Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten

Wenn Sie über ein HubSpot Enterprise-Account verfügen, können Sie Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (AD FS) einrichten. 

Für die Verwendung von AD FS in Ihrem HubSpot-Account müssen die folgenden Voraussetzungen erfüllt sein:

• Alle Benutzer in Ihrer Active Directory-Instanz müssen über ein E-Mail-Adressenattribut verfügen.
• Sie verwenden einen HubSpot Enterprise-Account.
• Sie verfügen über einen Server mit Microsoft Server 2012 oder 2008. 

Bitte beachten: Dieser Setup-Vorgang sollte von einem IT-Administrator mit Erfahrung im Erstellen von Anwendungen in Ihrem Identitätsanbieterkonto durchgeführt werden. Erfahren Sie mehr über das Einrichten von SSO mit HubSpot. 

Eine Vertrauensstellung der vertrauenden Seite hinzufügen

Öffnen Sie Ihren Active Directory Federation Services (AD FS)-Manager:

• Öffnen Sie in Ihrem AD FS-Manager den Ordner „Relying Party Trusts (RPT)“ aus. 
• Wählen Sie im rechten Seitenleistenmenü „Add Relying Party Trust..“ aus. 
• Klicken Sie im Dialogfeld „Add Relying Party Trust Wizard“ auf „Start“, um einen neuen Replying Party Trust hinzuzufügen. 
• Wählen Sie im Bildschirm „Select Data Source“ die Option „Enter data about the relying party manually“ aus. 
• Klicken Sie auf „Next >“.
• Geben Sie in das Feld „Display name“ einen Namen für Ihre Vertrauensstellung ein. Dies ist für interne Zwecke wichtig. Wählen Sie daher einen leicht zu merkenden Namen aus. 
• Klicken Sie auf „Next >“. 
• Wählen Sie im Bildschirm „Configure Certificate“ die angezeigten Standardeinstellungen aus und klicken Sie dann auf „Next >“.
• Aktivieren Sie das Kontrollkästchen „Enable Support for the SAML 2.0 WebSSO protocol“. Geben Sie im Feld „Relying party SAML 2.0 SSO service URL“ https://api.hubspot.com/login-api/v1/saml/acs?portalId=[IhreHub-ID] (fügen Sie Ihre Hub-ID nach "portalId=" in der URL hinzu). 
• Klicken Sie auf „Next >“.
• Gehen Sie im Feld „Relying party trust identifier“ folgendermaßen vor:
  • Geben Sie https://api.hubspot.com/login-api/v1/saml/login/[Ihre Hub-ID] ein (fügen Sie Ihre Hub-ID nach dem letzten „/“ hinzu). Klicken Sie auf „Add“.
  • Geben Sie „https://api.hubspot.com“ ein und klicken Sie dann auf „Add“. 
• Klicken Sie auf „Next >“.
• Wählen Sie im Fenster „Choose an access control policy“ die Option „Permit everyone“ aus und klicken Sie dann auf „Next >“. 
• Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf „Next >“. 
• Klicken Sie auf „Close“. 

Anspruchsregeln erstellen 

Stellen Sie vor dem Einrichten Ihrer Anspruchsregel sicher, dass die E-Mail-Adressen Ihrer Benutzer mit den E-Mail-Adressen des HubSpot-Benutzers übereinstimmen. Sie können andere IDs wie den Benutzerprinzipalnamen verwenden, wenn Ihre Benutzerprinzipalnamen in Form einer E-Mail-Adresse vorliegen. Damit Single-Sign-On mithilfe von AD FS verwendet werden kann, muss die Namens-ID in Form einer E-Mail-Adresse vorliegen, um mit einem HubSpot-Benutzer übereinzustimmen. 

• Klicken Sie im Fenster „Claims Rule“ auf „Add Rule“. 
• Klicken Sie auf das Dropdown-Menü „Claim rule template“ und wählen Sie „Send LDAP Attributes as Claims“ aus. 
• Klicken Sie auf „Next >“.
• Gehen Sie im Bildschirm „Configure Claim Rule“ folgendermaßen vor:
  • Geben Sie im Feld „Claim rule name“ einen Regelnamen ein. 
  • Klicken Sie auf das Dropdown-Menü „Attribute store“ und wählen Sie „Active Directory“ aus. 
  • Nehmen Sie in der Tabelle „Mapping of LDAP attributes“ folgende Zuordnungen zu:
    • Klicken Sie in der Spalte „LDAP Attribute“  auf das Dropdown-Menü und wählen Sie „Email Addresses“ aus. 
    • Klicken Sie in der Spalte „Outgoing ClaimType“ auf das Dopdown-Menü und wählen Sie „Email Address“ aus. 
• Klicken Sie auf „Finish“. 

Legen Sie als Nächstes die Regel „Transform an Incoming Claim“ fest: 

• Klicken Sie auf „Add Rule“. 
• Klicken Sie auf das Dropdown-Menü „Claim rule template“ und wählen Sie „Transform an Incoming Claim“ aus. 
• Klicken Sie auf „Next >“. 
• Gehen Sie im Bildschirm „Configure Claim Rule“ folgendermaßen vor:
  • Geben Sie einen Namen für die Behauptungsregeln ein. 
  • Klicken Sie auf das Dropdown-Menü „Incoming claim type“ und wählen Sie „E-Mail Address“ aus. 
  • Klicken Sie auf das Dropdown-Menü „Outgoing claim type“ und wählen Sie „Namen ID“ aus. 
  • Klicken Sie auf das Dropdown-Menü „Outgoing name ID format“ und wählen Sie „Email (Email“ aus. 
  • Klicken Sie auf „Finish“, um die neue Regel hinzuzufügen. 
• Klicken Sie auf „OK“, um beide neue Regeln hinzuzufügen. 

Vertrauenseinstellungen anpassen

Wählen Sie im Ordner „Replying Party Trusts“ die Option „Properties“ im Seitenleistenmenü „Actions“ aus. Klicken Sie auf die Registerkarte „Advanced“ und stellen Sie sicher, dass „SHA-256“ als sicherer Hash-Algorithmus festgelegt ist. Obwohl sowohl SHA-256 als auch SHA-1 unterstützt werden, wird SHA-256 empfohlen. 

Suchen Ihres x509-Zertifikats im PEM-Format und Abschließen des Setups in HubSpot

So greifen Sie auf Ihr x509-Zertifikat im PEM-Format zu:

• Navigieren Sie zum Fenster der AD FS-Verwaltung. Navigieren Sie im linken Seitenleistenmenü zu „Services“ > „Certificates“. 
• Suchen Sie das Zertifikat „Token signing“. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie „View Certificate“ aus. 
• Klicken Sie im daraufhin angezeigten Dialogfeld auf die Registerkarte „Details“. 
• Klicken Sie auf „Copy to File“. 
• Klicken Sie im Fenster zum Exportieren des Zertifikats auf „Next“. 
• Wählen Sie „Base-64-codiert X.509“ aus und klicken Sie dann auf „Next“. 
• Geben Sie Ihrem Dateiexport einen Namen und klicken Sie auf „Next“. 
• Klicken Sie auf „Fertig stellen“, um den Export abzuschließen. 

• Suchen Sie die Datei, die Sie gerade exportiert haben, und öffnen Sie sie mit einem Texteditor, zum Beispiel mit Editor. 
• Kopieren Sie den Inhalt der Datei. 
• Melden Sie sich bei Ihrem HubSpot-Account an. 
• Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
• Klicken Sie im Bereich „Single-Sign-On (SSO)“ im Bildschirm „Account-Einstellungen“ auf „Einrichten“.
• Fügen Sie im ausklappbaren Fenster „Single-Sign-On einrichten“ die Inhalte der Datei in das Feld „X.509-Zertifikat“ ein. 
• Kehren Sie zu Ihrem AD FS-Manager zurück. 

• Wählen Sie im Seitenleistenmenü den Ordner „Endpoints“ aus. 
• Suchen Sie nach dem Endpunkt des SSO-Diensts und der URL der Entität. Die URL des SSO-Diensts endet in der Regel mit „adfs/services/ls“ und die URL der Entität mit „adfs/services/trust“.
• Kehren Sie zu HubSpot zurück. Geben Sie im Feld „Identitätsanbieter-ID oder Herausgeber-URL“ die URL des Unternehmens ein. Geben Sie im Feld „Identitätsanbieter-URL für Single-Sign-On“ die URL des SSO-Diensts ein. 
• Klicken Sie auf „Verifizieren“. 

Bitte beachten: Wenn Sie einen Fehler beim Konfigurieren von Single-Sign-On in HubSpot erhalten, sollten Sie Ihre Protokolle der Ereignisanzeige auf Ihrem Gerät auf die Fehlermeldung überprüfen. Ist eine Behebung des Fehlers nicht möglich, wenden Sie sich bitte an den HubSpot-Support.