Opsæt single sign-on (SSO) for at få adgang til privat indhold

Single sign-on (SSO) er en måde at logge sikkert på forskellige applikationer med ét brugernavn og én adgangskode.

Med SSO til privat indhold kan din IT-administrator konfigurere en HubSpot-applikation i din identitetsudbyderkonto, såsom Google eller Okta. Medlemmer af din organisation med adgang til HubSpot-applikationen i din identitetsudbyderkonto kan logge ind med SSO for at se privat indhold.

Du kan yderligere præcisere, hvilke personer der har adgang til specifikt indhold, baseret på deres liste-medlemskaber i din HubSpot-konto. For at få adgang til indhold via list membership, skal disse medlemmer af dit team have kontaktoptegnelser på din HubSpot-konto.

SSO til privat indhold er tilgængeligt for følgende abonnementer:

• Content Hub Professional og Enterprise-konti kan opsætte SSO til blogs, landingssider og websider.
• Service Hub Professional- og Enterprise-konti kan opsætte SSO til vidensbaseartikler og kundeportaler.

Før du kommer i gang

• Denne opsætningsproces skal udføres af en IT-administrator med erfaring i at oprette applikationer i din identitetsudbyderkonto og tilladelse til at redigere webstedsindstillinger i HubSpot.
• SSO kan konfigureres til ét HubSpot-hosted subdomæne pr. identitetsudbyderkonto. For at opnå de bedste resultater anbefales det at dedikere et subdomæne udelukkende til SSO-medlemskab.
• Notifikationsmails og login-sider til privat indhold, der kræver SSO, vil blive håndteret af din identitetsudbyderkonto, snarere end dine indstillinger for privat indhold i HubSpot.
• Privat indhold, der kræver SSO, vil ikke blive crawlet af søgemaskiner og kan kun ses af kontakter, der har adgang og er logget ind.
• Alle sideaktiver såsom billeder og formularer vil kun kræve SSO for at få adgang som en del af siden. Hvis URL'erne til selve aktiverne leveres separat, kræver de ikke SSO for at få adgang. Læs mere om, hvordan du indstiller URL-synlighed for aktiver i filværktøjet.
• Hvis du slår SSO til for et domæne, der tidligere krævede medlemsregistrering, vil SSO bruge dine oprindelige medlemslister. Hvis du slår SSO fra igen, vil indholdet vende tilbage til at kræve medlemsregistrering for de samme lister.

Opsæt SSO for HubSpot privat indhold i din identitetsudbyderkonto

For at opsætte SSO til privat indhold, der hostes i HubSpot, skal din IT-administrator oprette en ny applikation til adgang til HubSpot-indhold. For at fuldføre denne proces vil din IT-administrator henvise til værdier fra dine private indholdsindstillinger i HubSpot.

Bemærk: Hvis du kræver SSO for et subdomæne, der allerede er vært for privat indhold med medlemsregistrering, vil dette indhold ikke længere være tilgængeligt for registrerede kontakter.

De trin og felter, der kræves for at tilføje en ny applikation i din identitetsudbyder, kan variere. Generelle instruktioner til opsætning af SSO til privat indhold er skitseret nedenfor.

Opsæt SSO for en SAML-baseret applikation

Sådan opretter du en ny SAML-applikation til privat HubSpot-indhold i din identitetsudbyderkonto:

• Log ind på din identitetsudbyderkonto.
• Naviger til dine applikationer i din identity provider-konto.
• I din HubSpot-konto skal du indsamle de nødvendige værdier til din nye HubSpot-applikation:
  • På din HubSpot-konto skal du klikke på settings indstillingsikonet på den øverste navigationslinje.
  • I menuen i venstre side skal du navigere til Indhold > Privat indhold.
  • Øverst på siden skal du klikke på rullemenuen Vælg et domæne at redigere og vælge et underdomæne.
  • I afsnittet Single sign-on (SSO) skal du klikke på Opsæt SSO.
  • I højre panel skal du klikke på rullemenuen Security token format og vælge SAML.
  • Kopier Audience URL og Sign on URL.

• I din identitetsudbyderkonto:
  • Indsæt Audience URL og Sign on URL kopieret fra HubSpot i de tilsvarende felter.

• • Kopier identifikatorerne forUdsteder-URL,Single Sign-on-URL og Certifikat.
• I din HubSpot-konto:
  • Indsæt værdierne forIssuer URL,Single Sign-on URL og Certificate i de tilsvarende felter i panelet Set up Single Sign-on.
  • Klik på Bekræft.

Når verificeringsprocessen er færdig, vil du se en bekræftelse på, at Single sign-on er aktiveret for dit domæne i dine private indholdsindstillinger.

Opsæt SSO til en JWT-baseret applikation

• På din identitetsudbyderkonto:
  
  • Naviger til dine applikationer i din identitetsudbyderkonto.
  • Kopier identifikatorerne for Remote Login URL og Secret Key. Find signeringsalgoritmen.
  • For ekstra sikkerhed skal du kopiere Issue, Subject og Audience.
• Indtast disse værdier i dine SSO-indstillinger på din HubSpot-konto:
  
  • På din HubSpot-konto skal du klikke på settings indstillingsikonet på den øverste navigationslinje.
  • I menuen i venstre side skal du navigere til Indhold > Privat indhold.
  • Øverst på siden skal du klikke på rullemenuen Vælg et domæne at redigere og vælge et underdomæne.
  • I afsnittet Single sign-on (SSO) skal du klikke på Opsæt SSO.
  • I højre panel skal du klikke på rullemenuen Security token format og vælge JWT.
  • Indsæt URL'en til fjernlogin
  • Klik på rullemenuen Signeringsalgoritme, og vælg værdien i din identitetsudbyderkonto.
  • Indsæt den hemmelige nøgle. Hvis du bruger en asymmetrisk signeringsalgoritme med både offentlige og private nøgler, vil den hemmelige nøgle være den offentlige nøgle.

• • For ekstra sikkerhed skal du indsætte Issue, Subject og Audience .
  • Klik på Bekræft.

Der åbnes et vindue til den 'Remote Login URL', der er angivet i SSO-indstillingerne. Den URL, der åbnes i vinduet, vil indeholde en forespørgselsparameter 'redirect_url' med en værdi af en URL på det domæne, du konfigurerer, og stien '_hcms/mem/jwt/verify'.

For at verificere skal der sendes en forespørgsel til den URL, der er angivet i parameteren 'redirect_url', efter at legitimationsoplysningerne er indtastet på 'Remote Login URL'. Denne anmodning skal indeholde en understøttet forespørgselsparameter, hvor værdien skal være en JWT/hash, som efter dekryptering indeholder et 'email'-felt i sin payload med en gyldig e-mailadresse. Understøttede query-params er 'jwt', 'code', 'id_token' og 'access_token'.

JWT/hash dekrypteres af HubSpot ved hjælp af den signeringsalgoritme og hemmelige nøgle, der er angivet i SSO-indstillingerne. Afsendelsen af denne efterfølgende anmodning, der foretages, efter at gyldige legitimationsoplysninger er blevet indtastet på siden 'Remote Login URL', skal konfigureres i din identitetsudbyderkonto.

Når verificeringsprocessen er afsluttet, vil du se en bekræftelse på, at Single sign-on er aktiveret for dit domæne i dine private indholdsindstillinger.

Når verificeringen er fuldført, skal besøgende, der består verificeringen på 'Remote login URL', sendes til '_hcms/mem/jwt' med to query params:

• 'jwt', 'code', 'id_token' eller 'access_token' forespørgselsparameter med en hash, der, når den er dekrypteret, indeholder den besøgendes e-mailadresse i et e-mailfelt.
• 'redirect_url'-forespørgselsparameter, der angiver den side, som den besøgende skal omdirigeres til. Denne URL skal være den samme som værdien af 'redirect_url'-forespørgselsparameteren i den anmodning, der sendes til 'Remote login URL'.

Fejlfinding af almindelige JWT-fejl

Hvis du har problemer med at opsætte SSO til en JWT-baseret applikation, anbefales det at verificere dit JSON-webtoken ved hjælp af JWT's debugger.

Når du har verificeret din JWT, kan du løse følgende fejl:

• NO_SETTINGS: kombinationen af portal og domæne returnerer ikke nogen JWT-indstillinger.
• COULD_NOT_PARSE_HEADER: JWT-header skal være til stede og base64-kodet.
• WRONG_TYPE_IN_HEADER: JWT token header har et felt "typ", og det er ikke lig med "jwt"
• ALGORITHM_MISSING_IN_HEADER: JWT token header har ikke et "alg" felt til algoritmen
• NONE_ALGORITHM_PROVIDED: "alg"-feltet er lig med "none", hvilket er usikkert og ikke understøttet.
• TOKEN_VERIFICATION_FAILED: token kan være tom, nul, forkert, eller forespørgselsparameteren understøttes ikke. Vi understøtter forespørgselsparametrene "jwt", "code", "id_token" og "access_token".
• MISSING_EMAIL_IN_TOKEN: det afkodede token mangler et e-mail-felt, eller det er tomt eller ugyldigt.
• INVALID_KEY: hemmelig nøgle mangler eller er ugyldig
• INVALID_KEY_LENGTH: den hemmelige nøglelængde matcher ikke kravene til den valgte signeringsalgoritme
• PRIVATE_KEY_PROVIDED: den valgte signeringsalgoritme kræver en offentlig nøgle som hemmelig nøgle, men der blev leveret en privat nøgle
• INVALID_LOGIN_URL: den angivne fjern-login-URL er ikke gyldig
• JTI_CLAIM_INVALID: JWT-tjek kan ikke afspilles igen

Kræv SSO til dit indhold

Der er to muligheder for at kræve privat indhold med SSO:

• Privat - Single sign-on (SSO) påkrævet: alle i din identitetsudbyderorganisation med adgang til HubSpot-applikationen kan logge ind med SSO for at se det private indhold.
• Privat - Single sign-on (SSO) påkrævet med listefiltrering: Personer i din identitetsudbyderorganisation, som også har specifikke HubSpot-listemedlemskaber , kan logge ind med SSO for at se privat indhold. Disse personer skal have adgang til HubSpot-applikationen inden for din identitetsudbyderkonto (såsom Okta eller Google), men de behøver ikke at være brugere på din HubSpot-konto.

Kræv SSO til en blog

Du kan kræve SSO for blogs, der er hostet på det underdomæne, du har forbundet i din identitetsudbyderkonto. Hvis du slår SSO til for en bestemt blog, vil det påvirke alle blogindlæg, der udgives på den blog. Det er ikke muligt at kræve SSO for et specifikt blogindlæg.

Bemærk: Hvis du kræver SSO for en blog, der allerede er vært for privat indhold med medlemsregistrering, vil den blog ikke længere være tilgængelig for disse kontakter.

Sådan opsætter du SSO til en blog:

• På din HubSpot-konto skal du klikke på settings indstillingsikonet på den øverste navigationslinje.
• Naviger til Indhold > Blog i menuen i venstre sidepanel.
• Klik øverst til venstre på rullemenuen Vælg en blog at ændre, og vælg en blog, der hostes på det underdomæne, du har oprettet hos din identitetsudbyder.
• Opsæt SSO i afsnittet Control audience access:
  • Vælg Privat - Single sign-on (SSO) påkrævet for at give adgang til alle i din identitetsudbyders organisation med adgang til HubSpot-applikationen.
  • Vælg Privat - Single sign-on påkrævet med listefiltrering for at give adgang til enkeltpersoner i din identitetsudbyderkonto med adgang til HubSpot-applikationen og specifikke listemedlemskaber. Vælg derefter de lister, du ønsker skal have adgang til dette indhold.
• Klik på Gem nederst til venstre.

Kræv SSO til landingssider eller websider

Du kan kræve SSO for landingssider eller websider, der er hostet på det underdomæne, du har forbundet i din identitetsudbyderkonto.

Bemærk: Hvis du kræver SSO for en landingsside eller hjemmeside, der allerede er indstillet til privat indhold med medlemsregistrering, vil den side ikke længere være tilgængelig for disse kontakter.

• Naviger til dit indhold:

  • Hjemmeside-sider: På din HubSpot-konto skal du navigere til Indhold > Websider.
  • Landingssider: På din HubSpot-konto skal du navigere til Indhold > Landingssider.

• Marker afkrydsningsfeltet ud for den side, du vil kræve SSO til.
• Klik på rullemenuen More øverst i tabellen, og vælg Control audience access.
• I højre panel skal du konfigurere SSO for de sider, du har valgt, og derefter klikke på Gem:
  • Vælg Privat - Single sign-on påkrævet for at give adgang til alle i din identitetsudbyderorganisation med adgang til HubSpot-applikationen.
  • Vælg Private - Single sign-on required with list filtering for at give adgang til personer i din identitetsudbyderkonto med adgang til HubSpot-applikationen og specifikke listemedlemskaber. Vælg derefter de specifikke lister, du ønsker skal have adgang til dette indhold.
• Du kan også styre målgruppens adgang til en bestemt side i fanen Indstillinger i indholdseditoren.

Kræv SSO for specifikke artikler i vidensbasen

Du kan opsætte SSO for specifikke artikler i vidensbasen, der er hostet på det underdomæne, du har forbundet med din identitetsudbyderkonto.

Bemærk: Hvis du kræver SSO for en vidensbaseartikel, der allerede er indstillet til privat indhold med medlemsregistrering, vil den artikel ikke længere være tilgængelig for disse kontakter.

Sådan opsætter du SSO til specifikke artikler i vidensbasen:

• På din HubSpot-konto skal du navigere til Indhold > Videngrundlag.
• Klik på fanen Artikler.
• Marker afkrydsningsfeltet ud for den artikel, du ønsker skal kræve SSO.
• Klik på Control audience access øverst i tabellen.
• Opsæt SSO for disse artikler i højre panel, og klik derefter på Gem:
  • Vælg Privat - Single sign-on påkrævet for at give adgang til alle i din identitetsudbyderorganisation med adgang til HubSpot-applikationen.
  • Vælg Private - Single sign-on required with list filtering for at give adgang til personer i din identitetsudbyderkonto med adgang til HubSpot-applikationen og specifikke listemedlemskaber. Vælg derefter de specifikke lister, du ønsker skal have adgang til dette indhold.

Du kan også styre målgruppens adgang til en bestemt artikel under fanen Indstillinger i artikeleditoren.

Slå SSO fra for privat indhold

Hvis du slår SSO fra for privat indhold, vil det påvirke dit indhold forskelligt afhængigt af den indstilling, du har valgt.

• Indhold, der er indstillet til Privat - Single sign-on påkrævet, bliver offentligt.
• Indhold, der er indstillet til Privat - Enkelt login påkrævet med listefiltrering, bliver utilgængeligt.

For at holde dit private indhold privat, når du slår SSO fra, anbefaler HubSpot, at du ændrer publikumsadgang for dit private indhold til Privat - Single sign-on krævet med listefiltrering. Du kan derefter ændre publikumsadgangen til dette indhold, så det i stedet kræver CMS-medlemsregistrering.

Sådan slår du SSO fra for privat indhold:

• På din HubSpot-konto skal du klikke på settings indstillingsikonet på den øverste navigationslinje.
• Naviger til Indhold > Privat indhold i menuen i venstre side.
• Øverst i dine indstillinger skal du klikke på rullemenuen Vælg et domæne at redigere og vælge et domæne.
• I afsnittet Single sign-on (SSO) skal du klikke på Administrer SSO.
• Nederst i panelet skal du klikke for at slå SSO Enabled fra.