Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten
Zuletzt aktualisiert am: Januar 29, 2024
Mit einem der folgenden Abonnements verfügbar (außer in den angegebenen Fällen):
Marketing Hub Enterprise |
Sales Hub Enterprise |
Service Hub Enterprise |
Content Hub Enterprise |
Wenn Sie einen HubSpot Enterprise Account haben, können Sie Single Sign-On mit Active Directory Federation Services (AD FS) einrichten.
Um sich mit AD FS bei Ihrem HubSpot Account anzumelden, müssen Sie die folgenden Voraussetzungen erfüllen:
- Alle Benutzer in Ihrer Active Directory-Instanz müssen über ein E-Mail-Adressenattribut verfügen.
- Sie verwenden einen HubSpot Enterprise Account.
- Sie haben einen Server mit Windows Server 2008, 2012 oder 2019.
Bitte beachten Sie: tDieser Einrichtungsprozess sollte von einem IT-Administrator durchgeführt werden, der Erfahrung mit der Erstellung von Anwendungen in Ihrem Identity Provider Account hat. Erfahren Sie mehr über und die Einrichtung von SSO mit HubSpot.
Vor dem Start
Bevor Sie beginnen, notieren Sie sich die folgenden beiden Werte aus Ihrem HubSpot Account, um SSO mit Microsoft AD FS einzurichten:
- Melden Sie sich bei Ihrem HubSpot-Account an.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Klicken Sie in der linken Seitenleiste auf Account Defaults.
- Klicken Sie auf die Registerkarte „Sicherheit“.
- Klicken Sie auf Single Sign-on einrichten.
- Klicken Sie im Einblendmenü Single Sign-on einrichten auf Microsoft AD FS.
- Notieren Sie sich sowohl die Werte Audience URI (Service Provider Entity ID) als auch Sign on URL, ACS, Recipient oder Redirect, da Sie diese während des Einrichtungsprozesses zu Microsoft AD FS hinzufügen müssen.
1.Hinzufügen eines Relying Party Trust (RPT)
Öffnen Sie Ihren Active Directory Federation Services (AD FS) Manager:
- Öffnen Sie in Ihrem AD FS Manager den Ordner Relying Party Trusts (RPT) .
- Wählen Sie im rechten Seitenleistenmenü „Add Relying Party Trust..“ aus.
- Klicken Sie im Dialogfeld „Add Relying Party Trust Wizard“ auf „Start“, um einen neuen Replying Party Trust hinzuzufügen.
- Wählen Sie im Bildschirm „Select Data Source“ die Option „Enter data about the relying party manually“ aus.
- Klicken Sie auf „Next >“.
- Geben Sie in das Feld „Display name“ einen Namen für Ihre Vertrauensstellung ein. Dies ist für interne Zwecke wichtig. Wählen Sie daher einen leicht zu merkenden Namen aus.
- Klicken Sie auf „Next >“.
- Wählen Sie im Bildschirm „Configure Certificate“ die angezeigten Standardeinstellungen aus und klicken Sie dann auf „Next >“.
- Aktivieren Sie das Kontrollkästchen „Enable Support for the SAML 2.0 WebSSO protocol“. Geben Sie in das Feld Relying party SAML 2.0 SSO service URL die Sign on URL, ACS, Recipient oder Redirect URL von Ihrem HubSpot Account ein.
- Klicken Sie auf „Next >“.
- Gehen Sie im Feld „Relying party trust identifier“ folgendermaßen vor:
- Geben Sie den Wert Audience URI (Service Provider Entity ID) aus Ihrem HubSpot Account ein.
- Geben Sie „https://api.hubspot.com“ ein und klicken Sie dann auf „Add“.
- Klicken Sie auf „Next >“.
- Wählen Sie im Fenster „Choose an access control policy“ die Option „Permit everyone“ aus und klicken Sie dann auf „Next >“.
- Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf „Next >“.
- Klicken Sie auf „Close“.
2. Anspruchsregeln erstellen
Bevor Sie Ihre Claims-Regel einrichten, stellen Sie sicher, dass die E-Mail-Adressen Ihrer Benutzer mit den E-Mail-Adressen der HubSpot-Benutzer übereinstimmen. Sie können andere IDs wie den Benutzerprinzipalnamen verwenden, wenn Ihre Benutzerprinzipalnamen in Form einer E-Mail-Adresse vorliegen. Damit Single Sign-On mit AD FS funktioniert, muss die nameID in Form einer E-Mail-Adresse vorliegen, um mit einem HubSpot-Benutzer übereinstimmen zu können.
- Klicken Sie im Fenster „Claims Rule“ auf „Add Rule“.
- Klicken Sie auf das Dropdown-Menü „Claim rule template“ und wählen Sie „Send LDAP Attributes as Claims“ aus.
- Klicken Sie auf „Next >“.
- Gehen Sie im Bildschirm „Configure Claim Rule“ folgendermaßen vor:
- Geben Sie im Feld „Claim rule name“ einen Regelnamen ein.
- Klicken Sie auf das Dropdown-Menü „Attribute store“ und wählen Sie „Active Directory“ aus.
- Nehmen Sie in der Tabelle „Mapping of LDAP attributes“ folgende Zuordnungen zu:
- Klicken Sie in der Spalte „LDAP Attribute“ auf das Dropdown-Menü und wählen Sie „Email Addresses“ aus.
- Klicken Sie in der Spalte Outgoing ClaimType auf das Dropdown-Menü und wählen Sie Email Address.
- Klicken Sie auf „Finish“.
Legen Sie als Nächstes die Regel „Transform an Incoming Claim“ fest:
- Klicken Sie auf „Add Rule“.
- Klicken Sie auf das Dropdown-Menü „Claim rule template“ und wählen Sie „Transform an Incoming Claim“ aus.
- Klicken Sie auf „Next >“.
- Gehen Sie im Bildschirm „Configure Claim Rule“ folgendermaßen vor:
- Geben Sie eine Fallregel ein name.
- Klicken Sie auf das Dropdown-Menü „Incoming claim type“ und wählen Sie „E-Mail Address“ aus.
- Klicken Sie auf das Dropdown-Menü „Outgoing claim type“ und wählen Sie „Namen ID“ aus.
- Klicken Sie auf das Dropdown-Menü „Outgoing name ID format“ und wählen Sie „Email (Email“ aus.
- Klicken Sie auf „Finish“, um die neue Regel hinzuzufügen.
- Klicken Sie auf OK , um beide neuen Regeln hinzuzufügen.
3. Vertrauenseinstellungen anpassen
Wählen Sie im Ordner „Replying Party Trusts“ die Option „Properties“ im Seitenleistenmenü „Actions“ aus. Klicken Sie auf die Registerkarte „Advanced“ und stellen Sie sicher, dass „SHA-256“ als sicherer Hash-Algorithmus festgelegt ist. Obwohl sowohl SHA-256 als auch SHA-1 unterstützt werden, wird SHA-256 empfohlen.
4. Suchen Sie Ihr x509-Zertifikat im PEM-Format
So greifen Sie auf Ihr x509-Zertifikat im PEM-Format zu:
- Navigieren Sie zum Fenster der AD FS-Verwaltung. Navigieren Sie im linken Seitenleistenmenü zu „Services“ > „Certificates“.
- Suchen Sie das Zertifikat „Token signing“. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Zertifikat anzeigen.
- Klicken Sie in dem Dialogfeld auf die Registerkarte Details .
- Klicken Sie auf „Copy to File“.
- Klicken Sie im Fenster zum Exportieren des Zertifikats auf „Next“.
- Wählen Sie „Base-64-codiert X.509“ aus und klicken Sie dann auf „Next“.
- Geben Sie Ihrem Dateiexport einen Namen und klicken Sie auf „Next“.
- Klicken Sie auf Fertigstellen , um den Export abzuschließen.
- Suchen Sie die Datei, die Sie gerade exportiert haben, und öffnen Sie sie mit einem Texteditor, zum Beispiel mit Editor.
- Kopieren Sie den Inhalt der Datei.
5. Vervollständigen Sie Ihre Einrichtung in HubSpot
- Melden Sie sich bei Ihrem HubSpot-Account an.
- Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
- Klicken Sie in der linken Seitenleiste auf Account Defaults.
- Klicken Sie auf die Registerkarte „Sicherheit“.
- Klicken Sie auf Single Sign-on einrichten.
- Klicken Sie im Einblendmenü Single Sign-on einrichten auf Microsoft AD FS.
- Fügen Sie den Inhalt der Datei in das Feld X.509 Zertifikat ein.
- Kehren Sie zu Ihrem AD FS-Manager zurück.
- Wählen Sie im Seitenleistenmenü den Ordner „Endpoints“ aus.
- Suchen Sie nach dem Endpunkt des SSO-Dienstes und der URL der Entität. Die URL des SSO-Dienstes endet normalerweise auf "adfs/services/ls" und die URL der Entität auf "adfs/services/trust".
- Kehren Sie zu HubSpot zurück. Geben Sie in das Feld Identity provider Identifier oder Issuer die URL der Entität ein.
- Geben Sie in das Feld Identity Provider Single Sign-On URL die URL des SSO-Dienstes ein.
- Klicken Sie auf „Verifizieren“.
Bitte beachten Sie: Wenn Sie bei der Konfiguration von Single Sign-On in HubSpot einen Fehler erhalten, überprüfen Sie die Ereignisanzeigeprotokolle auf Ihrem Gerät auf die Fehlermeldung. Wenn Sie die Fehlermeldung nicht beheben können, wenden Sie sich an HubSpot Support.