Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten

Wenn Sie über einen HubSpot Professional - oder Enterprise-Account  verfügen, können Sie Single-Sign-On mithilfe von Active Verzeichnis Federation Services (AD FS) einrichten. 

Bevor Sie loslegen

Um sich mit AD FS bei Ihrem HubSpot Account anzumelden, müssen Sie die folgenden Voraussetzungen erfüllen:

• Alle Benutzer in Ihrer Active Directory-Instanz müssen über ein E-Mail-Adressenattribut verfügen.
• Sie verwenden einen HubSpot Professional - oder Enterprise-Account .
• Sie haben einen Server mit Windows Server 2008, 2012 oder 2019. 

Bitte beachten: Dieser Einrichtungsprozess sollte von einem IT-Administrator mit Erfahrung in der Erstellung von Anwendungen in Ihrem Identitätsanbieterkonto durchgeführt werden. Erfahren Sie mehr über das Einrichten von SSO mit HubSpot. 

SSO mit Microsoft AD FS einrichten

1. Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das Zahnradsymbol, um die Einstellungen aufzurufen.
2. Gehen Sie in der linken Seitenleiste zu Sicherheit. 
3. Klicken Sie auf der Registerkarte Anmeldung, wenn Sie Ihre Portal-Anmeldeeinstellungen nicht konfiguriert haben, auf Portal-Anmeldeeinstellungen einrichten. Oder klicken Sie im Abschnitt Single-Sign-On ( SSO ) auf Konfigurieren.
4. Klicken Sie im rechten Bereich auf den Schalter Ich verwende Microsoft AD FS (Legacy-On-Premise), um ihn zu aktivieren.
5. Kopieren Sie die Werte für Zielgruppen-URI (Service Provider Entity ID) und Anmelde-URL, ACS, Empfänger oder Weiterleitung . Sie müssen während des Einrichtungsvorgangs beide Werte zu Microsoft AD FS hinzufügen. 

Eine Vertrauensstellung der vertrauenden Seite hinzufügen

Öffnen Sie Ihren Active Directory Federation Services (AD FS) Manager:

1. Öffnen Sie in Ihrem AD FS Manager den Ordner Relying Party Trusts (RPT) . 
2. Wählen Sie im rechten Seitenleistenmenü „Add Relying Party Trust..“ aus. 
3. Klicken Sie im Dialogfeld „Add Relying Party Trust Wizard“ auf „Start“, um einen neuen Replying Party Trust hinzuzufügen. 
4. Wählen Sie im Bildschirm „Select Data Source“ die Option „Enter data about the relying party manually“ aus. Klicken Sie dann auf Weiter.
5. Geben Sie im Feld Anzeigename einen Namen für Ihre Vertrauensstellung ein – dieser Name dient internen Zwecken, also stellen Sie sicher, dass Sie einen Namen vergeben, den Sie leicht erkennen können. Klicken Sie dann auf Weiter.
6. Lassen Sie im Bildschirm Zertifikat konfigurieren die Standardeinstellungen unverändert und klicken Sie dann auf Weiter.
7. Aktivieren Sie das Kontrollkästchen „Enable Support for the SAML 2.0 WebSSO protocol“.
8. Geben Sie im Feld SAML 2.0 SSO-Dienst-URL der vertrauenden Seite die Anmelde-URL, ACS, Empfänger- oder Weiterleitungs-URL von Ihrem HubSpot-Account ein. Klicken Sie dann auf Weiter.

9. Im Feld Vertrauens-ID der vertrauenden Seite:
   • Geben Sie den Wert für Zielgruppen-URI (Service Provider Entity ID) aus Ihrem HubSpot-Account ein. 
   • Geben Sie https://api.hubspot.com ein und klicken Sie dann auf Hinzufügen. 
10. Klicken Sie auf Weiter.
11. Wählen Sie im Fenster Zugriffskontrollrichtlinie auswählen die Option Alle zulassen aus und klicken Sie dann auf Weiter.
12. Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf Weiter.
13. Klicken Sie auf „Close“. 

Anspruchsregeln erstellen 

Bevor Sie Ihre Anspruchsregel einrichten, stellen Sie sicher, dass die E-Mail-Adressen Ihrer Benutzer mit ihren HubSpot-Benutzer-E-Mail-Adressen übereinstimmen. Sie können andere IDs wie den Benutzerprinzipalnamen verwenden, wenn Ihre Benutzerprinzipalnamen in Form einer E-Mail-Adresse vorliegen. Damit Single-Sign-On mit AD FS funktioniert, muss die NameID in Form einer E-Mail-Adresse vorliegen, damit sie mit einem HubSpot-Benutzer abgeglichen werden kann. 

1. Klicken Sie im Fenster Anspruchsregel auf Regel hinzufügen. 
2. Klicken Sie auf das Dropdown-Menü Vorlage für Anspruchsregeln  und wählen Sie LDAP-Attribute als Ansprüche senden aus. Klicken Sie dann auf Weiter.
3. Gehen Sie im Bildschirm „Configure Claim Rule“ folgendermaßen vor:
   • Geben Sie im Feld Name der Anspruchsregel einen Regelnamen ein. 
   • Klicken Sie auf das Dropdown-Menü „Attribute store“ und wählen Sie „Active Directory“ aus. 
   • Nehmen Sie in der Tabelle „Mapping of LDAP attributes“ folgende Zuordnungen zu:
     • Klicken Sie in der Spalte „LDAP Attribute“  auf das Dropdown-Menü und wählen Sie „Email Addresses“ aus. 
     • Klicken Sie in der Spalte Ausgehender Anspruchstyp auf das Dropdown-Menü und wählen Sie E-Mail-Adresse aus. 
4. Klicken Sie auf Fertigstellen. 

Legen Sie als Nächstes die Regel „Transform an Incoming Claim“ fest: 

1. Klicken Sie auf „Add Rule“. 
2. Klicken Sie auf das Dropdown-Menü „Claim rule template“ und wählen Sie „Transform an Incoming Claim“ aus. Klicken Sie dann auf Weiter.
3. Auf dem Bildschirm Anspruchsregel konfigurieren:
   • Geben Sie eine Fallregel ein name. 
   • Klicken Sie auf das Dropdown-Menü „Incoming claim type“ und wählen Sie „E-Mail Address“ aus. 
   • Klicken Sie auf das Dropdown-Menü „Outgoing claim type“ und wählen Sie „Namen ID“ aus. 
   • Klicken Sie auf das Dropdown-Menü „Outgoing name ID format“ und wählen Sie „Email (Email“ aus. 
   • Klicken Sie auf „Finish“, um die neue Regel hinzuzufügen. 
4. Klicken Sie auf OK , um beide neuen Regeln hinzuzufügen. 

Vertrauenseinstellungen anpassen

1. Wählen Sie im Ordner „Replying Party Trusts“ die Option „Properties“ im Seitenleistenmenü „Actions“ aus.
2. Klicken Sie auf die Registerkarte „Advanced“ und stellen Sie sicher, dass „SHA-256“ als sicherer Hash-Algorithmus festgelegt ist.

Obwohl sowohl SHA-256 als auch SHA-1 unterstützt werden, wird SHA-256 empfohlen. 

Suchen Sie Ihr x509-Zertifikat im PEM-Format

So greifen Sie auf Ihr x509-Zertifikat im PEM-Format zu:

1. Navigieren Sie zum Fenster der AD FS-Verwaltung. Navigieren Sie im linken Seitenleistenmenü zu „Services“ > „Certificates“. 
2. Suchen Sie das Zertifikat „Token signing“. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Zertifikat anzeigen aus. 

3. Klicken Sie in dem Dialogfeld auf die Registerkarte Details . 
4. Klicken Sie auf „Copy to File“. 
5. Klicken Sie im Fenster zum Exportieren des Zertifikats auf „Next“. 
6. Wählen Sie „Base-64-codiert X.509“ aus und klicken Sie dann auf „Next“. 
7. Geben Sie Ihrem Dateiexport einen Namen und klicken Sie auf „Next“. 
8. Klicken Sie auf Fertigstellen , um den Export abzuschließen. 
9. Suchen Sie die Datei, die Sie gerade exportiert haben, und öffnen Sie sie mit einem Texteditor, zum Beispiel mit Editor. 
10. Kopieren Sie den Inhalt der Datei.

Vervollständigen Sie Ihre Einrichtung in HubSpot

1. Melden Sie sich bei Ihrem HubSpot-Account an. 
2. Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das Zahnradsymbol, um die Einstellungen aufzurufen.
3. Gehen Sie in der linken Seitenleiste zu Sicherheit.
4. Klicken Sie auf der Registerkarte Anmeldung im Abschnitt Single-Sign-On ( SSO ) auf Konfigurieren.
5. Fügen Sie den Inhalt der Datei in das Feld X.509-Zertifikat ein. 
6. Kehren Sie zu Ihrem AD FS-Manager zurück. 
7. Wählen Sie im Seitenleistenmenü den Ordner „Endpoints“ aus. 
8. Suchen Sie nach dem SSO-Dienstendpunkt und der Entitäts-URL. Die SSO-Dienst-URL endet normalerweise mit "adfs/services/ls" und die Entitäts-URL mit "adfs/services/trust".
9. Kehren Sie zu HubSpot zurück. Geben Sie im Feld Identitätsanbieter-ID oder Aussteller-URL die Entitäts-URL ein.
10. Geben Sie im Feld URL  des Identity Server für Single-Sign-Ondie URL des SSO-Diensts ein. 
11. Klicken Sie auf „Verifizieren“. 

Bitte beachten: Wenn Sie beim Konfigurieren von Single-Sign-On in HubSpot einen Fehler erhalten, überprüfen Sie, wie die Fehlermeldung in der Event-Anzeige auf Ihrem Gerät angezeigt wird. Wenn Sie die Fehlermeldung nicht beheben können, wenden Sie sich an HubSpot Support.