Configurar el inicio de sesión único (SSO)
Última actualización: noviembre 13, 2024
Disponible con cualquiera de las siguientes suscripciones, a no ser que se indique de otro modo:
Marketing Hub Enterprise |
Sales Hub Enterprise |
Service Hub Enterprise |
Operations Hub Enterprise |
Content Hub Enterprise |
El inicio de sesión único (SSO) te permite entregar a los miembros de tu equipo una cuenta para todos los sistemas que usa tu negocio. Security Assertion Markup Language, o SAML, es un estándar abierto utilizado para la autenticación. Basado en el formato Extensible Markup Language (XML), las aplicaciones web utilizan SAML para transferir datos de autenticación entre dos partes: el proveedor de identidades (IdP) y el proveedor de servicios (SP). Si tienes una cuenta de HubSpot Enterprise y tienes configurado el SSO basado en SAML, puedes requerir que los usuarios inicien sesión en HubSpot usando sus credenciales de SSO.
Configuración General
- Inicia sesión en tu cuenta de proveedor de identidad.
- Navegar a tus solicitudes.
- Crear una nueva solicitud para HubSpot. Para obtener la URI de audiencia y los valores de URL de inicio de sesión, ACS, destinatario o redireccionamiento:
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, seleccione Seguridad > Ajustes & Actividad.
-
- En Inicio de sesión, haz clic en Configurar inicio de sesión individual. En el panel derecho:
- Subir XML está disponible para todos los ajustes de SSO. Arrastre y suelte o haga clic en Elegir un archivo para subir los metadatos de su federación. Luego, haz clic en Verificar.
- Si desea introducir manualmente los datos de su proveedor de identidad, en la pestaña Todos los demás proveedores de identidad , haga clic en Copiar junto a los valores necesarios. Luego, pega los valores de tu proveedor de identidad a continuación. Haz clic en Verificar.
- Si utilizas Microsoft AD FS, en la pestaña Microsoft AD FS , haz clic en Copiar junto a los valores según sea necesario. Luego, pega los valores de tu proveedor de identidad a continuación. Haga clic en Verificar.
- En Inicio de sesión, haz clic en Configurar inicio de sesión individual. En el panel derecho:
Nota: Si utiliza Microsoft Entra (anteriormente Azure), utilice la pestaña Otros proveedores de identidad para configurar su SSO.
Si utilizas los Servicios de Federación de Active Directory, obtén más información sobre Configurar el inicio de sesión único utilizando AD FS.
Requerir SSO para todos los usuarios
Después de configurar SSO, puedes solicitar a todos los usuarios que usen SSO para iniciar sesión en HubSpot.
Nota: a partir del 31 de julio de 2024, esta configuración se activará por defecto.
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, haga clic en Seguridad > Ajustes & Actividad.
- En Inicio de sesión, selecciona la casilla de verificación Requiere inicio de sesión individual.
Excluir usuarios específicos de un requisito de SSO
Después de configurar SSO, puedes excluir usuarios específicos del requisito de SSO para que también puedan iniciar sesión con su cuenta de usuario de HubSpot.
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, haga clic en Seguridad > Ajustes & Actividad.
- En Inicio de sesión, haz clic en Administrar usuarios excluidos.
- En el cuadro de diálogo, haz clic en el menú desplegable Elegir usuarios y selecciona los usuarios que podrán iniciar sesión con sus cuentas de HubSpot. Por ejemplo, puedes seleccionar partners y contratistas si carecen de un inicio de sesión de SSO.
- Haz clic en Guardar.
Nota: el usuario que selecciona la casilla de verificación Requiere inicio de sesión individual automáticamente se agregará a los usuarios excluidos. Se recomienda excluir al menos a un usuario con permisos de Superadministrador . En el evento de que tu proveedor de identidad no esté en servicio, pueden iniciar sesión y borrar la casilla de verificación Requiere inicio de sesión individual para permitir que todos los usuarios inicien sesión con sus cuentas de HubSpot.
Instrucciones para proveedores de identidad específicos
Okta
Ten en cuenta: necesitas acceso administrativo en la instancia de Okta. Este proceso solo está disponible en la interfaz de usuario clásica en Okta.
- Iniciar sesión en Okta. Asegúrate de estar en la instancia administrativa de tu cuenta de desarrollador de Okta.
- Haz clic en Solicitudes en la barra de navegación superior.
- Haz clic en Agregar solicitud.
- Busca HubSpot SAML, luego haz clic en Agregar.
- En la pantalla Configuración general haz clic en Listo.
- En la página de detalles de la solicitud, haz clic en la pestaña Iniciar sesión.
- En el mensaje "SAML 2.0 no está configurado hasta que completes las instrucciones de configuración" haz clic en Ver instrucciones de configuración. Esto abre una nueva pestaña. Mantenla abierta, luego regresa a la pestaña original en Okta.
- En la misma ficha, desplázate hacia abajo hasta Configuración avanzada de inicio de sesión y agrega tu Id de foco en el campo Id del portal. Aprende cómo acceder a tu ID de hub.
- Navega a tu configuración de usuario. Asigna la nueva aplicación a cualquier usuario que también esté en tu cuenta de HubSpot, incluyéndote.
- Regresa a la pestaña de Instrucciones de configuración de la visualización. Copia cada una de las URL y el certificado y pégalo en HubSpot en el campo Identificador del proveedor de identidad o URL del emisor, el campo URL del proveedor de identidad de inicio de sesión único y en el campo Certificado X.509.
- Haz clic en Verificar. Se te pedirá que inicies sesión con tu cuenta de Okta para finalizar la configuración y guardar tu configuración.
Una vez que se verifique tu configuración de SSO, navega a https://app.hubspot.com/login/sso e ingresa tu dirección de correo electrónico. HubSpot buscará tu configuración de inicio de sesión único del portal y te enviará a tu proveedor de identidad para iniciar sesión. También verás un botón Iniciar sesión con SSO cuando visites un enlace directo a tu cuenta.
OneLogin
Nota: necesitas acceso administrativo en tu instancia de OneLogin para crear una nueva aplicación SAML 2.0 en OneLogin, según sea necesario.
-
Inicia sesión en OneLogin.
-
Navega hasta Aplicaciones.
-
Busca HubSpot.
-
Haz clic en la aplicación que dice "SAML2.0".
-
En la parte superior derecha, haz clic en Guardar.
-
Haz clic en la pestaña Configuración.
-
En el campo ID de cuenta de HubSpot, agrega tu ID de Hub. Aprende cómo acceder a tu ID de hub.
- Haz clic en la pestaña SSO.
- Copia los siguientes campos de OneLogin y pégalos en los campos correspondientes del panel de configuración de SSO en HubSpot:
- Copia el valor en la URL del emisor y pégalo en Identificador de proveedor de identidad o URL del emisor.
- Copia el valor en SAML 2.0 Endpoint (HTTP) y pégalo en la URL de inicio de sesión individual del proveedor de identidad.
- En Certificado X.509, haz clic en Ver detalles y luego copia el certificado y pégalo en Certificado X.509.
-
En la parte superior derecha de tu cuenta de OneLogin, haz clic en Guardar.
Una vez que se verifique tu configuración de SSO, navega a https://app.hubspot.com/login/sso e ingresa tu dirección de correo electrónico. HubSpot buscará tu configuración de inicio de sesión único del portal y te enviará a tu proveedor de identidad para iniciar sesión. También verás un botón Iniciar sesión con SSO cuando visites un enlace directo a tu cuenta.
Microsoft Entra ID
Para los usuarios del Microsoft Entra ID (anteriormente Directorio activo de Azure), instala la aplicación de HubSpot en Microsoft Azure Marketplace y sigue las instrucciones de Microsoft para configurar la integración. Esto te permitirá usar Microsoft Entra ID para administrar el acceso de los usuarios y activar el inicio de sesión único con HubSpot.
Una vez que se verifique tu configuración de SSO, navega a https://app.hubspot.com/login/sso e ingresa tu dirección de correo electrónico. HubSpot buscará tu configuración de inicio de sesión único del portal y te enviará al proveedor de SSO para iniciar sesión. También verás un botón Iniciar sesión con SSO cuando visites un enlace directo a tu cuenta.
Echa un vistazo a las instrucciones de Google sobre cómo configurar el inicio de sesión único de HubSpot con el G-Suite como proveedor de identidad.
Una vez que se verifique tu configuración de SSO, navega a https://app.hubspot.com/login/sso e ingresa tu dirección de correo electrónico. HubSpot buscará tu configuración de inicio de sesión único del portal y te enviará al proveedor de SSO para iniciar sesión. También verás un botón Iniciar sesión con SSO cuando visites un enlace directo a tu cuenta.
Preguntas frecuentes
¿Qué vinculación utiliza HubSpot como proveedor de servicios SAML?
HubSpot utiliza HTTP Post.
Utilizo los servicios de federación de Active Directory. ¿Qué debo utilizar como fideicomiso de confianza (RPT)?
¿Qué formato de nombre de usuario debo ajustar en mi aplicación SAML?
Los usuarios de HubSpot se identifican por la dirección de correo electrónico. Asegúrate de que tu IDP envíe una identificación de nombre en formato de correo electrónico que corresponda con la dirección de correo electrónico de HubSpot.
¿Qué algoritmo de firma admite HubSpot?
Nota: después del 31 de marzo de 2023, HubSpot ya no será compatible con SHA-1 para nuevas conexiones SSO. Cualquier conexión SSO existente que utilice SHA-1 podrá seguir funcionando hasta que HubSpot deje de admitir SHA-1 para todas las conexiones SSO el 30 de junio de 2023. Si utilizas SHA-1, deberás migrar a SHA-256 antes del 30 de junio de 2023.
HubSpot sólo admite SHA-256 como algoritmo de firma. Usted necesita para firmar sus peticiones con SHA-256.
¿En qué formato debo presentar mi certificado x509?
HubSpot requiere un certificado x509 en formato PEM. Debes copiar el contenido del texto del archivo PEM en el campo del certificado x509 en HubSpot. El valor también debe incluir -----COMENZAR CERTIFICADO----- y -----FINALIZAR CERTIFICADO-----.
¿Puedo activar la autenticación de dos factores, la autenticación de dos factores obligatoria, el SSO y el SSO obligatorio al mismo tiempo?
Sí. Cuando tienes activada la autenticación de dos factores en , se activa en cualquier inicio de sesión con tu nombre de usuario y contraseña de HubSpot. Al activar 2FA en HubSpot no te impide iniciar sesión usando Google 2FA o SSO. Por lo tanto, si los usuarios están excluidos del requisito SSO, puedes exigir el 2FA de HubSpot para asegurarte de que cualquier inicio de sesión que eluda el SSO pase por el 2FA o por Google.
Si activas 2FA para tu cuenta de Google, esta es independiente de tu configuración de HubSpot. Sin embargo, cuando inicias sesión en HubSpot con tu cuenta de Google, Google 2FA protegerá tu cuenta de HubSpot.
Si tienes la autentificación de dos factores y la SSO obligatoria en tu cuenta al mismo tiempo, se produce lo siguiente:
- Si se te pide que inicies sesión en tu cuenta con SSO, no se te pedirá tu 2FA para HubSpot.
- Si tu cuenta requiere SSO, pero estás excluido, puedes iniciar sesión con 2FA o Iniciar sesión con Google o Iniciar sesión con Microsoft.
- Si debe iniciar sesión con 2FA y no tiene configurado ningún SSO, puede iniciar sesión con 2FA o con las opciones Iniciar sesión con Google o Iniciar sesión con Microsoft .
- Si tu cuenta no tiene requisitos, pero tiene activado el SSO, puedes iniciar sesión con cualquier método, incluido el SSO.