Opsæt single sign-on (SSO) ved hjælp af Active Directory Federation Services (AD FS)

Hvis du har en HubSpot Enterprise-konto , kan du konfigurere single sign-on ved hjælp af Active Directory Federation Services (AD FS).

For at bruge AD FS til at logge ind på din HubSpot-konto, skal du opfylde følgende krav:

• Alle brugere i din Active Directory-instans skal have en e-mailadresse-attribut.
• Du bruger en HubSpot Enterprise-konto.
• Du har en server, der kører Windows Server 2008, 2012 eller 2019.

Bemærk: Denne opsætningsproces bør udføres af en IT-administrator med erfaring i at oprette applikationer i din identitetsudbyderkonto. Læs mere om opsætning af SSO med HubSpot.

Før du går i gang

Før du begynder, skal du notere følgende to værdier fra din HubSpot-konto for at opsætte SSO ved hjælp af Microsoft AD FS:

• Log ind på din HubSpot-konto.
• Klik på Account Defaults i venstre sidepanel.
• Klik på fanen Sikkerhed.
• Klik på Opsæt Single Sign-on.
• Klik på Microsoft AD FS i slide-in-panelet Opsæt Single Sign-on .
• Vær opmærksom på både Audience URI (Service Provider Entity ID) og Sign on URL, ACS, Recipient eller Redirect-værdierne, da du skal tilføje dem til Microsoft AD FS i opsætningsprocessen.

1.Tilføj en Relying Party Trust (RPT)

Åbn din Active Directory Federation Services (AD FS) manager:

• Åbn mappen Relying Party Trusts (RPT) i din AD FS-manager.
• I menuen i højre side skal du vælge Add Relying Party Trust ....
• I dialogboksen Add Relying Party Trust Wizard skal du klikke på Start for at tilføje en ny RPT.
• På skærmen Select Data Source skal du vælge Enter data about the relying party manually.
• Klik på Næste >.
• I feltet Display name skal du indtaste et navn til din trust - dette er til interne formål, så sørg for at navngive den noget, som du nemt kan genkende.
• Klik på Næste >.
• På skærmen Configure Certificate skal du lade standardindstillingerne være, som de er, og derefter klikke på Next >.
• Marker afkrydsningsfeltet Enable Support for the SAML 2.0 WebSSO protocol . I feltet Relying party SAML 2.0 SSO service URL skal du indtaste Sign on URL, ACS, Recipient eller Redirect URL fra din HubSpot-konto.

• Klik på Næste >.
• I feltet Relying party trust identifier :
  • Indtast Audience URI-værdien (Service Provider Entity ID) fra din HubSpot-konto.
  • Indtast https://api.hubspot.com, og klik derefter på Tilføj.
• Klik på Næste >.
• I vinduet Vælg en adgangskontrolpolitik skal du vælge Tillad alle og derefter klikke på Næste >.
• Gennemgå dine indstillinger, og klik derefter på Next >.
• Klik på Luk.

2. Opret regler for krav

Før du opretter din claim-regel, skal du sørge for, at dine brugeres e-mailadresser matcher deres HubSpot-bruger-e-mailadresser. Du kan bruge andre identifikatorer, såsom User Principal Name (UPN), hvis dine UPN'er er i form af en e-mailadresse. For at single sign-on med AD FS skal fungere, skal nameID være i form af en e-mailadresse for at matche med en HubSpot-bruger.

• I vinduet Claims Rule skal du klikke på Add Rule.
• Klik på dropdown-menuen Claim rule template , og vælg Send LDAP Attributes as Claims.
• Klik på Næste >.
• På skærmen Configure Cla im Rule:
  • Indtast et regelnavn i feltet Claim rule name .
  • Klik på dropdown-menuen Attribute store , og vælg Active Directory.
  • I tabellen Mapning af LDAP-attributter skal du mappe følgende:
    • Klik på rullemenuen i kolonnen LDAP Attribute , og vælg Email Addresses.
    • I kolonnen Outgoing ClaimType skal du klikke på rullemenuen og vælge Email Address.
• Klik på Udfør.

Opsæt derefter reglen Transform an Incoming Claim:

• Klik på Tilføj regel.
• Klik på dropdown-menuen Claim rule template , og vælg Transform an Incoming Claim.
• Klik på Næste >.
• På skærmen Configure Claim Rule :
  • Indtast et navn på fordringsreglen.
  • Klik på rullemenuen Indgående kravtype , og vælg E-mailadresse.
  • Klik på rullemenuen Outgoing claim type , og vælg Name ID.
  • Klik på rullemenuen Outgoing name ID format , og vælg Email.
  • Klik på Udfør for at tilføje den nye regel.
• Klik på OK for at tilføje begge nye regler.

3. Juster indstillingerne for tillid

I mappen Replying Party Trusts skal du vælge Properties i menuen Actions i sidepanelet. Klik på fanen Avanceret , og sørg for, at SHA-256 er angivet som den sikre hash-algoritme. Selvom både SHA-256 og SHA-1 understøttes, anbefales SHA-256.

4. Find dit x509-certifikat i PEM-format.

Sådan får du adgang til dit PEM-format x509-certifikat:

• Naviger til AD FS-administrationsvinduet . Naviger til Services > Certificates i menuen i venstre side.
• Find Token signing-certifikatet . Højreklik på certifikatet, og vælg Vis certifikat.
• Klik på fanen Detaljer i dialogboksen.
• Klik på Kopier til fil.
• Klik på Næste i vinduet Certifikateksport , der åbnes.
• Vælg Base-64 encoded X.509 (.CER), og klik derefter på Next.
• Giv din fileksport et navn, og klik derefter på Næste.
• Klik på Udfør for at fuldføre eksporten.

• Find den fil, du lige har eksporteret, og åbn den med en teksteditor, fx Notepad.
• Kopier indholdet af filen.

5. Færdiggør din opsætning i HubSpot

• Log ind på din HubSpot-konto.
• Klik på Account Defaults i venstre sidepanel.
• Klik på fanen Sikkerhed.
• Klik på Opsæt Single Sign-on.
• Klik på Microsoft AD FS i slide-in-panelet Opsæt Single Sign-on .
• Indsæt indholdet af filen ifeltet X.509-certifikat.
• Vend tilbage til din AD FS-manager.

• Vælg mappen Endpoints i menuen i venstre side.
• Søg efter SSO-tjenestens slutpunkt og enhedens URL. SSO-service-URL'en ender normalt på "adfs/services/ls", og entitets-URL'en ender på "adfs/services/trust".
• Vend tilbage til HubSpot. I feltet Identity provider Identifier or Issuer skal du indtaste enhedens URL.
• I feltet Identity Provider Single Sign-On URL skal du indtaste SSO-tjenestens URL.
• Klik på Bekræft.

Bemærk: Hvis du får en fejl, når du konfigurerer single sign-on i HubSpot, skal du tjekke logfilerne i din event viewer på din enhed for fejlmeddelelsen. Hvis du ikke er i stand til at fejlfinde fejlmeddelelsen, skal du kontakte HubSpot Support.