Contents
Enterprise プラン要件
Enterprise プランで SSO が利用できることは公式ドキュメントでも明記されています(2025 年リリース以降のバージョン v2025.4)。以下の条件をすべて満たす必要があります。
- 対象プラン:HubSpot Enterprise(Marketing Hub、Sales Hub、Service Hub のいずれかの Enterprise ライセンス)
- 対象ユーザー数:SSO を有効にしたい全員が上記 Enterprise ライセンスに含まれていること
- IdP 対応:Okta、Azure AD、Google Workspace など、SAML または OIDC に対応した Identity Provider(IdP)
📖 参考リンク: HubSpot Knowledge Base – SSO の設定 (Enterprise) (2025 年4月版)
管理者ロールのチェックリスト
SSO 設定には 「Super Admin」 権限が必須です。一方、一般的な 「Admin」 ロールはユーザー管理やレポート閲覧は可能ですが、システム全体の設定変更(SSO 含む)は行えません。以下にロールごとの権限範囲と確認手順をまとめました。
権限比較表
| ロール | 主な権限 | SSO 設定可否 |
|---|---|---|
| Super Admin | 全機能へのフルアクセス、組織全体の設定変更 | ✅ 可能 |
| Admin | ユーザー追加・削除、レポート作成 | ❌ 不可(SSO 設定は不可) |
| Standard | 自分のプロファイル閲覧・編集のみ | ❌ 不可 |
確認手順
- HubSpot にログインし、右上メニュー → 「ユーザーとチーム」 を選択
- 該当ユーザーのロール列に 「Super Admin」 が表示されているか確認
- もし Admin のみであれば、既存の Super Admin にロール変更を依頼
🔑 重要ポイント:Enterprise プランと Super Admin 権限が揃っていれば、以降の SSO 設定はブロックされません。
HubSpot 管理画面からシングルサインオン設定ページへアクセスする手順
SSO の初期設定に至るまでのクリックパスを把握しておくと、作業中の迷子リスクが減ります。ここでは テキストだけで完結できる 手順を示します。
ナビゲーション手順
以下は HubSpot に Super Admin 権限でログインした前提です。各ステップの画面イメージは省略していますが、UI は大きく変わっていません。
- 左側メニューの 「設定」(歯車アイコン)をクリック
- 設定画面上部にある検索バーへ 「シングルサインオン」 または 「SSO」 と入力し、候補から 「シングルサインオン」 を選択
- 表示された管理ページで 「SAML」 と 「OIDC」 のタブが切り替えられることを確認
この画面からプロトコル別に有効化・設定項目入力が行えます。
SAML と OIDC の具体的設定項目と入力例
SSO 設定はプロトコルごとに必須項目が異なります。以下では実務で即利用できる プレースホルダー を示し、実際の値と混同しないよう明記しています。
SAML 設定項目詳細
| 項目 | 必須/任意 | プレースホルダー例 | 解説 |
|---|---|---|---|
| メタデータ URL | 必須 | https://<YOUR_OKTA_DOMAIN>/app/hubspot/sso/saml/metadata |
IdP が提供する XML メタデータの公開 URL |
| ACS(Assertion Consumer Service) URL | 必須 | https://app.hubspot.com/auth/saml/callback |
HubSpot が受信する Assertion のエンドポイント |
| Entity ID | 必須 | urn:hubspot:sso |
IdP と HubSpot を識別する文字列 |
| NameID(属性マッピング) | 必須 | email → user.email |
ユーザーのメールアドレスを NameID に設定 |
| 署名証明書 | 任意 | <YOUR_CERTIFICATE_PEM> |
SAML Response の検証に使用する PEM 形式証明書 |
📌 注:上記の
<>で囲んだ文字列は実際の環境に合わせて置き換えてください。
OIDC/OAuth 設定項目詳細
| 項目 | 必須/任意 | プレースホルダー例 | 解説 |
|---|---|---|---|
| Client ID | 必須 | <YOUR_CLIENT_ID> |
IdP が発行するアプリケーション識別子 |
| Client Secret | 必須 | <YOUR_CLIENT_SECRET> |
アプリケーション認証に使用 |
| リダイレクト URI | 必須 | https://app.hubspot.com/oauth/callback |
認可コード受取先 URL |
| スコープ | 任意 | openid email profile |
取得するユーザー情報の範囲 |
| Issuer(発行元) | 必須 | https://login.microsoftonline.com/<YOUR_TENANT_ID>/v2.0 |
トークンを発行する IdP のエンドポイント |
📌 注:
<YOUR_CLIENT_ID>などは実際の Azure AD、Okta、Google から取得した値に置き換えてください。
主要 IdP(Okta・Azure AD・Google Workspace)別設定サンプルと注意点
IdP ごとの UI が異なるため、設定項目を 「何を入力すべきか」 と 「実装上の落とし穴」 をまとめました。全体像は同じですが、細部で差異がある点に留意してください。
Okta 用サンプル
SAML
- メタデータ URL:Okta 管理画面 → アプリ → HubSpot → 「メタデータ」取得
- ACS URL/Entity ID は上表と同一(例示のプレースホルダーを使用)
- 属性マッピングは
user.emailを NameID、firstName/lastNameも追加推奨
OIDC
- アプリ作成時に 「OpenID Connect」 プロトコルを選択
- リダイレクト URI は HubSpot の OIDC コールバック URL(例:
https://app.hubspot.com/oauth/callback) - 証明書は PEM 形式で貼り付け、余分な改行が入らないように注意
⚠️ 注意点:Okta の証明書エクスポートは Base64 エンコードのみ。コピー時に改行や空白が混入しないようにしてください。
Azure AD 用サンプル
SAML
- 「企業アプリ」 → 「新規登録」 → 「非ギャラリー アプリ」 で HubSpot を追加
- メタデータ URL は
https://login.microsoftonline.com/<YOUR_TENANT_ID>/federatedmetadata/ - 属性マッピングは 「ユーザー属性 → カスタム クレーム」 で
user.mailを NameID に設定
OIDC
- 「アプリの登録」→「新規登録」→リダイレクト URI を HubSpot のコールバックに設定
- スコープは必ず
openid profile emailを含める - 発行者 URL は上表のプレースホルダー通り
⚠️ 注意点:Azure AD はサーバー時刻が NTP 同期されていないと Clock Skew エラーを起こしやすいため、必ず時刻同期を確認してください。
Google Workspace 用サンプル(SAML のみ)
- 管理コンソール → 「アプリ」→「SAML アプリ」→「+」でカスタムアプリ作成
- ACS URL/Entity ID は HubSpot 指示通りに入力
- 属性マッピングは 「Primary email」 を NameID、「First name」/「Last name」 も追加
⚠️ 注意点:Google のメタデータ XML は UTF‑8 エンコードが必須です。エディタで保存形式を変えると HubSpot が読み込めなくなるので注意してください。
テストログイン・エラートラブルシューティングとフォールバック手順
設定完了後は必ずテストし、典型的なエラーに備えて対処フローを用意しておくことが重要です。
テストログインの実施方法
- SSO 設定ページで 「テスト」 ボタン(または IdP 側のテストアプリ)をクリック
- 別ブラウザ、もしくはシークレットモードで IdP の認証画面が表示されることを確認
- 正常に HubSpot にリダイレクトされたら、管理者権限でユーザー一覧に自分のアカウントが追加されたかチェック
代表的なエラーメッセージと対処法(チェックリスト)
| エラー | 主な原因 | 推奨解決策 |
|---|---|---|
| Invalid Assertion | SAML アサーションの署名不一致、属性マッピングミス | 証明書が正しいか確認し、NameID がメールアドレスになっているか再チェック |
| Clock Skew | IdP と HubSpot の時刻差が 5 分以上 | 両システムを NTP サーバーで同期させる |
| 2FA Conflict | ユーザーが IdP の MFA と HubSpot の 2段階認証を同時に有効化 | 片方の 2FA を無効化、または SSO 用に例外設定(HubSpot 側) |
| User Not Found | 属性マッピングでメールアドレスが取得できていない | IdP の属性マッピングで user.email が正しく送信されるよう修正 |
| Certificate Expired | 証明書の有効期限切れ | 新しい証明書を IdP から取得し、HubSpot に再アップロード |
SSO が機能しない場合の代替手段
- 標準ログイン:
https://app.hubspot.com/loginでメール+パスワードでアクセス - パスワードリセット:管理者から「パスワードリセット」リンクを送信し、再設定させる
📌 ベストプラクティス:テストは必ず Super Admin アカウント で行い、エラーが出たら上記チェックリストで原因を絞り込みましょう。
設定完了後のセキュリティベストプラクティス・定期メンテナンス
SSO が稼働したあとも 継続的な保守 と 追加のセキュリティ設定 が欠かせません。以下に推奨フローを示します。
2段階認証とロール最小化のチェックポイント
- 全管理者に 2FA を必須化:HubSpot の「ユーザー設定」→「セキュリティ」から強制化可能(2026 年更新版)
- 不要な Super Admin 権限は削除:SSO が有効でも、最小権限の原則に従い必要最低限のロールだけを付与
属性マッピング・証明書管理の定期チェック項目
| 項目 | 確認頻度 | 内容 |
|---|---|---|
| メタデータ URL の有効性 | 四半期 | IdP がメタデータを更新していないか確認 |
| 証明書期限 | 月次 | 有効期限が 30 日以内に迫っている場合は更新手続きを実施 |
| 属性マッピングの整合性 | 半年 | 新規ユーザー属性や名前変更が正しく HubSpot に反映されているかテスト |
継続的なメンテナンスフロー
- 月初:証明書有効期限とサーバー時刻同期を自動チェック(スクリプトまたは監視ツール)
- 四半期:IdP のメタデータ再取得、属性マッピングの見直し、テストログイン実施
- 年次:全管理者に対して 2FA 設定状況をレビューし、不要な権限は削除
🔐 ポイント:SSO は一度設定すれば完了ではなく、証明書更新や属性マッピングの変更が頻繁に起きるため、定期的なレビューが安全運用の鍵です。
まとめ
- Enterprise プラン + Super Admin 権限 が SSO 設定の前提条件
- 管理画面から 「シングルサインオン」設定ページ にアクセスし、SAML または OIDC を選択
- 必須項目(メタデータ URL・ACS URL・Entity ID・属性マッピング/Client ID・Secret 等)を正確に入力
- Okta、Azure AD、Google Workspace 各 IdP の設定サンプルと注意点を踏まえて実装
- テストログインで Invalid Assertion、Clock Skew、2FA Conflict などのエラーを検証し、フォールバック手順も準備
- 設定後は 2段階認証強制、属性・証明書の定期レビュー を実施し、四半期ごとのメンテナンスで安全性を維持
これらのステップを体系的に実行すれば、HubSpot のシングルサインオン導入に伴うトラブルを最小限に抑え、安定した認証基盤を構築できます。