Aseta kertakirjautuminen (SSO)

Kirjoittanut HubSpot Support | Nov 2, 2021 9:04:00 AM

SSO:n (Single sign-on) avulla voit antaa tiimisi jäsenille yhden tilin kaikkiin yrityksesi käyttämiin järjestelmiin. Security Assertion Markup Language eli SAML on avoin standardi, jota käytetään todennukseen. Verkkosovellukset käyttävät SAML:ää, joka perustuu XML-muotoon (Extensible Markup Language), tunnistautumistietojen siirtämiseen kahden osapuolen - identiteetin tarjoajan (IdP) ja palveluntarjoajan (SP) - välillä. Jos sinulla on HubSpot Enterprise -tili ja SAML-pohjainen SSO on määritetty, voit vaatia käyttäjiä kirjautumaan HubSpotiin SSO-tunnuksillaan.

Huomaa: tämä asennusprosessi on tehtävä IT-ylläpitäjän toimesta, jolla on kokemusta sovellusten luomisesta identiteetin tarjoajan tililläsi. Vain pääkäyttäjät voivat määrittää SSO:n tilillesi.

Yleiset asetukset

Kirjaudu sisään identiteetin tarjoajan tilillesi.
Siirry sovelluksiin.
Luo uusi sovellus HubSpotille.
- Saadaksesi Audience URI ja Sign on URL, ACS, Recipient tai Redirect -arvot:
  - Valitse vasemmanpuoleisesta sivupalkin valikosta Turvallisuus > Asetukset ja toiminta.

- - Valitse Kirjaudu sisään-kohdassa Yksittäisen kirjautumisen määrittäminen.
  - Napsauta oikeassa paneelissa arvojen vieressä olevaa Kopioi tarvittaessa. Jos käytät Microsoft AD FS:ää, napsauta Microsoft AD FS -välilehteä kopioidaksesi tarvittavat arvot.
  - Liitä ne tarvittaessa identiteetin tarjoajan tilillesi.
- Jos sinua pyydetään, aseta käyttäjätunnuksen muodoksi / nimitunnukseksi Sähköposti.
Kopioi tunnisteen tai myöntäjän URL-osoite, kertakirjautumis-URL-osoite ja varmenne identiteetin tarjoajalta ja liitä ne HubSpotin SSO-asetuspaneelin vastaaviin kenttiin.
Napsauta Vahvista.

Yllä olevat navigointiohjeet ja kenttien nimet voivat vaihdella eri identiteetin tarjoajien välillä. Alla on tarkempia ohjeita sovellusten määrittämiseksi yleisesti käytetyissä identiteetin tarjoajissa:

Okta
OneLogin
Azure Active Directory
Google

Jos käytät Active Directory Federation Services -palveluja, saat lisätietoja kertakirjautumisen määrittämisestä AD FS:n avulla.

Vaadi SSO kaikille käyttäjille

Kun olet määrittänyt SSO:n, voit vaatia kaikkia käyttäjiä käyttämään SSO:ta HubSpotiin kirjautumiseen.

Valitse vasemmanpuoleisessa sivupalkin valikossa Suojaus > Asetukset ja toiminta.
Valitse kohdassa Kirjautuminen valintaruutu Vaadi kertakirjautuminen .

Jätä tietyt käyttäjät SSO-vaatimuksen ulkopuolelle

Kun olet määrittänyt SSO:n, voit jättää tietyt käyttäjät SSO-vaatimuksen ulkopuolelle, jotta he voivat kirjautua sisään myös HubSpot-käyttäjätilillään.

Valitse vasemmanpuoleisessa sivupalkin valikossa Suojaus > Asetukset ja toiminta.
Valitse Kirjaudu sisään-kohdassa Hallitse poissuljettuja käyttäjiä.

Napsauta valintaikkunassa Valitse käyttäjät -pudotusvalikkoa ja valitse käyttäjät, jotka voivat kirjautua sisään HubSpot-tilillään. Voit esimerkiksi valita kumppanit ja alihankkijat, jos heiltä puuttuu SSO-tunnukset.
Napsauta Tallenna.

Huomaa: Käyttäjä, joka valitsee Vaadi kertakirjautuminen -valintaruudun, lisätään automaattisesti pois suljettujen käyttäjien joukkoon. On suositeltavaa sulkea pois vähintään yksi käyttäjä, jolla on Super Admin -oikeudet. Jos tunnistuspalveluntarjoajasi ei toimi, hän voi kirjautua sisään ja poistaa Require Single Sign-on (Vaadi kertakirjautuminen ) -valintaruudun valintaruudun, jotta kaikki käyttäjät voivat kirjautua sisään HubSpot-tilillään.

Ohjeet tiettyjä identiteetin tarjoajia varten

Okta

Huomaa: tarvitset hallinto-oikeudet Okta-instanssissasi. Tämä prosessi on käytettävissä vain Ocktan Classic-käyttöliittymässä.

Kirjaudu sisään Oktaan. Varmista, että olet Octa-kehittäjätilisi hallinnollisessa instanssissa.
Napsauta sovelluksia ylänavigointipalkissa.
Napsauta Lisää sovellus.
Etsi HubSpot SAML ja napsauta sitten Lisää.
Valitse Yleiset asetukset -näytössä Valmis.
Napsauta sovelluksen tietosivulla Kirjaudu sisään -välilehteä.
Valitse viestin "SAML 2.0:ta ei määritetä, ennen kuin olet suorittanut asennusohjeet loppuun" alla Näytä asennusohjeet. Tämä avaa uuden välilehden. Pidä se auki japalaasittenalkuperäiseen välilehteen Okta-ohjelmassa.
Selaa samalla välilehdellä alaspäin kohtaan Advanced Sign-on Settings ja lisää Hub ID -numerosi Portal Id -kenttään. Lue, miten pääset käsiksi Hub-tunnukseesi.
Siirry käyttäjäasetuksiin. Määritä uusi sovellus kaikille käyttäjille, jotka ovat myös HubSpot-tililläsi, mukaan lukien sinä itse.
Palaa View Setup Instructions -välilehdelle. Kopioi jokainen URL-osoite ja varmenne ja liitä ne HubSpotissa Identity Provider Identifier or Issuer URL -kenttään, Identity Provider Single Sign-On URL -kenttään ja X.509 Certificate -kenttään.
Napsauta Vahvista. Sinua pyydetään kirjautumaan sisään Okta-tililläsi, jotta voit viimeistellä määrityksen ja tallentaa asetukset.

Kun SSO-asetuksesi on vahvistettu, siirry osoitteeseen https://app.hubspot.com/login/sso ja syötä sähköpostiosoitteesi. HubSpot etsii portaalisi kertakirjautumiskokoonpanon ja lähettää sinut identiteettipalveluntarjoajallesi kirjautumaan sisään. Näet myös Kirjaudu sisään SSO:lla -painikkeen, kun vierailet suorassa linkissä tiliisi.

OneLogin

Huomaa: tarvitset OneLogin-instanssin hallinnolliset oikeudet, jotta voit luoda uuden SAML 2.0 -sovelluksen OneLoginiin.

Kirjaudu sisään OneLoginiin.
Siirry kohtaan Sovellukset.
Etsi HubSpot.
Napsauta sovellusta, jossa lukee "SAML2.0".
Napsauta oikeassa yläkulmassa Tallenna.
Napsauta Configuration-välilehteä.
Lisää HubSpot-tilin ID-kenttään Hub-tunnuksesi. Lue, miten pääset käsiksi Hub-tunnukseesi.
Napsauta SSO-välilehteä .
Kopioi seuraavat kentät OneLoginista ja liitä ne HubSpotin SSO-asetuspaneelin vastaaviin kenttiin:
- Kopioi Issuer URL -osoitteen arvo ja liitä se Identity Provider Identifier tai Issuer URL -osoitteeseen.
- Kopioi arvo kohdasta SAML 2.0 Endpoint (HTTP ) ja liitä se Identity Provider Single Sign-on URL-osoitteeseen.
- Napsauta kohdassa X.509 Certificate (X.509 varmenne) View Details (Näytä tiedot), kopioi varmenne ja liitä se kohtaan X.509 Certificate (X.509 varmenne).

Valitse OneLogin-tilisi oikeassa yläkulmassa Tallenna.

Microsoft Entra ID

Microsoft Entra ID:n (entinen Azure Active Directory) käyttäjät asentavat HubSpot-sovelluksen Microsoft Azure Marketplace -markkinapaikalta ja noudattavat Microsoftin ohjeita integraation määrittämiseksi. Näin voit käyttää Microsoft Entra ID:tä käyttäjien käyttöoikeuksien hallintaan ja ottaa kertakirjautumisen käyttöön HubSpotissa.

Kun SSO-asetuksesi on vahvistettu, siirry osoitteeseen https://app.hubspot.com/login/sso ja syötä sähköpostiosoitteesi. HubSpot etsii portaalisi kertakirjautumisasetukset ja lähettää sinut SSO-palveluntarjoajallesi kirjautumaan sisään. Näet myös Kirjaudu sisään SSO:lla -painikkeen, kun vierailet suorassa linkissä tiliisi.

Google

Tutustu Googlen ohjeisiin siitä, miten voit määrittää HubSpotin kertakirjautumisen G-Suiten kanssa identiteetin tarjoajana.

UKK

Mitä sidontaa HubSpot käyttää SAML-palveluntarjoajana?

HubSpot käyttää HTTP Postia.

Käytän Active Directory Federation Services -palveluja. Mitä minun pitäisi käyttää luottavan osapuolen luottamusjärjestelmänä (RPT)?

Lisätietoja kertakirjautumisen määrittämisestä ADFS:n avulla.

Mikä käyttäjänimen muoto minun pitäisi asettaa SAML-sovellukseeni?

HubSpotin käyttäjät tunnistetaan sähköpostiosoitteen perusteella. Varmista, että IDP:si lähettää sähköpostimuodossa nameID:n, joka vastaa HubSpot-käyttäjän sähköpostiosoitetta.

Mitä allekirjoitusalgoritmia HubSpot tukee?

Huomaa: 31. maaliskuuta 2023 jälkeen HubSpot lopettaa SHA-1-tuen uusille SSO-yhteyksille. Olemassa olevat SSO-yhteydet, jotka käyttävät SHA-1:tä, voivat edelleen toimia, kunnes HubSpot lopettaa SHA-1:n tukemisen kaikissa SSO-yhteyksissä 30. kesäkuuta 2023. Jos käytät SHA-1:tä, sinun on siirryttävä SHA-256:een 30. kesäkuuta 2023 mennessä.

HubSpot tukee vain SHA-256-allekirjoitusalgoritmeja. Sinun on allekirjoitettava pyynnöt SHA-256:lla.

Missä muodossa minun pitäisi toimittaa x509-sertifikaatti?

HubSpot vaatii PEM-muotoisen x509-sertifikaatin. Kopioi PEM-tiedoston tekstisisältö HubSpotin x509-varmenne-kenttään. Arvon tulisi sisältää myös -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE-----.

Voinko ottaa käyttöön kaksitekijätodennuksen, vaaditun kaksitekijätodennuksen, SSO:n ja vaaditun SSO:n samanaikaisesti?

Kyllä. Kun olet ottanut kaksitekijätodennuksen käyttöön, se on aktiivinen, kun kirjaudut sisään HubSpot-käyttäjätunnuksellasi ja salasanallasi. 2FA:n ottaminen käyttöön HubSpotissa ei estä sinua kirjautumasta sisään Googlen 2FA:n tai SSO:n avulla. Jos käyttäjät on siis jätetty SSO-vaatimuksen ulkopuolelle, voit vaatia HubSpotin 2FA:ta varmistaaksesi, että kaikki SSO:n ohittavat kirjautumiset menevät 2FA:n tai Googlen kautta.

Josotat 2FA:n käyttöön Google-tiliäsi varten, tämä on erillään HubSpot-asetuksista. Kun kirjaudut HubSpotiin Google-tililläsi, Googlen 2FA suojaa kuitenkin HubSpot-tilisi.

Jos tililläsi vaaditaan tai otetaan käyttöön kahden tekijän todennus ja SSO samanaikaisesti, tapahtuu seuraavaa:

Jos sinun on kirjauduttava tilillesi SSO:n avulla, HubSpotin 2FA-käyttäjältäsi kysytään silti.
Jos tilisi vaatii SSO:ta, mutta et ole sen piirissä, voit kirjautua sisään joko 2FA:lla tai Kirjaudu sisään Googlen kautta tai Kirjaudu sisään Microsoftin kautta -vaihtoehdoilla.
Jos sinun on kirjauduttava sisään 2FA:lla eikä SSO:ta ole määritetty, voit kirjautua sisään joko 2FA:lla tai vaihtoehdoilla Kirjaudu sisään Googlen kautta tai Kirjaudu sisään Microsoftin kautta .
Jos tililläsi ei ole vaatimuksia, mutta olet ottanut SSO:n käyttöön, voit kirjautua sisään millä tahansa menetelmällä, myös SSO:lla.

Näytä koko julkaisu