Hinweis: Dieser Artikel wird aus Kulanz zur Verfügung gestellt. Er wurde automatisch mit einer Software übersetzt und unter Umständen nicht korrekturgelesen. Die englischsprachige Fassung gilt als offizielle Version und Sie können dort die aktuellsten Informationen finden. Hier können Sie darauf zugreifen.
Account

Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten

Zuletzt aktualisiert am: Januar 14, 2019

Produkte/Lizenzen

Marketing Hub  Enterprise
Sales Hub  Enterprise
Service Hub  Enterprise

Wenn Sie über ein HubSpot Enterprise-Account verfügen, können Sie Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (AD FS) einrichten. 


Für die Verwendung von AD FS in Ihrem HubSpot-Account müssen die folgenden Voraussetzungen erfüllt sein:

  • Alle Benutzer in Ihrer Active Directory-Instanz müssen über ein E-Mail-Adressenattribut verfügen.
  • Sie verwenden einen HubSpot Enterprise-Account.
  • Sie verfügen über einen Server mit Microsoft Server 2012 oder 2008. 

Bitte beachten: Dieser Setup-Vorgang sollte von einem IT-Administrator mit Erfahrung im Erstellen von Anwendungen in Ihrem Identitätsanbieterkonto durchgeführt werden. Erfahren Sie mehr über das Einrichten von SSO mit HubSpot

Eine Vertrauensstellung der vertrauenden Seite hinzufügen

Öffnen Sie Ihren Active Directory Federation Services (AD FS)-Manager und führen Sie die Schritte unten durch:

  • Wählen Sie in Ihrem AD FS-Manager den Ordner „Vertrauensstellungen der vertrauenden Seite“ aus. 
  • Wählen Sie im rechten Seitenleistenmenü „Vertrauensstellung der vertrauenden Seite hinzufügen“ aus. 
  • Klicken Sie im daraufhin angezeigten Dialogfeld „ Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite“ auf „Starten“, um eine neue Vertrauensstellung der vertrauenden Seite hinzuzufügen. 
  • Wählen Sie im Bildschirm „Datenquelle auswählen“ das Optionsfeld „Daten über die vertrauende Seite manuell eingeben“ aus. 
  • Klicken Sie auf „Weiter >“.
  • Geben Sie in das Feld „Anzeigename“ einen Namen für Ihre Vertrauensstellung ein. Dies ist für interne Zwecke wichtig. Wählen Sie daher einen leicht zu merkenden Namen aus. 
  • Klicken Sie auf „Weiter >“
  • Wählen Sie im Bildschirm „Zertifikat konfigurieren“ die angezeigten Standardeinstellungen aus und klicken Sie dann auf „Weiter >“.
  • Aktivieren Sie das Kontrollkästchen „Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren“, geben Sie anschließend Folgendes ein in das Feld für die URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite: https://api.hubspot.com/login-api/v1/saml/acs?portal=[IhreHub-ID]. Sie sollten Ihre Hub-ID nach „portal=“ in die URL hinzufügen. adfs-configure-url-step
  • Klicken Sie auf „Weiter >“
  • Gehen Sie im Feld „Bezeichner der Vertrauensstellung der vertrauenden Seite“ folgendermaßen vor:
    • Geben Sie „https://api.hubspot.com/login-api/v1/saml/login/[IhreHub-ID]“ ein. Sie sollten Ihre Hub-ID nach dem letzten „/“ hinzufügen. Klicken Sie auf „Hinzufügen“.
    • Geben Sie „https://api.hubspot.com“ ein und klicken Sie dann auf „Hinzufügen“
  • Klicken Sie auf „Weiter >“
  • Wählen Sie im Fenster „Wählen Sie eine Zugriffssteuerungsrichtlinie aus“ die Option „Jedem Einzelnen Zugriff gewähren“ aus und klicken Sie dann auf „Weiter >“
  • Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf „Weiter >“
  • Klicken Sie auf „Schließen“

Anspruchsregeln erstellen 

Stellen Sie vor dem Einrichten Ihrer Anspruchsregel sicher, dass die E-Mail-Adressen Ihrer Benutzer mit den E-Mail-Adressen des HubSpot-Benutzers übereinstimmen. Sie können andere IDs wie den Benutzerprinzipalnamen verwenden, wenn Ihre Benutzerprinzipalnamen in Form einer E-Mail-Adresse vorliegen. Damit Single-Sign-On mithilfe von AD FS verwendet werden kann, muss die Namens-ID in Form einer E-Mail-Adresse vorliegen, um mit einem HubSpot-Benutzer übereinzustimmen. 

  • Klicken Sie im Fenster „Anspruchsregel“ auf „Regel hinzufügen“
  • Klicken Sie auf das Dropdown-Menü „Anspruchsregelvorlage“ und wählen Sie „LDAP-Attribute als Ansprüche senden“ aus. 
  • Klicken Sie auf „Weiter >“
  • Gehen Sie im Bildschirm „Anspruchsregel konfigurieren“ folgendermaßen vor:
    • Geben Sie einen Regelnamen in das Feld „Anspruchsregelname“ ein. 
    • Klicken Sie auf das Dropdown-Menü „Attributspeicher“ und wählen Sie „Active Directory“ aus. 
    • Nehmen Sie in der Tabelle „Zuordnung von LDAP-Attributen“ folgende Zuordnungen zu:
      • Klicken Sie in der Spalte „LDAP-Attribut“ auf das Dropdown-Menü und wählen Sie „E-Mail-Adressen“ aus. 
      • Klicken Sie in der Spalte „Typ des ausgehenden Anspruchs“ auf das Dopdown-Menü und wählen Sie „E-Mail-Adresse“ aus. adfs-claims-set-up
  • Klicken Sie auf „Fertig stellen“

Legen Sie als Nächstes die Regel „Eingehenden Anspruch transformieren“ fest: 

  • Klicken Sie auf „Regel hinzufügen“
  • Klicken Sie auf das Dropdown-Menü „Anspruchsregelvorlage“ und wählen Sie „Eingehenden Anspruch transformieren“ aus. 
  • Klicken Sie auf „Weiter >“
  • Gehen Sie im Bildschirm „Anspruchsregel konfigurieren“ folgendermaßen vor:
    • Geben Sie einen Namen für die Behauptungsregeln ein. 
    • Klicken Sie auf das Dropdown-Menü „Typ des eingehenden Anspruchs“ und wählen Sie „E-Mail-Adresse“ aus. 
    • Klicken Sie auf das Dropdown-Menü „Typ des ausgehenden Anspruchs“ und wählen Sie „Namens-ID“ aus. 
    • Klicken Sie auf das Dropdown-Menü „ID Format des ausgehenden Namens“ und wählen Sie „E-Mail“ aus.  
    • Klicken Sie auf „Fertig stellen“, um die neue Regel hinzuzufügen. 
  • Klicken Sie auf „OK“, um beide neue Regeln hinzuzufügen. 

Vertrauenseinstellungen anpassen

Wählen Sie im Ordner „Vertrauensstellungen der vertrauenden Seite“ die Option „Eigenschaften“ im Seitenleistenmenü „Aktionen“ aus. Klicken Sie auf die Registerkarte „Erweitert“ und stellen Sie sicher, dass „SHA-256“ als sicherer Hash-Algorithmus festgelegt ist. Obwohl sowohl SHA-256 als auch SHA-1 unterstützt werden, wird SHA-256 empfohlen. 

Suchen Ihres x509-Zertifikats im PEM-Format und Abschließen des Setups in HubSpot

So greifen Sie auf Ihr x509-Zertifikat im PEM-Format zu:

  • Wählen Sie im Fenster der AD FS-Verwaltung im linken Seitenleistenmenü „Zertifikate“ aus. 
  • Suchen Sie das Zertifikat „Tokensignatur“. Klicken Sie mit der rechten Maustaste auf „Zertifikat anzeigen“ und wählen Sie die Option aus. adfs-locate-certificate
  • Klicken Sie im daraufhin angezeigten Dialogfeld auf die Registerkarte „Details“
  • Klicken Sie auf „In Datei kopieren“
  • Klicken Sie im Fenster zum Exportieren des Zertifikats auf „Weiter“
  • Wählen Sie das Optionsfeld „Base-64-codiert X.509“ aus und klicken Sie dann auf „Weiter“
  • Geben Sie Ihrem Dateiexport einen Namen und klicken Sie auf „Weiter“
  • Klicken Sie auf „Fertig stellen“, um den Export abzuschließen. 
  • Suchen Sie die Datei, die Sie gerade exportiert haben, und öffnen Sie sie mit einem Texteditor, zum Beispiel mit Editor. 
  • Kopieren Sie den Inhalt der Datei. 
  • Melden Sie sich bei Ihrem HubSpot-Account an. 
  • Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das Zahnradsymbol settings, um die Einstellungen aufzurufen.
  • Klicken Sie im Bereich „Single-Sign-On (SSO)“ im Bildschirm „Account-Einstellungen“ auf „Einrichten“.
  • Fügen Sie im ausklappbaren Fenster „Single-Sign-On einrichten“ die Inhalte der Datei in das Feld „X.509-Zertifikat“ ein. 
  • Kehren Sie zu Ihrem AD FS-Manager zurück. 
  • Wählen Sie im Seitenleistenmenü den Ordner „Endpunkte“ aus. 
  • Suchen Sie nach dem Endpunkt des SSO-Diensts und der URL der Entität. Die URL des SSO-Diensts endet in der Regel mit „adfs/services/ls“ und die URL der Entität mit „adfs/services/trust“.
  • Fügen Sie die URL der Entität im Feld „Identitätsanbieter-ID oder Aussteller-URL“ in HubSpot hinzu. Fügen Sie die URL des SSO-Diensts im Feld „URL des Identity Server für Single-Sign-On“ hinzu. 
  • Klicken Sie auf „Verifizieren“single-sign-on-add-endpoints-from-provider

Bitte beachten: Wenn Sie einen Fehler beim Konfigurieren von Single-Sign-On in HubSpot erhalten, sollten Sie zuerst Ihre Protokolle der Ereignisanzeige auf Ihrem Gerät auf die Fehlermeldung überprüfen. Ist eine Behebung des Fehlers nicht möglich, wenden Sie sich bitte an den HubSpot-Support