Opsæt single sign-on (SSO)
Sidst opdateret: december 16, 2024
Gælder for:
Marketing Hub Enterprise |
Salg Hub Enterprise |
Service Hub Enterprise |
Operations Hub Enterprise |
Content Hub Enterprise |
Single sign-on (SSO) giver dig mulighed for at give dine teammedlemmer én konto til alle de systemer, din virksomhed bruger.
Security Assertion Marker Language, eller SAML, er en åben standard, der bruges til autentificering. Baseret på formatet Extensible Marker Language (XML) bruger webapplikationer SAML til at overføre autentificeringsdata mellem to parter - identitetsudbyderen (IdP) og tjenesteudbyderen (SP).
Du kan også konfigurere SSO og begrænse, hvilke login-metoder brugerne kan bruge til at få adgang til din konto via guiden til login-indstillinger. Hvis du har en HubSpot Enterprise-konto og har konfigureret SAML-baseret SSO, kan du kræve, at brugerne logger ind på HubSpot med deres SSO-legitimationsoplysninger.
Generel opsætning
- Log ind på din identitetsudbyderkonto.
- Naviger til dine applikationer.
- Opret en ny applikation til HubSpot. For at få Målgruppe URI og Log på URL, ACS, Modtager eller Omdirigering værdier:
- På din HubSpot-konto skal du klikke på settings indstillingsikonet på den øverste navigationslinje.
- Vælg Sikkerhed > Indstillinger og aktivitet i menuen i venstre side.
-
- Under Login skal du klikke på Opsæt Single Sign-on. I det højre panel:
- XML-upload er tilgængelig for alle SSO-opsætninger. Træk og slip eller klik på Vælg en fil for at uploade dine føderationsmetadata. Klik derefter på Verify.
- Hvis du vil indtaste dataene fra din identitetsudbyder manuelt, skal du under fanen Alle andre identitetsudbydere klikke på Kopier ved siden af værdierne efter behov. Indsæt derefter værdierne fra din identitetsudbyder nedenfor. Klik på Bekræft.
- Hvis du bruger Microsoft AD FS, skal du under fanen Microsoft AD FS klikke på Copy ved siden af værdierne efter behov. Indsæt derefter værdierne fra din identitetsudbyder nedenfor. Klik på Bekræft.
- Under Login skal du klikke på Opsæt Single Sign-on. I det højre panel:
Bemærk: Hvis du bruger Microsoft Entra (tidligere Azure), skal du bruge fanen Alle andre identitetsudbydere til at konfigurere din SSO.
Hvis du bruger Active Directory Federation Services, kan du læse mere om, hvordan du opsætter single sign-on ved hjælp af AD FS.
Kræv SSO for alle brugere
Når du har opsat SSO, kan du kræve, at alle brugere bruger SSO til at logge ind på HubSpot.
Bemærk: Fra den 31. juli 2024 vil denne indstilling være slået til som standard.
- På din HubSpot-konto skal du klikke på settings indstillingsikonet på den øverste navigationslinje.
- Klik på Sikkerhed > Indstillinger og aktivitet i menuen i venstre side.
- Under Login skal du markere afkrydsningsfeltet Kræv enkeltlogon .
Udeluk specifikke brugere fra SSO-krav
Når du har konfigureret SSO, kan du udelukke bestemte brugere fra SSO-kravet, så de også kan logge ind med deres HubSpot-brugerkonto.
- På din HubSpot-konto skal du klikke på settings indstillingsikonet på den øverste navigationslinje.
- Klik på Sikkerhed > Indstillinger og aktivitet i menuen i venstre side.
- Klik på Administrer udelukkede brugere under Login.
- I dialogboksen skal du klikke på rullemenuen Choose users og vælge de brugere, der skal kunne logge ind med deres HubSpot-konti. Du kan f.eks. vælge partnere og entreprenører, hvis de ikke har et SSO-login.
- Klik på Gem.
Bemærk: Den bruger, der markerer afkrydsningsfeltet Kræv enkeltlogon , tilføjes automatisk til de udelukkede brugere. Det anbefales at udelukke mindst én bruger med Superadmin-rettigheder. I tilfælde af, at din identitetsudbyder er nede, kan de logge ind og fjerne markeringen i afkrydsningsfeltet Require Single Sign -on, så alle brugere kan logge ind med deres HubSpot-konti.
Instruktioner til specifikke identitetsudbydere
Okta
Bemærk: Du skal have administrativ adgang til din Okta-instans. Denne proces er kun tilgængelig i den klassiske brugergrænseflade i Okta.
- Log ind på Okta. Sørg for, at du er i den administrative instans af din Okta-udviklerkonto.
- Klik på Applikationer i den øverste navigationslinje.
- Klik på Tilføj applikation.
- Søg efter HubSpot SAML, og klik derefter på Tilføj.
- Klik på Udført på skærmen Generelle indstillinger .
- Klik på fanen Sign On på applikationens detaljeside.
- Under meddelelsen "SAML 2.0 er ikke konfigureret, før du har gennemført opsætningsinstruktionerne" skal du klikke på Vis opsætningsinstruktioner. Dette åbner en ny fane. Hold den åben, og gå dereftertilbage til den oprindelige fane i Okta.
- I den samme fane skal du rulle ned til Advanced Sign-on Settings og tilføje dit Hub ID i feltet Portal Id. Lær, hvordan du får adgang til dit Hub-ID.
- Naviger til dine brugerindstillinger. Tildel den nye app til alle brugere, der også er på din HubSpot-konto, inklusive dig selv.
- Gå tilbage til fanen View Setup Instructions . Kopier hver af URL'erne og certifikatet, og indsæt dem i HubSpot i feltet Identity Provider Identifier eller Issuer URL, feltet Identity Provider Single Sign-On URL og feltet X.509 Certificate .
- Klik på Bekræft. Du bliver bedt om at logge ind med din Okta-konto for at afslutte konfigurationen og gemme dine indstillinger.
Når din SSO-opsætning er blevet verificeret, skal du gå til https://app.hubspot.com/login/sso og indtaste din e-mailadresse. HubSpot vil slå din portals single sign-on-konfiguration op og sende dig til din identitetsudbyder for at logge ind. Du vil også se en Log ind med SSO-knap, når du besøger et direkte link til din konto.
OneLogin
Bemærk: Du skal have administrativ adgang i din OneLogin-instans for at kunne oprette en ny SAML 2.0-applikation i OneLogin, som det kræves.
-
Log ind på OneLogin.
-
Naviger til Apps.
-
Søg efter HubSpot.
-
Klik på den app, hvor der står "SAML2.0".
-
Klik på Gem øverst til højre.
-
Klik på fanen Konfiguration.
-
I feltet HubSpot Account ID skal du tilføje dit Hub ID. Lær, hvordan du får adgang til dit Hub-ID.
- Klik på fanen SSO .
- Kopier de følgende felter fra OneLogin og indsæt dem i de tilsvarende felter i SSO-opsætningspanelet i HubSpot:
- Kopier værdien under Issuer URL og indsæt den i Identity Provider Identifier eller Issuer URL.
- Kopier værdien under SAML 2.0 Endpoint (HTTP), og indsæt den i Identity Provider Single Sign-on URL.
- Klik på View Details under X.509 Certificate, kopier derefter certifikatet, og indsæt det i X.509 Certificate.
-
Klik på Gem øverst til højre på din OneLogin-konto.
Når din SSO-opsætning er blevet verificeret, skal du navigere til https://app.hubspot.com/login/sso og indtaste din e-mailadresse. HubSpot vil slå din portals single sign-on-konfiguration op og sende dig til din identitetsudbyder for at logge ind. Du vil også se en Log ind med SSO-knap, når du besøger et direkte link til din konto.
Microsoft Entra ID
For brugere af Microsoft Entra ID (tidligere Azure Active Directory) skal du installere HubSpot-appen på Microsoft Azure Marketplace og følge Microsofts instruktioner for at konfigurere integrationen. Dette giver dig mulighed for at bruge Microsoft Entra ID til at administrere brugeradgang og aktivere single sign-on med HubSpot.
Når din SSO-opsætning er blevet verificeret, skal du navigere til https://app.hubspot.com/login/sso og indtaste din e-mailadresse. HubSpot vil slå din portals single sign-on-konfiguration op og sende dig til din SSO-udbyder for at logge ind. Du vil også se en Log ind med SS O-knap, når du besøger et direkte link til din konto.
Se Googles instruktioner om, hvordan du kan konfigurere HubSpot single sign-on med G-Suite som din identitetsudbyder.
Når din SSO-opsætning er blevet verificeret, skal du navigere til https://app.hubspot.com/login/sso og indtaste din e-mailadresse. HubSpot vil slå din portals single sign-on-konfiguration op og sende dig til din SSO-udbyder for at logge ind. Du vil også se en Log ind med SS O-knap, når du besøger et direkte link til din konto.
Ofte stillede spørgsmål
Hvilken binding bruger HubSpot som SAML-tjenesteudbyder?
HubSpot bruger HTTP Post.
Jeg bruger Active Directory Federation Services. Hvad skal jeg bruge som RPT (Relying Party Trust)?
Hvilket brugernavnsformat skal jeg angive i min SAML-applikation?
HubSpot-brugere identificeres via e-mailadresse. Sørg for, at din IDP sender et nameID i e-mailformat, der svarer til HubSpot-brugerens e-mailadresse.
Hvilken signeringsalgoritme understøtter HubSpot?
Bemærk: Efter 31. marts 2023 stopper HubSpot med at understøtte SHA-1 for nye SSO-forbindelser. Alle eksisterende SSO-forbindelser, der bruger SHA-1, kan stadig fungere, indtil HubSpot holder op med at understøtte SHA-1 for alle SSO-forbindelser den 30. juni 2023. Hvis du bruger SHA-1, skal du migrere til SHA-256 inden 30. juni 2023.
HubSpot understøtter kun SHA-256 som signeringsalgoritme. Du skal underskrive dine anmodninger med SHA-256.
Hvilket format skal jeg levere mit x509-certifikat i?
HubSpot kræver et x509-certifikat i PEM-format. Du skal kopiere tekstindholdet i PEM-filen ind i x509-certifikatfeltet i HubSpot. Værdien skal også omfatte -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.
Kan jeg slå to-faktor-autentificering, krævet to-faktor-autentificering, SSO og krævet SSO til på samme tid?
Ja, det kan jeg. Når du har slået tofaktorgodkendelse til, er den aktiv ved ethvert login med dit HubSpot-brugernavn og din adgangskode. Aktivering af 2FA i HubSpot forhindrer dig ikke i at logge ind med Googles 2FA eller SSO. Hvis brugere er udelukket fra SSO-kravet, kan du derfor kræve HubSpots 2 FA for at sikre, at alle logins, der omgår SSO, går gennem 2FA eller Google.
Hvis du aktiverer 2FA for din Google-konto, er dette adskilt fra din HubSpot-opsætning. Men når du logger ind på HubSpot med din Google-konto, vil Googles 2FA beskytte din HubSpot-konto.
Hvis du har tofaktorgodkendelse og SSO påkrævet eller aktiveret i din konto på samme tid, vil følgende ske:
- Hvis du skal logge ind på din konto med SSO, vil din 2FA for HubSpot ikke blive bedt om det.
- Hvis din konto kræver SSO, men du er udelukket, kan du logge ind med enten 2FA eller indstillingerne Log ind med Google eller Log ind med Microsoft.
- Hvis du skal logge ind med 2FA, og der ikke er opsat SSO, kan du logge ind med enten 2FA eller indstillingerne Log ind med Google eller Log ind med Microsoft .
- Hvis din konto ikke har nogen krav, men har aktiveret SSO, kan du logge ind med en hvilken som helst metode, herunder SSO.