックUIでのみ行えます。 

  • Oktaにログインします。Okta開発者アカウントの管理インスタンスでログインしていることを確認してください。
  • 上部ナビゲーションバーの [アプリケーション] をクリックします。
  • [アプリケーションを追加] をクリックします。
  • [HubSpot SAML] を検索して、[追加] をクリックします。
  • [一般設定] 画面で[完了] をクリックします。
  • アプリケーションの詳細ページで、[サインオン] タブをクリックします。
  • [SAML 2.0は、セットアップ手順を完了するまで構成されません」 というメッセージの下で、[セットアップ手順を表示] をクリックします。これにより、新しいタブが開きます。そのタブを開いたまま、Okta の元のタブに戻ります。
  • 同じタブで、[詳細サインオン設定]まで下にスクロールし、[ポータルID]フィールドにHub IDを追加します。Hub IDにアクセスする方法についての説明を参照してください。
  • ユーザー設定に移動します。HubSpot アカウントにも含まれているユーザー (自分を含む) に新しいアプリを割り当てます。
  • [セットアップ手順の参照] タブに戻ります。各URLおよび証明書をコピーして、 HubSpotの[IDプロバイダーのIDまたは発行者URL] フィールド、[IDプロバイダーのシングルサインオンURL] フィールド、および [X.509証明書]フィールドに貼り付けます。
  • [確認]をクリックします。Oktaアカウントでログインして、設定を完了し、保存するように求められます。

SSOの設定を確認したら、https://app.hubspot.com/login/ssoに移動して、Eメールアドレスを入力します。HubSpotは、ポータルのシングルサインオン設定を参照し、サインインのためにIDプロバイダーに移動します。また、アカウントへの直接リンクで移動したときは、[SSOを使用してログイン] ボタンも表示されます。

OneLogin

ご注意ください: OneLoginインスタンスでは、必要に応じてOneLoginで新しいSAML 2.0アプリケーションを作成するために、管理者のアクセス権が必要です。

  • OneLoginにログインします。

  • [アプリ] に移動します。

  • [HubSpot] を検索します。

  • [SAML 2.0]と表示されたアプリをクリックします。

  • 右上の [保存] をクリックします。

  • [構成]タブをクリックします。

  • [HubSpot アカウント ID]フィールドにHub ID を追加します。Hub IDにアクセスする方法についての説明を参照してください。

  • 右上の[保存]をクリックします。

SSOの設定を確認したら、https://app.hubspot.com/login/ssoに移動して、Eメールアドレスを入力します。HubSpotは、ポータルのシングルサインオン設定を参照し、サインインのためにIDプロバイダーに移動します。また、アカウントへの直接リンクで移動したときは、[SSOを使用してログイン] ボタンも表示されます。

Azure Active Directory

Azure Active Directoryユーザーの場合、Microsoft Azure MarketplaceでHubSpotアプリをインストールして、設定手順に従ってください。これにより、Azure ADを使用してユーザーアクセスを管理し、HubSpotでシングルサインオンを使用できます。

SSOの設定を確認したら、https://app.hubspot.com/login/ssoに移動して、Eメールアドレスを入力します。ポータルのシングルサインオン設定が参照され、サインインのためにSSOプロバイダーに移動します。また、アカウントへの直接リンクで移動したときは、[SSOを使用してログイン] ボタンも表示されます。

Google

ID プロバイダーとしてG-SuiteでHubSpotシングルサインオンをセットアップする方法に関するGoogleの説明を確認してください。

SSOの設定を確認したら、https://app.hubspot.com/login/ssoに移動して、Eメールアドレスを入力します。ポータルのシングルサインオン設定が参照され、サインインのためにSSOプロバイダーに移動します。また、アカウントへの直接リンクで移動したときは、[SSOを使用してログイン] ボタンも表示されます。

よくあるご質問 (FAQ)

HubSpotでSAMLサービスプロバイダーとして使用されるバインドはどれですか?

HubSpot では HTTP 投稿を使用します。

私はActive Directoryフェデレーションサービスを使用しています。証明書利用者信頼(RPT)として何を使用したら良いでしょうか?

詳しくは、ADFSを使用したシングルサインオンの設定について参照してください。
 
SAMLアプリケーションではどのユーザー名の形式を設定したら良いでしょうか?

HubSpotユーザーはEメールアドレスによって識別されます。使用しているIDPでは、HubSpotユーザーのEメールアドレスに対応するEメール形式で、nameIDが送信されていることを確認してください。

HubSpotがサポートする署名アルゴリズムはどれですか?

HubSpotは署名アルゴリズムとしてSHA-1とSHA-256に対応しています。SHA-256にサインインすることをお勧めします。

x509証明書は、どの形式で提供すれば良いですか?

HubSpotでは PEM形式のx509証明書が必要です。PEMファイルのテキストの内容をHubSpotのx509証明書フィールドにコピーする必要があります。この値には、 「-----BEGIN CERTIFICATE----- and -----END CERTIFICATE-----」も含める必要があります。

2要素認証、必要な2要素認証、SSO、必要なSSOを同時に有効にできますか?

はい。2要素認証が有効になっている場合、それはHubSpotユーザー名とパスワードによるあらゆるログインに対して有効です。HubSpotで2FAを有効にしても、Googleの2FAやSSOを使用してログインすることは可能です。したがって、ユーザーがSSO要件から除外される場合、SSOを迂回するすべてのログインが2FAまたはGoogleを確実に通過するように、HubSpotの2FAを要求することができます。

Googleアカウントの2FAを有効にする場合、これはHubSpot設定とは別個に行われます。ただし、GoogleアカウントでHubSpot にログインすると、Googleの2FAがHubSpotアカウントを保護します。

アカウントで2要素認証またはSSOが同時に必要な場合、または有効になっている場合、以下が発生します。

  • SSOでアカウントにログインする必要がある場合は、SSOでしかログインできません。
  • アカウントでSSOが必要とされるが、除外されている場合は、2FAまたはGoogleでログインできます。
  • SSOが設定されていない2FAでログインする必要がある場合は、2FAまたはGoogleでログインできます。
  • アカウントには何の要件もないが、SSOが有効になっている場合、SSOを含む任意の方法でログインできます。