Configurar el inicio de sesión único (SSO) para acceder al contenido privado

El inicio de sesión único (SSO) es una forma de iniciar sesión en diferentes aplicaciones de forma segura con un nombre de usuario y una contraseña.

Con SSO para contenido privado, tu administrador de TI puede configurar una aplicación de HubSpot en tu cuenta de proveedor de identidad, como Google u Okta. Los miembros de tu organización con acceso a la aplicación HubSpot dentro de tu cuenta de proveedor de identidad pueden iniciar sesión con SSO para ver contenido privado. 

Puedes refinar qué personas tienen acceso a contenido específico según sus membresías de las listas en tu cuenta de HubSpot. Para acceder a contenido por membresía de las listas, estos miembros de tu equipo deben tener registros de contacto en tu cuenta de HubSpot.

SSO para contenido privado está disponible para las siguientes suscripciones:

• Marketing Hub y CMS Hub Las cuentasEnterprise pueden configurar SSO para blogs, páginas de destino y páginas web.
• Service Hub Las cuentas Pro y Enterprise pueden configurar el SSO para los artículos de la base de conocimientos y los portales de clientes.

Antes de comenzar

• Este proceso de configuración debe realizarlo un administrador de TI con experiencia en la creación de aplicaciones en tu cuenta de proveedor de identidad y permiso para editar la configuración del sitio web en HubSpot. 
• SSO puede configurarse para un subdominio alojado en HubSpot por cada cuenta de proveedor de identidad. Para obtener mejores resultados, se recomienda dedicar un subdominio individual solo para membresía de SSO.
• Los correos electrónicos de notificación y páginas de inicio de sesión para contenido privado que requieren SSO se manejarán por tu cuenta de proveedor de identidad, en lugar de tu configuración de contenido privado en HubSpot.
• El contenido privado que requiere SSO no será rastreado por los motores de búsqueda y sólo podrá ser visto por los contactos que tengan acceso y estén conectados.
• Cualquier activo de la página, como imágenes y formularios, sólo requerirá SSO para acceder como parte de la página. Si las URL de los activos se facilitan por separado, no será necesario el SSO para acceder a ellos. Más información sobre la configuración de la visibilidad de la URL para los activos en la herramienta de archivos. 
• Si activas el SSO para un dominio que anteriormente requería el registro de miembros , el SSO utilizará tus listas de miembros originales. Si vuelves a desactivar el SSO, el contenido volverá a requerir el registro de los miembros para las mismas listas. 

Configurar SSO para el contenido privado de HubSpot en tu cuenta de proveedor de identidad

Para configurar SSO para contenido privado alojado en HubSpot, tu administrador de TI creará una nueva aplicación para acceder al contenido de HubSpot. Para completar este proceso, tu administrador de TI hará referencia a los valores de tu configuración de contenido privado en HubSpot. 

Nota: si requiere SSO para un subdominio que ya aloja contenido privado con registro de miembros, dicho contenido dejará de ser accesible para los contactos registrados.

Los pasos y campos necesarios para añadir una nueva aplicación en tu proveedor de identidad pueden variar. A continuación se detallan las instrucciones generales para configurar SSO para contenido privado.

Configurar SSO para una aplicación basada en SAML 

Para crear una nueva aplicación SAML para el contenido privado de HubSpot en tu cuenta de proveedor de identidad

• Inicia sesión en tu cuenta de proveedor de identidad.
• Navega a tus aplicaciones dentro de tu cuenta de proveedor de identidad.
• En tu cuenta de HubSpot, recopila los valores necesarios para tu nueva aplicación de HubSpot:
  • En tu cuenta de HubSpot, haz clic en el icono de Configuración settings en la barra de navegación principal.
  • En el menú de la barra lateral izquierda, navega a Sitio web > Contenido privado.
  • En la parte superior de la página, haz clic en el menú desplegable Elige un dominio para editar y selecciona un subdominio.
  • En la sección Inicio de sesión único (SSO), haz clic en Configurar SSO.
  • En el panel derecho, haz clic en el menú desplegable Formato de token de seguridad y selecciona SAML.
  • Copia la URL de la audiencia e inicia sesión en la URL.

• En tu cuenta de proveedor de identidad:
  • Pega la URL de la audiencia y la URL de inicio sesión copiada de HubSpot en los campos correspondientes.

• • Copia los identificadores de la URL del emisor, la URL de inicio de sesión y el Certificado.
• En tu cuenta de HubSpot:
  • Pega los valores de URL del emisor, Inicio de sesión único y Certificado en los campos correspondientes en el panel Configurar inicio de sesión único.
  • Haz clic en Verificar.

Una vez que se complete el proceso de verificación, verás una confirmación de que el Inicio de sesión único está activado para tu dominio en tu configuración de contenido privado. 

Configurar SSO para una aplicación basada en JWT

• En tu cuenta de proveedor de identidad:
  
  • Navega a tus aplicaciones dentro de tu cuenta de proveedor de identidad.
  • Copia los identificadores para URL de inicio de sesión remoto y Clave secreta. Localiza el Algoritmo de firma. 
  • Para mayor seguridad, copia el Problema, el Asunto y la Audiencia. 
• En tu cuenta de HubSpot, ingresa estos valores en tu configuración de SSO:
  
  • En tu cuenta de HubSpot, haz clic en el icono de Configuración settings en la barra de navegación principal.
  • En el menú de la barra lateral izquierda, navega a Sitio web > Contenido privado.
  • En la parte superior de la página, haz clic en el menú desplegable Elige un dominio para editar y selecciona un subdominio.
  • En la sección Inicio de sesión único (SSO), haz clic en Configurar SSO.
  • En el panel derecho, haz clic en el menú desplegable Formato de token seguridad y selecciona JWT.
  • Pega la URL de inicio de sesión remoto
  • Haz clic en el menú desplegable Algoritmo de firma y selecciona el valor en tu cuenta de proveedor de identidad.
  • Pega la Clave secreta. Si utilizas un algoritmo de firma asimétrico con claves pública y privada, la Clave Secreta será la clave pública.

• • Para mayor seguridad, pega el Problema, el Asunto y la Audiencia. 
  • Haz clic en Verificar. 

Se abrirá una ventana con la "URL de inicio de sesión remoto" especificada en la configuración de SSO. La URL abierta en la ventana incluirá un parámetro de consulta 'redirect_url' con un valor de una URL en el dominio que está configurando y la ruta '_hcms/mem/jwt/verify'.

Para la verificación, es necesario realizar una solicitud a la URL especificada en el parámetro "redirect_url" después de introducir las credenciales en la "URL de inicio de sesión remoto". Esta solicitud debe incluir un parámetro de consulta compatible cuyo valor debe ser un JWT/hash, que una vez descifrado contenga un campo "email" en su carga útil con una dirección de correo electrónico válida. Los parámetros de consulta admitidos son 'jwt', 'code', 'id_token' y 'access_token'.

HubSpot descifrará el JWT/hash utilizando el Algoritmo de Firma y la Clave Secreta proporcionados en la configuración del SSO. El envío de esta solicitud posterior, realizada después de haber introducido credenciales válidas en la página "URL de inicio de sesión remoto", debe configurarse en tu cuenta de proveedor de identidad. 

Una vez que se complete el proceso de verificación, verás una confirmación de que el Inicio de sesión único está activado para tu dominio en tu configuración de contenido privado.

Una vez finalizada la verificación, los visitantes que la superen en la "URL de inicio de sesión remoto" serán enviados a "_hcms/mem/jwt" con dos parámetros de consulta:

• parámetro de consulta 'jwt', 'code', 'id_token' o 'access_token' con un hash que, una vez descifrado, contiene la dirección de correo electrónico del visitante en un campo de correo electrónico. 
• parámetro de consulta 'redirect_url' que especifica la página a la que debe dirigirse el visitante. Esta URL debe ser la misma que el valor del parámetro de consulta "redirect_url" en la solicitud enviada a la "URL de inicio de sesión remoto".

Solucionar errores JWT comunes

Si tienes problemas para configurar el SSO para una aplicación basada en JWT, se recomienda verificar tu token web JSON utilizando el depurador de JWT de . 

Una vez que hayas verificado tu JWT, puedes solucionar los siguientes errores: 

• NO_SETTINGS: la combinación de portal y dominio no devuelve ninguna configuración JWT
• COULD_NOT_PARSE_HEADER: La cabecera JWT debe estar presente y codificada en base64
• WRONG_TYPE_IN_HEADER: La cabecera del token JWT tiene un campo "typ" y no es igual a "jwt"
• ALGORITHM_MISSING_IN_HEADER: La cabecera del token JWT no tiene un campo "alg" para el algoritmo
• NONE_ALGORITHM_PROVIDED: El campo "alg" es igual a "none", que es inseguro y no está soportado
• TOKEN_VERIFICATION_FAILED: token puede estar vacío, ser nulo, incorrecto o el parámetro de consulta no es compatible. Admitimos los parámetros de consulta "jwt", "code", "id_token" y "access_token".
• MISSING_EMAIL_IN_TOKEN: al token descodificado le falta un campo de correo electrónico o es nulo o está vacío
• INVALID_KEY: falta la clave secreta o no es válida
• INVALID_KEY_LENGTH: la longitud de la clave secreta no se ajusta a los requisitos del algoritmo de firma seleccionado
• PRIVATE_KEY_PROVIDED: el algoritmo de firma seleccionado requiere una clave pública como clave secreta, pero se proporcionó una clave privada
• INVALID_LOGIN_URL: la URL de inicio de sesión remota proporcionada no es válida
• JTI_CLAIM_INVALID: No se pueden reproducir las comprobaciones JWT

Requerir SSO para tu contenido

Hay dos opciones para activar el contenido privado con SSO:

• Privado - Inicio de sesión único (SSO) obligatorio: todos en tu organización de proveedor de identidad con acceso a la aplicación HubSpot pueden iniciar sesión con SSO para ver el contenido privado.
• Privado - Se requiere inicio de sesión único (SSO) con el filtrado de listas: personas en tu organización de proveedor de identidad con acceso a la aplicación HubSpot y membresía de las listas de HubSpot específicas pueden iniciar sesión con SSO para ver contenido privado. Estas personas deben tener acceso a la aplicación HubSpot dentro de tu cuenta de proveedor de identidad (como Okta o Google), pero no necesitan ser usuarios en tu cuenta de HubSpot.

Requiere SSO para un blog

Puedes requerir SSO para blogs alojados en el subdominio que has conectado en tu cuenta de proveedor de identidad. Habilitar SSO para un blog específico afectará a todas las publicaciones de blog publicadas en ese blog. No es posible activar SSO para una publicación de blog específica.

Nota: si requiere SSO para un blog que ya alberga contenido privado con registro de miembros, ese blog ya no será accesible para esos contactos.

Para configurar SSO para un blog:

• En tu cuenta de HubSpot, haz clic en el icono de Configuración settings en la barra de navegación principal.
• En el menú de la barra lateral izquierda, navega a Sitio Web > Blog.
• En la parte superior izquierda, haz clic en el menú desplegable Seleccionar un blog para modificar y selecciona un blog alojado en el subdominio que configuraste con tu proveedor de identidad.
• En la sección Controlar acceso de la audiencia, configura SSO:
  • Selecciona Privado - Inicio de sesión único obligatorio para otorgar acceso a todos los miembros de tu organización de proveedor de identidad con acceso a la aplicación HubSpot.
  • Selecciona Privado - Inicio de sesión único obligatorio con el filtrado de listas para otorgar acceso a personas en tu cuenta de proveedor de identidad con acceso a la aplicación HubSpot y membresía de las listas específicas. Luego selecciona las listas que deseas que tengan acceso a este contenido.
• En la parte inferior izquierda, haz clic en Guardar.

Requerir SSO para páginas de destino o páginas de sitio web.

Puedes activar SSO para páginas de destino o páginas de sitio web alojadas en el subdominio que has conectado en tu cuenta de proveedor de identidad.

Nota: si requiere SSO para una página de destino o página web que ya está configurada como contenido privado con el registro de miembros, esa página ya no será accesible para esos contactos.

• Ve al contenido en el que quieres agregar el enlace:

  • Páginas de sitio web: En tu cuenta de HubSpot, dirígete a Marketing > Sitio web > Páginas de sitio web.
  • Páginas de destino: En tu cuenta de HubSpot, dirígete a Marketing > Páginas de destino.

• Selecciona la casilla de comprobación junto a cualquier página en la que desees solicitar SSO.
• En la parte superior de la tabla, haga clic en el menú desplegable Más y seleccione Controlar el acceso del público.
• En el panel derecho, configure el SSO para las páginas que haya seleccionado y, a continuación, haga clic en Guardar:
  • Selecciona Privado - Inicio de sesión único obligatorio para otorgar acceso a todos los miembros de tu organización de proveedor de identidad con acceso a la aplicación HubSpot.
  • Selecciona Privado - Inicio de sesión único obligatorio con el filtrado de listas para otorgar acceso a personas en tu cuenta de proveedor de identidad con acceso a la aplicación HubSpot y membresía de las listas específicas. Luego selecciona las listas específicas que deseas que tengan acceso a este contenido.
• También puede controlar el acceso del público a una página concreta en la pestaña Configuración del editor de contenidos.

Activar SSO para artículos de base de conocimientos específicos

Puedes configurar SSO para artículos de base de conocimientos específicos alojados en el subdominio que has conectado en tu cuenta de proveedor de identidad. Actualmente no es posible requerir SSO para una base de conocimientos completa.

Nota: si requiere SSO para un artículo de la base de conocimientos que ya está configurado como contenido privado con el registro de miembros, ese artículo ya no será accesible para esos contactos.

Para configurar SSO para artículos de la base de conocimientos específicos:

• En tu cuenta de HubSpot, dirígete a Servicio al cliente > Base de conocimientos.
• Haz clic en la pestaña Artículos.
• Selecciona la casilla de comprobación junto a cualquier artículo en la que desees solicitar SSO.
• En la parte superior de la tabla, haz clic en Controlar acceso de la audiencia.
• En el panel derecho, configure el SSO para estos artículos y, a continuación, haga clic en Guardar:
  • Selecciona Privado - Inicio de sesión único obligatorio para otorgar acceso a todos los miembros de tu organización de proveedor de identidad con acceso a la aplicación HubSpot.
  • Selecciona Privado - Inicio de sesión único obligatorio con el filtrado de listas para otorgar acceso a personas en tu cuenta de proveedor de identidad con acceso a la aplicación HubSpot y membresía de las listas específicas. Luego selecciona las listas específicas que deseas que tengan acceso a este contenido.

También puedes controlar el acceso de la audiencia a un artículo específico en la pestaña Configuración dentro del editor de artículos.

Desactivar SSO para contenido privado

Desactivar SSO para contenido privado afectará tu contenido de un modo diferente según la configuración que seleccionaste.

• El contenido que se establece en Privado - inicio de sesión único obligatorio se convertirá en público.
• El contenido que se establece en Privado - inicio de sesión único obligatorio con el filtrado de listas se convertirá en inaccesible.

Para mantener el contenido privado cuando desactivas SSO, se recomienda cambiar el acceso de la audiencia para tu contenido privado a Privado - Se requiere inicio de sesión único (SSO) obligatorio con el filtrado de listas. A continuación, puede cambiar el acceso de la audiencia para este contenido para requerir el registro de membresía CMS en su lugar.

Para desactivar SSO para el contenido privado:

• En tu cuenta de HubSpot, haz clic en el icono de Configuración settings en la barra de navegación principal.
• En el menú de la barra lateral izquierda, navega a Sitio web > Contenido privado.
• En la parte superior de la configuración, haz clic en el menú desplegable Elige un dominio para editarlo y selecciona un dominio.
• En la sección Inicio de sesión único (SSO), haz clic en Administrar SSO.
• En la parte inferior del panel, haz clic para desactivar el interruptor SSO Activado.