Opsæt single sign-on (SSO) for at få adgang til privat indhold

Single sign-on (SSO) er en måde at logge sikkert ind på forskellige applikationer med ét brugernavn og én adgangskode.

Med SSO til privat indhold kan din it-administrator oprette en HubSpot-applikation på din identitetsudbyderkonto, f.eks. Google eller Okta. Medlemmer af din organisation med adgang til HubSpot-applikationen i din identitetsudbyderkonto kan logge ind med SSO for at se privat indhold.

Du kan yderligere afgrænse, hvilke personer der har adgang til specifikt indhold, baseret på deres medlemskab aflister i din HubSpot-konto. For at få adgang til indhold via listetilhørsforhold skal disse medlemmer af dit team have kontaktoplysninger på din HubSpot-konto.

SSO for privat indhold er tilgængeligt for følgende abonnementer:

• Content Hub Professional- og Enterprise-konti kan opsætte SSO for blogs, landingssider og websider.
• Service Hub Professional- og Enterprise-konti kan opsætte SSO til vidensbaseartikler og kundeportaler.

Før du kommer i gang

• Denne opsætningsproces skal udføres af en IT-administrator med erfaring i at oprette applikationer på din identitetsudbyderkonto og tilladelse til at redigere hjemmesideindstillinger i HubSpot.
• SSO kan konfigureres for ét HubSpot-hostet underdomæne pr. identitetsudbyderkonto. For at opnå de bedste resultater anbefales det at dedikere et underdomæne til SSO-medlemskab.
• Meddelelsesmails og login-sider for privat indhold, der kræver SSO, håndteres af din identitetsudbyderkonto i stedet for dine indstillinger for privat indhold i HubSpot.
• Privat indhold, der kræver SSO, vil ikke blive crawlet af søgemaskiner og kan kun ses af kontakter, der har adgang og er logget ind.
• Eventuelle sideaktiver som billeder og formularer kræver kun SSO for at få adgang som en del af siden. Hvis URL'erne til selve aktiverne leveres separat, kræver de ikke SSO for at få adgang. Læs mere om, hvordan du indstiller URL-synlighed for aktiver i filværktøjet.
• Hvis du slår SSO til for et domæne, der tidligere krævede medlemsregistrering, vil SSO bruge dine oprindelige medlemslister. Hvis du slår SSO fra igen, vender indholdet tilbage til at kræve medlemsregistrering for de samme lister.

Opsæt SSO for privat HubSpot-indhold i din identitetsudbyderkonto

For at opsætte SSO for privat indhold, der er hostet i HubSpot, skal din IT-administrator oprette en ny applikation til adgang til HubSpot-indhold. For at gennemføre denne proces vil din it-administrator henvise til værdier fra dine indstillinger for privat indhold i HubSpot.

Bemærk: Hvis du kræver SSO for et underdomæne, der allerede er vært for privat indhold med medlemsregistrering, vil dette indhold ikke længere være tilgængeligt for registrerede kontakter.

De trin og felter, der kræves for at tilføje en ny applikation i din identitetsudbyder, kan variere. Generelle instruktioner til opsætning af SSO for privat indhold er beskrevet nedenfor.

Opsæt SSO for en SAML-baseret applikation

Sådan opretter du en ny SAML-applikation til privat HubSpot-indhold i din identitetsudbyderkonto:

• Log ind på din identitetsudbyderkonto.
• Naviger til dine applikationer i din identitetsudbyderkonto.
• I din HubSpot-konto skal du indsamle de nødvendige værdier til din nye HubSpot-applikation:
  • Naviger til Indhold > Privat indhold i menuen i venstre side.
  • Øverst på siden skal du klikke på rullemenuen Choose a domain to edit og vælge et underdomæne.
  • Klik på Opsæt SSO i afsnittet Single sign-on (SSO).
  • I højre panel skal du klikke på rullemenuen Security token format og vælge SAML.
  • Kopier Audience URL og Sign on URL.

• I din identitetsudbyderkonto:
  • Indsæt Audience URL og Sign on URL , som du har kopieret fra HubSpot, i de tilsvarende felter.

• • Kopier identifikatorerne forudsteder-URL'en, Single Sign-on-URL'en og certifikatet.
• I din HubSpot-konto:
  • Indsæt værdierne forudsteder-URL,Single Sign-on-URL og certifikat i de tilsvarende felter i panelet Set up Single Sign-on.
  • Klik på Bekræft.

Når bekræftelsesprocessen er afsluttet, vil du se en bekræftelse på, at Single sign-on er aktiveret for dit domæne i dine private indholdsindstillinger.

Opsæt SSO for en JWT-baseret applikation

• På din identitetsudbyderkonto:
  
  • Naviger til dine applikationer i din identitetsudbyderkonto.
  • Kopier identifikatorerne for Remote Login URL og Secret Key. Find signeringsalgoritmen.
  • For ekstra sikkerhed skal du kopiere Issue, Subject og Audience.
• På din HubSpot-konto skal du indtaste disse værdier i dine SSO-indstillinger:
  
  • Gå til Indhold > Privat indhold i menuen i venstre sidepanel.
  • Øverst på siden skal du klikke på rullemenuen Vælg et domæne til redigering og vælge et underdomæne.
  • Klik på Opsæt SSO i afsnittet Single sign-on (SSO).
  • Klik på rullemenuen Security token format i højre panel, og vælg JWT.
  • Indsæt URL'en til fjernlogin
  • Klik på rullemenuen Signing algorithm, og vælg værdien i din identitetsudbyderkonto.
  • Indsæt den hemmelige nøgle. Hvis du bruger en asymmetrisk signeringsalgoritme med både offentlige og private nøgler, vil den hemmelige nøgle være den offentlige nøgle.

• • For ekstra sikkerhed skal du indsætte Issue ,Subject og Audience .
  • Klik på Bekræft.

Der åbnes et vindue til den "Remote Login URL", der er angivet i SSO-indstillingerne. URL'en, der åbnes i vinduet, indeholder en forespørgselsparameter 'redirect_url' med en værdi af en URL på det domæne, du konfigurerer, og stien '_hcms/mem/jwt/verify'.

Til verifikation skal der sendes en anmodning til den URL, der er angivet i parameteren 'redirect_url', efter at legitimationsoplysningerne er indtastet på 'Remote Login URL'. Denne anmodning skal indeholde en understøttet forespørgselsparameter, hvor værdien skal være en JWT/hash, som, når den er dekrypteret, indeholder et 'email'-felt i sin payload med en gyldig e-mailadresse. Understøttede forespørgselsparametre er 'jwt', 'code', 'id_token' og 'access_token'.

JWT/hash dekrypteres af HubSpot ved hjælp af den signeringsalgoritme og hemmelige nøgle, der er angivet i SSO-indstillingerne. Afsendelsen af denne efterfølgende anmodning, der foretages, efter at der er indtastet gyldige legitimationsoplysninger på siden "Remote Login URL", skal konfigureres på din identitetsudbyderkonto.

Når bekræftelsesprocessen er afsluttet, vil du se en bekræftelse på, at Single sign-on er aktiveret for dit domæne i dine private indholdsindstillinger.

Når bekræftelsen er gennemført, skal besøgende, der består bekræftelsen på "Remote login URL", sendes til "_hcms/mem/jwt" med to forespørgselsparams:

• 'jwt', 'code', 'id_token' eller 'access_token' forespørgselsparameter med en hash, der, når den er dekrypteret, indeholder den besøgendes e-mailadresse i et e-mailfelt.
• 'redirect_url' forespørgselsparameter, der angiver den side, hvor den besøgende skal sendes hen. Denne URL skal være den samme som værdien af query-parameteren 'redirect_url' i den anmodning, der sendes til 'Remote login URL'.

Fejlfinding af almindelige JWT-fejl

Hvis du har problemer med at opsætte SSO for en JWT-baseret applikation, anbefales det at verificere dit JSON-webtoken ved hjælp af JWT's debugger.

Når du har verificeret din JWT, kan du løse følgende fejl:

• NO_SETTINGS: Kombinationen af portal og domæne returnerer ikke nogen JWT-indstillinger.
• COULD_NOT_PARSE_HEADER: JWT-header skal være til stede og base64-kodet
• WRONG_TYPE_IN_HEADER: JWT-token-headeren har et felt "typ", og det er ikke lig med "jwt"
• ALGORITHM_MISSING_IN_HEADER: JWT-token-headeren har ikke et "alg"-felt for algoritmen
• NONE_ALGORITHM_PROVIDED: "alg"-feltet er lig med "none", hvilket er usikkert og ikke understøttet
• TOKEN_VERIFICATION_FAILED: token kan være tomt, null, forkert, eller forespørgselsparameteren understøttes ikke. Vi understøtter forespørgselsparametrene "jwt", "code", "id_token" og "access_token".
• MISSING_EMAIL_IN_TOKEN: Det afkodede token mangler et e-mailfelt, eller det er ugyldigt eller tomt.
• INVALID_KEY: hemmelig nøgle mangler eller er ugyldig
• INVALID_KEY_LENGTH: længden af den hemmelige nøgle svarer ikke til den valgte signeringsalgoritmes krav
• PRIVATE_KEY_PROVIDED: Den valgte signeringsalgoritme kræver en offentlig nøgle som den hemmelige nøgle, men der blev leveret en privat nøgle
• INVALID_LOGIN_URL: den angivne eksterne login-URL er ikke gyldig
• JTI_CLAIM_INVALID: JWT-tjek kan ikke afspilles igen

Kræv SSO for dit indhold

Der er to muligheder for at kræve privat indhold med SSO:

• Privat - Single sign-on (SSO) påkrævet: alle i din identitetsudbyderorganisation med adgang til HubSpot-applikationen kan logge ind med SSO for at se det private indhold.
• Privat - Single sign-on (SSO) påkrævet med listefiltrering: Personer i din identitetsudbyderorganisation, som også har specifikke HubSpot-listemedlemskaber , kan logge ind med SSO for at se privat indhold. Disse personer skal have adgang til HubSpot-applikationen på din identitetsudbyderkonto (f.eks. Okta eller Google), men de behøver ikke at være brugere på din HubSpot-konto.

Kræv SSO til en blog

Du kan kræve SSO for blogs, der er hostet på det underdomæne, du har forbundet med din identitetsudbyderkonto. Hvis du slår SSO til for en bestemt blog, vil det påvirke alle blogindlæg, der udgives på den pågældende blog. Det er ikke muligt at kræve SSO for et bestemt blogindlæg.

Bemærk: Hvis du kræver SSO for en blog, der allerede er vært for privat indhold med medlemsregistrering, vil denne blog ikke længere være tilgængelig for disse kontakter.

Sådan opsætter du SSO for en blog:

• Gå til Indhold > Blog i menuen i venstre sidepanel.
• Klik øverst til venstre på rullemenuen Vælg en blog, der skal ændres, og vælg en blog, der er hostet på det underdomæne, du har oprettet hos din identitetsudbyder.
• Opsæt SSO i afsnittet Control audience access:
  • Vælg Privat - Single sign-on (SSO) kræves for at give adgang til alle i din identitetsudbyders organisation med adgang til HubSpot-applikationen.
  • Vælg Private - Single sign-on kræves med listefiltrering for at give adgang til personer i din identitetsudbyderkonto med adgang til HubSpot-applikationen og specifikke listemedlemskaber . Vælg derefter de lister, du ønsker skal have adgang til dette indhold.
• Klik på Gem nederst til venstre.

Kræv SSO for landingssider eller websider

Du kan kræve SSO for landingssider eller websider, der er hostet på det underdomæne, du har forbundet med din identitetsudbyderkonto.

Bemærk: Hvis du kræver SSO for en landingsside eller en webside , der allerede er indstillet til privat indhold med medlemsregistrering, vil denne side ikke længere være tilgængelig for disse kontakter.

• Naviger til dit indhold:

  • Hjemmesidens sider:
  • Landingssider:
• Marker afkrydsningsfeltet ud for de sider, der skal kræve SSO.
• Klik på rullemenuen More øverst i tabellen, og vælg Control audience access.
• I højre panel skal du konfigurere SSO for de sider, du har valgt, og derefter klikke på Gem:
  • Vælg Private - Single sign-on required for at give adgang til alle i din identitetsudbyderorganisation med adgang til HubSpot-applikationen.
  • Vælg Privat - Single sign-on påkrævet med listefiltrering for at give adgang til personer i din identitetsudbyderkonto med adgang til HubSpot-applikationen og specifikke listemedlemskaber . Vælg derefter de specifikke lister, du vil have adgang til dette indhold.

Kræv SSO for specifikke vidensbaseartikler

Du kan opsætte SSO for specifikke vidensbaseartikler, der er hostet på det underdomæne, du har forbundet med din identitetsudbyderkonto.

Bemærk: Hvis du kræver SSO for en vidensbaseartikel , der allerede er indstillet til privat indhold med medlemsregistrering, vil denne artikel ikke længere være tilgængelig for disse kontakter.

Sådan opsætter du SSO for specifikke vidensbaseartikler:

• Klik på fanen Artikler.
• Marker afkrydsningsfeltet ud for den artikel, du vil kræve SSO for.
• Klik på Control audience access øverst i tabellen.
• Opsæt SSO for disse artikler i højre panel, og klik derefter på Gem:
  • Vælg Private - Single sign-on required for at give adgang til alle i din identitetsudbyderorganisation med adgang til HubSpot-applikationen.
  • Vælg Privat - Single sign-on påkrævet med listefiltrering for at give adgang til personer i din identitetsudbyderkonto med adgang til HubSpot-applikationen og specifikke listemedlemskaber . Vælg derefter de specifikke lister, du vil have adgang til dette indhold.

Du kan også styre publikums adgang til en bestemt artikel på fanen Indstillinger i artikeleditoren.

Kræv SSO for alle vidensbaseartikler

Du kan også opsætte SSO for alle vidensbaseartikler for en bestemt vidensbase, der er hostet på det underdomæne, du har forbundet med din identitetsudbyderkonto.

• Gå til Indhold > Vidensbase i menuen i venstre side.
• Hvis du har flere vidensbaser, skal du klikke på den første rullemenu i afsnittet Aktuel visning og vælge en vidensbase. Dette vil være den anden dropdown-menu i konti med add-on'en Business Units.
• I afsnittet Adgangskontrol skal du vælge Single sign on (SSO) required.
• Klik på Gem nederst til venstre.

Slå SSO fra for privat indhold

Hvis du slår SSO fra for privat indhold, vil det påvirke dit indhold forskelligt afhængigt af den indstilling, du har valgt.

• Indhold, der er indstillet til Privat - enkeltlogon påkrævet, bliver offentligt.
• Indhold, der er indstillet til Private - Single sign-on required med listefiltrering, bliver utilgængeligt .

For at holde dit private indhold privat, når du slår SSO fra, anbefaler HubSpot, at du ændrer målgruppeadgangen for dit private indhold til Private - Single sign-on required with list filtering. Du kan derefter ændre målgruppeadgangen for dette indhold til at kræve registrering af CMS-medlemskab i stedet.

Sådan slår du SSO fra for privat indhold:

• Gå til Indhold > Privat indhold i menuen i venstre sidepanel.
• Øverst i dine indstillinger skal du klikke på rullemenuen Vælg et domæne at redigere og vælge et domæne.
• I afsnittet Single sign-on (SSO) skal du klikke på Administrer SSO.
• Nederst i panelet skal du klikke for at slå SSO Enabled fra.