Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten

Wenn Sie über einen HubSpot Professional - oder Enterprise-Account  verfügen, können Sie Single-Sign-On mithilfe von Active Verzeichnis Federation Services (AD FS) einrichten. 

Dies sind die Voraussetzungen:

Um sich mit AD FS bei Ihrem HubSpot Account anzumelden, müssen Sie die folgenden Voraussetzungen erfüllen:

• Alle Benutzer in Ihrer Active Directory-Instanz müssen über ein E-Mail-Adressenattribut verfügen.
• Sie verwenden einen HubSpot Professional - oder Enterprise-Account .
• Sie haben einen Server mit Windows Server 2008, 2012 oder 2019. 

Bitte beachten: Dieser Einrichtungsprozess sollte von einem IT-Administrator mit Erfahrung in der Erstellung von Anwendungen in Ihrem Identitätsanbieterkonto durchgeführt werden. Erfahren Sie mehr über das Einrichten von SSO mit HubSpot. 

SSO mit Microsoft AD FS einrichten

Bevor Sie beginnen, notieren Sie sich die folgenden beiden Werte aus Ihrem HubSpot Account, um SSO mit Microsoft AD FS einzurichten:

1. Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
2. Klicken Sie in der linken Seitenleiste auf Sicherheit. 
3. Klicken Sie auf der Registerkarte Anmeldung im Abschnitt Single-Sign-On (SSO ) einrichten auf Einrichten.
4. Klicken Sie im Einblendbereich Single-Sign-On einrichten auf die Registerkarte Microsoft AD FS .
5. Notieren Sie sich sowohl die Werte Audience URI (Service Provider Entity ID) als auch Sign on URL, ACS, Recipient oder Redirect, da Sie diese während des Einrichtungsprozesses zu Microsoft AD FS hinzufügen müssen. 

Eine Vertrauensstellung der vertrauenden Seite hinzufügen

Öffnen Sie Ihren Active Directory Federation Services (AD FS) Manager:

1. Öffnen Sie in Ihrem AD FS Manager den Ordner Relying Party Trusts (RPT) . 
2. Wählen Sie im rechten Seitenleistenmenü „Add Relying Party Trust..“ aus. 
3. Klicken Sie im Dialogfeld „Add Relying Party Trust Wizard“ auf „Start“, um einen neuen Replying Party Trust hinzuzufügen. 
4. Wählen Sie im Bildschirm „Select Data Source“ die Option „Enter data about the relying party manually“ aus. Klicken Sie dann auf Weiter.
5. Geben Sie in das Feld „Display name“ einen Namen für Ihre Vertrauensstellung ein. Dies ist für interne Zwecke wichtig. Wählen Sie daher einen leicht zu merkenden Namen aus. Klicken Sie dann auf Weiter.
6. Lassen Sie im Bildschirm Zertifikat konfigurieren die Standardeinstellungen unverändert und klicken Sie dann auf Weiter.
7. Aktivieren Sie das Kontrollkästchen „Enable Support for the SAML 2.0 WebSSO protocol“.
8. Geben Sie in das Feld Relying party SAML 2.0 SSO service URL die Sign on URL, ACS, Recipient oder Redirect URL von Ihrem HubSpot Account ein. Klicken Sie dann auf Weiter.

9. Im Feld Vertrauens-ID der vertrauenden Seite:
   • Geben Sie den Wert Audience URI (Service Provider Entity ID) aus Ihrem HubSpot Account ein. 
   • Geben Sie https://api.hubspot.com ein und klicken Sie dann auf Hinzufügen. 
10. Klicken Sie auf Weiter.
11. Wählen Sie im Fenster Zugriffskontrollrichtlinie auswählen die Option Alle zulassen aus und klicken Sie dann auf Weiter.
12. Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf Weiter.
13. Klicken Sie auf „Close“. 

Anspruchsregeln erstellen 

Bevor Sie Ihre Anspruchsregel einrichten, stellen Sie sicher, dass die E-Mail-Adressen Ihrer Benutzer mit ihren HubSpot-Benutzer-E-Mail-Adressen übereinstimmen. Sie können andere IDs wie den Benutzerprinzipalnamen verwenden, wenn Ihre Benutzerprinzipalnamen in Form einer E-Mail-Adresse vorliegen. Damit Single-Sign-On mit AD FS funktioniert, muss die NameID in Form einer E-Mail-Adresse vorliegen, damit sie mit einem HubSpot-Benutzer abgeglichen werden kann. 

1. Klicken Sie im Fenster Anspruchsregel auf Regel hinzufügen. 
2. Klicken Sie auf das Dropdown-Menü Vorlage für Anspruchsregeln  und wählen Sie LDAP-Attribute als Ansprüche senden aus. Klicken Sie dann auf Weiter.
3. Gehen Sie im Bildschirm „Configure Claim Rule“ folgendermaßen vor:
   • Geben Sie im Feld „Claim rule name“ einen Regelnamen ein. 
   • Klicken Sie auf das Dropdown-Menü „Attribute store“ und wählen Sie „Active Directory“ aus. 
   • Nehmen Sie in der Tabelle „Mapping of LDAP attributes“ folgende Zuordnungen zu:
     • Klicken Sie in der Spalte „LDAP Attribute“  auf das Dropdown-Menü und wählen Sie „Email Addresses“ aus. 
     • Klicken Sie in der Spalte Ausgehender Anspruchstyp auf das Dropdown-Menü und wählen Sie E-Mail-Adresse aus. 
4. Klicken Sie auf Fertigstellen. 

Legen Sie als Nächstes die Regel „Transform an Incoming Claim“ fest: 

1. Klicken Sie auf „Add Rule“. 
2. Klicken Sie auf das Dropdown-Menü „Claim rule template“ und wählen Sie „Transform an Incoming Claim“ aus. Klicken Sie dann auf Weiter.
3. Auf dem Bildschirm Anspruchsregel konfigurieren:
   • Geben Sie eine Fallregel ein name. 
   • Klicken Sie auf das Dropdown-Menü „Incoming claim type“ und wählen Sie „E-Mail Address“ aus. 
   • Klicken Sie auf das Dropdown-Menü „Outgoing claim type“ und wählen Sie „Namen ID“ aus. 
   • Klicken Sie auf das Dropdown-Menü „Outgoing name ID format“ und wählen Sie „Email (Email“ aus. 
   • Klicken Sie auf „Finish“, um die neue Regel hinzuzufügen. 
4. Klicken Sie auf OK , um beide neuen Regeln hinzuzufügen. 

Vertrauenseinstellungen anpassen

1. Wählen Sie im Ordner „Replying Party Trusts“ die Option „Properties“ im Seitenleistenmenü „Actions“ aus.
2. Klicken Sie auf die Registerkarte „Advanced“ und stellen Sie sicher, dass „SHA-256“ als sicherer Hash-Algorithmus festgelegt ist.

Obwohl sowohl SHA-256 als auch SHA-1 unterstützt werden, wird SHA-256 empfohlen. 

Suchen Sie Ihr x509-Zertifikat im PEM-Format

So greifen Sie auf Ihr x509-Zertifikat im PEM-Format zu:

1. Navigieren Sie zum Fenster der AD FS-Verwaltung. Navigieren Sie im linken Seitenleistenmenü zu „Services“ > „Certificates“. 
2. Suchen Sie das Zertifikat „Token signing“. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Zertifikat anzeigen aus. 

3. Klicken Sie in dem Dialogfeld auf die Registerkarte Details . 
4. Klicken Sie auf „Copy to File“. 
5. Klicken Sie im Fenster zum Exportieren des Zertifikats auf „Next“. 
6. Wählen Sie „Base-64-codiert X.509“ aus und klicken Sie dann auf „Next“. 
7. Geben Sie Ihrem Dateiexport einen Namen und klicken Sie auf „Next“. 
8. Klicken Sie auf Fertigstellen , um den Export abzuschließen. 
9. Suchen Sie die Datei, die Sie gerade exportiert haben, und öffnen Sie sie mit einem Texteditor, zum Beispiel mit Editor. 
10. Kopieren Sie den Inhalt der Datei.

Vervollständigen Sie Ihre Einrichtung in HubSpot

1. Melden Sie sich bei Ihrem HubSpot-Account an. 
2. Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
3. Klicken Sie in der linken Seitenleiste auf Sicherheit.
4. Klicken Sie auf der Registerkarte Anmeldung im Abschnitt Single-Sign-On (SSO ) einrichten auf Einrichten.
5. Klicken Sie im Einblendbereich Single-Sign-On einrichten auf die Registerkarte Microsoft AD FS .
6. Fügen Sie den Inhalt der Datei in das Feld X.509-Zertifikat ein. 
7. Kehren Sie zu Ihrem AD FS-Manager zurück. 
8. Wählen Sie im Seitenleistenmenü den Ordner „Endpoints“ aus. 
9. Suchen Sie nach dem SSO-Dienstendpunkt und der Entitäts-URL. Die SSO-Dienst-URL endet normalerweise mit "adfs/services/ls" und die Entitäts-URL mit "adfs/services/trust".
10. Kehren Sie zu HubSpot zurück. Geben Sie im Feld „Identitätsanbieter-ID oder Herausgeber-URL“ die URL des Unternehmens ein.
11. Geben Sie im Feld URL des Identity Server für Single-Sign-On die URL des SSO-Diensts ein. 
12. Klicken Sie auf „Verifizieren“. 

Bitte beachten Sie: Wenn Sie bei der Konfiguration von Single Sign-On in HubSpot einen Fehler erhalten, überprüfen Sie die Ereignisanzeigeprotokolle auf Ihrem Gerät auf die Fehlermeldung. Wenn Sie die Fehlermeldung nicht beheben können, wenden Sie sich an HubSpot Support.