Configurar el inicio de sesión único (SSO) para acceder a contenido privado
Última actualización: agosto 22, 2024
Disponible con cualquiera de las siguientes suscripciones, a no ser que se indique de otro modo:
Service Hub Pro , Enterprise |
Content Hub Pro , Enterprise |
El inicio de sesión único (SSO) es una manera de iniciar sesión en diferentes aplicaciones de manera segura con un nombre de usuario y contraseña.
Con SSO para contenido privado, tu administrador de TI puede configurar una aplicación de HubSpot en tu cuenta de proveedor de identidad, como Google u Okta. Los miembros de tu organización con acceso a la aplicación HubSpot dentro de tu cuenta de proveedor de identidad pueden iniciar sesión con SSO para ver contenido privado.
Puedes perfeccionar qué personas tienen acceso a contenido específico según su pertenencia a listas en tu cuenta de HubSpot. Para acceder al contenido por pertenencia a listas, estos miembros de tu equipo deben tener registros de contacto en en tu cuenta de HubSpot.
El SSO para contenido privado está disponible para las siguientes suscripciones:
- Contenido Hub Profesional y Enterprise las cuentas pueden configurar el SSO para blogs, Landing pages y páginas del sitio web.
- Las cuentas de Service Hub Pro y Enterprise pueden configurar SSO para artículos de la base de conocimientos y portales del cliente.
Antes de comenzar
- Este proceso de configuración debe realizarlo un administrador de TI con experiencia en la creación de aplicaciones en tu cuenta de proveedor de identidad y permiso para editar la configuración del sitio web en HubSpot.
- El SSO puede configurarse para un subdominio alojado en HubSpot por cada cuenta de proveedor de identidad. Para obtener mejores resultados, se recomienda dedicar un subdominio individual solo para gestión de miembros con SSO.
- Los correos electrónicos de notificación y páginas de inicio de sesión para contenido privado que requieren SSO se manejarán por tu cuenta de proveedor de identidad, en lugar de tu configuración de contenido privado en HubSpot.
- El contenido privado que requiere SSO no será rastreado por los motores de búsqueda y solo puede ser visto por contactos que tengan acceso y estén registrados.
- Cualquier recurso de la página, como imágenes y formularios, solo solicitará SSO para acceder como parte de la página. Si las URL de los propios recursos se proporcionan por separado, no solicitarán SSO para acceder. Más información sobre la configuración de la visibilidad de los recursos en la herramienta de archivos.
- Si activas el SSO para un dominio que anteriormente requería registro de miembros, el SSO utilizará tus listas de gestión de miembros originales. Si vuelves a desactivar el SSO, el contenido volverá a requerir el registro de los miembros para las mismas listas.
Configura SSO para contenido privado de HubSpot en tu cuenta de proveedor de identidad
Para configurar el SSO para el contenido privado alojado en HubSpot, el administrador de TI creará una nueva aplicación para el acceso al contenido de HubSpot. Para completar este proceso, tu administrador de TI hará referencia a los valores de tu configuración de contenido privado en HubSpot.
Ten en cuenta: si requieres SSO para un subdominio que ya aloja contenido privado con registro de miembro, ese contenido ya no será accesible para los contactos registrados.
Los pasos y campos necesarios para agregar una nueva aplicación en tu proveedor de identidad pueden variar. A continuación se detallan las instrucciones generales para configurar SSO para contenido privado.
Configurar SSO para una aplicación basada en SAML
Para crear una nueva aplicación de SAML para contenido privado de HubSpot en tu cuenta de proveedor de identidad:
- Inicia sesión en tu cuenta de proveedor de identidad.
- Navega hasta tus aplicaciones dentro de tu cuenta de proveedor de identidad.
- En tu cuenta de HubSpot, recopila los valores necesarios para tu nueva aplicación de HubSpot:
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, navega a Contenido > Contenido privado.
- En la parte superior de la página, haz clic en el menú desplegable Elegir un dominio para editarlo y selecciona un subdominio.
- En la sección Inicio de sesión único (SSO), haz clic en Configurar SSO.
- En el panel derecho, haz clic en el menú desplegable Formato de ficha de seguridad y selecciona SAML.
- Copia la URL de la audiencia y la URL de inicio de sesión.
- En tu cuenta de proveedor de identidad:
- Pega la URL de la audiencia y la URL de inicio de sesión único copiadas de HubSpot en los campos correspondientes.
-
- Copia los identificadores de la URL del emisor, la URL de inicio de sesión único y el Certificado.
- En tu cuenta de HubSpot:
- Pega la URL del emisor, la URL de inicio de sesión único y los valores de Certificado en los campos correspondientes en el panel Configurar inicio de sesión único.
- Haz clic en Verificar.
Una vez que se complete el proceso de verificación, verás una confirmación de que el Inicio de sesión único está activado para tu dominio en tu configuración de contenido privado.
Configurar SSO para una aplicación basada en JWT
- En tu cuenta de proveedor de identidad:
- Navega hasta tus aplicaciones dentro de tu cuenta de proveedor de identidad.
- Copia los identificadores de URL de inicio de sesión remoto y Clave secreta. Localiza el Algoritmo de firma.
- Para mayor seguridad, copia el Asunto, Tema y Audiencia.
- En tu cuenta de HubSpot, introduce estos valores en tu configuración de SSO:
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, navega a Contenido > Contenido privado.
- En la parte superior de la página, haz clic en el menú desplegable Elegir un dominio para editarlo y selecciona un subdominio.
- En la sección Inicio de sesión único (SSO), haz clic en Configurar SSO.
- En el panel derecho, haz clic en el menú desplegable Formato de ficha de seguridad y selecciona JWT.
- Pega la URL de inicio de sesión remoto
- Haz clic en el menú desplegable Algoritmo de firma y selecciona el valor en tu cuenta de proveedor de identidad.
- Pega la clave secreta. Si se utiliza un algoritmo de firma asimétrica con claves pública y privada, la Clave secreta será la clave pública.
- Cuando se utiliza una clave pública, no es necesario incluir el encabezado y el pie de página.
- Si incluyes el encabezado y el pie de página, copia y pega el texto siguiente y sustituye el marcador de posición por tu clave pública:
-
-----BEGIN PUBLIC KEY-----
[tu clave pública]
-----END PUBLIC KEY-----
-
-
- Para mayor seguridad, pega el Asunto, Tema y Audiencia.
- Haz clic en Verificar.
Se abrirá una ventana con la "URL de inicio de sesión remoto" especificada en la configuración de SSO. La URL abierta en la ventana incluirá un parámetro de consulta 'redirect_url' con un valor de una URL en el dominio que estás configurando y la ruta '_hcms/mem/jwt/verify'.
Para la verificación, es necesario realizar una solicitud a la URL especificada en el parámetro "redirect_url" después de introducir las credenciales en la "URL de inicio de sesión remoto". Esta solicitud debe incluir un parámetro de consulta compatible cuyo valor debe ser un JWT/hash, que una vez descifrado contenga un campo "email" en su carga útil con una dirección de correo electrónico válida. Los parámetros de consulta admitidos son "jwt", "code", "id_token" y "access_token".
El JWT/hash será descifrado por HubSpot utilizando el Algoritmo de firma y la secreta proporcionados en la configuración del SSO. El envío de esta solicitud posterior, realizada después de haber introducido credenciales válidas en la página "URL de inicio de sesión remoto", debe configurarse en su cuenta de proveedor de identidad.
Una vez que se complete el proceso de verificación, verás una confirmación de que el Inicio de sesión único está activado para tu dominio en tu configuración de contenido privado.
Una vez finalizada la verificación, los visitantes que la superen en la "URL de inicio de sesión remoto" serán enviados a "_hcms/mem/jwt" con dos parámetros de consulta:
- El parámetro de consulta 'jwt', 'code', 'id_token' o 'access_token' con un hash que, una vez descifrado, contiene la dirección de correo electrónico del visitante en un campo de correo electrónico.
- El parámetro de consulta 'redirect_url' que especifica la página a la que debe dirigirse el visitante. Esta URL debe ser la misma que el valor del parámetro de consulta "redirect_url" en la solicitud enviada a la "URL de inicio de sesión remoto".
Solucionar los errores comunes de JWT
Si tienes problemas para configurar el SSO para una aplicación basada en JWT, se recomienda verificar tu token web JSON utilizando el depurador de JWT.
Una vez que hayas verificado tu JWT, puedes solucionar los siguientes errores:
- NO_SETTINGS: la combinación de portal y dominio no devuelve ninguna configuración de JWT
- COULD_NOT_PARSE_HEADER: el encabezado de JWT debe estar presente y codificado en base64
- WRONG_TYPE_IN_HEADER: el encabezado del token JWT tiene un campo "typ" y no es igual a "jwt".
- ALGORITHM_MISSING_IN_HEADER: el encabezado del token JWT no tiene un campo "alg" para el algoritmo
- NONE_ALGORITHM_PROVIDED: el campo "alg" es igual a "none", que es inseguro y no es compatible
- TOKEN_VERIFICATION_FAILED: el token puede estar vacío, ser nulo, incorrecto o el parámetro de consulta no es compatible. Admitimos los parámetros de consulta "jwt", "code", "id_token" y "access_token".
- MISSING_EMAIL_IN_TOKEN: al token descodificado le falta un campo de correo electrónico o es nulo o está vacío
- INVALID_KEY: falta la clave secreta o no es válida
- INVALID_KEY_LENGTH: la longitud de la clave secreta no cumple los requisitos del algoritmo de firma seleccionado
- PRIVATE_KEY_PROVIDED: el algoritmo de firma seleccionado requiere una clave pública como clave secreta, pero se ha proporcionado una clave privada
- INVALID_LOGIN_URL: la URL de inicio de sesión remota proporcionada no es válida
- JTI_CLAIM_INVALID: no se pueden reproducir las comprobaciones de JWT
Solicitar SSO para tu contenido
Hay dos opciones para solicitar contenido privado con SSO:
- Privado - inicio de sesión único (SSO) obligatorio: todas las personas en tu organización de proveedor de identidad con acceso a la aplicación HubSpot pueden iniciar sesión con SSO para ver contenido privado.
- Privado - Se requiere inicio de sesión único (SSO) con el filtrado de listas: personas en tu organización de proveedor de identidad con pertenencia a listas específicas pueden iniciar sesión con SSO para ver contenido privado. Estas personas deben tener acceso a la aplicación de HubSpot dentro de tu cuenta de proveedor de identidad (como Okta o Google), pero no es necesario que sean usuarios de tu cuenta de HubSpot.
Solicitar SSO para un blog
Puedes solicitar SSO para blogs alojados en el subdominio que has conectado en tu cuenta de proveedor de identidad. Activar SSO para un blog específico afectará a todas las publicaciones hechas en ese blog. No es posible solicitar SSO para una publicación de blog específica.
Ten en cuenta: si requieres SSO para un blog que ya alberga contenido privado con registro de miembros, ese blog dejará de ser accesible para esos contactos.
Para configurar SSO para un blog:
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la Barra lateral izquierda, navega hasta Contenido > Blog.
- En la parte superior izquierda, haz clic en el menú desplegable Seleccionar un blog para modificarlo y selecciona un blog alojado en el subdominio que configuraste con tu proveedor de identidad.
- En la sección Controlar el acceso de la audiencia, configura SSO:
- Selecciona Privado - inicio de sesión único (SSO) obligatorio para conceder acceso a todas las personas de tu organización proveedora de identidad con acceso a la aplicación de HubSpot.
- Selecciona Privado - Se requiere inicio de sesión único (SSO) con el filtrado de listas para conceder acceso a las personas de tu cuenta de proveedor de identidad con acceso a la aplicación de HubSpot y pertenencia a listas específicas. A continuación, selecciona las listas que quieres que tengan acceso a este contenido.
- En la parte inferior izquierda, haz clic en Guardar.
Solicitar SSO para landing pages o páginas de sitio web
Puedes solicitar SSO para landing pages o páginas de sitio web alojadas en el subdominio que has conectado en tu cuenta de proveedor de identidad.
Ten en cuenta: si requieres SSO para una página de destino o una página del sitio web que ya esté configurada como contenido privado con registro de miembros, esa página dejará de ser accesible para esos contactos.
Para configurar SSO para páginas específicas:-
Ve al contenido en el que quieres añadir el enlace:
- Páginas de sitio web: En tu cuenta de HubSpot, dirígete a Contenido > Páginas web.
- Páginas de destino: En tu cuenta de HubSpot, dirígete a Contenido > Landing pages.
- Selecciona la casilla de verificación junto a cualquier página en la que quieras solicitar SSO.
- En la parte superior de la tabla, haz clic en el menú desplegable Más y selecciona Controlar el acceso de la audiencia.
- En el panel derecho, configura el SSO para las páginas que hayas seleccionado y luego haz clic en Guardar:
- Selecciona Privado - Inicio de sesión único obligatorio para conceder acceso a todas las personas de tu organización proveedora de identidad con acceso a la aplicación de HubSpot.
- Selecciona Privado - Se requiere inicio de sesión único (SSO) con el filtrado de listas para conceder acceso a las personas de tu cuenta de proveedor de identidad con acceso a la aplicación de HubSpot y pertenencia a listas específicas. A continuación, selecciona las listas específicas que deseas que tengan acceso a este contenido.
Solicitar SSO para artículos específicos de la base de conocimientos
Puedes configurar el SSO para artículos específicos de la base de conocimientos alojados en el subdominio que hayas conectado en tu cuenta de proveedor de identidad.
Ten en cuenta: si requieres SSO para un artículo de la base de conocimientos que ya está configurado como contenido privado con registro de miembros, ese artículo dejará de ser accesible para esos contactos.
Para configurar SSO para artículos específicos de la base de conocimientos
- En tu cuenta de HubSpot, dirígete a Contenido > Base de conocimientos.
- Haz clic en la pestaña Artículos.
- Selecciona la casilla de verificación junto a cualquier artículo en el que quieras solicitar SSO.
- En la parte superior de la tabla, haz clic en Controlar el acceso de la audiencia.
- En el panel derecho, configura el SSO para estos artículos y luego haz clic en Guardar:
- Selecciona Privado - Inicio de sesión único obligatorio para conceder acceso a todas las personas de tu organización proveedora de identidad con acceso a la aplicación de HubSpot.
- Selecciona Privado - Se requiere inicio de sesión único (SSO) con el filtrado de listas para conceder acceso a las personas de tu cuenta de proveedor de identidad con acceso a la aplicación de HubSpot y pertenencia a listas específicas. A continuación, selecciona las listas específicas que deseas que tengan acceso a este contenido.
También puedes controlar el acceso de la audiencia a un artículo específico en la pestaña Configuración del editor de artículos.
Exigir SSO para todos los artículos de la base de conocimientos
También puede configurar el SSO para todos los artículos de la base de conocimientos de una base de conocimientos concreta alojada en el subdominio que haya conectado en su cuenta de proveedor de identidad.
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, navega hasta Contenido > Base de conocimientos.
- Si tiene varias bases de conocimientos, haga clic en el primer menú desplegable de la sección Vista actual y seleccione una base de conocimientos. Este será el segundo menú desplegable en las cuentas con el complemento business units.
- En la sección Control de acceso , seleccione Inicio de sesión único (SSO) obligatorio.
- En la parte inferior izquierda, haz clic en Guardar.
Desactivar SSO para contenido privado
Desactivar SSO para contenido privado afectará tu contenido de manera diferente según la configuración que seleccionaste.
- El contenido configurado en Privado - Inicio de sesión único obligatorio se hará público.
- El contenido configurado en Privado - Se requiere inicio de sesión único con el filtrado de listas quedará inaccesible.
Para mantener el contenido privado cuando desactivas SSO, HubSpot recomienda cambiar el acceso de la audiencia para tu contenido privado a Privado - Se requiere inicio de sesión único (SSO) con el filtrado de listas. A continuación, puedes cambiar el acceso del público a este contenido para que, en su lugar, requiera el registro como miembro de CMS.
Para desactivar SSO para contenido privado:
- En tu cuenta de HubSpot, haz clic en el icono de settings Configuración en la barra de navegación superior.
- En el menú de la barra lateral izquierda, navega hasta Contenido > Contenido privado.
- En la parte superior de tu configuración, haz clic en el menú desplegable Elegir un dominio para editar para seleccionar un dominio.
- En la sección Inicio de sesión único (SSO) haz clic en Gestionar SSO.
- En la parte inferior del panel, haz clic para desactivar el interruptor SSO activado.