HubSpot Tietämyskanta

Aseta kertakirjautuminen (SSO)

Kirjoittanut HubSpot Support | Nov 2, 2021 9:04:00 AM

SSO:n (Single sign-on) avulla voit antaa tiimisi jäsenille yhden tilin kaikkiin yrityksesi käyttämiin järjestelmiin. Security Assertion Markup Language eli SAML on avoin standardi, jota käytetään todennukseen. Verkkosovellukset käyttävät SAML:ää, joka perustuu XML-muotoon (Extensible Markup Language), tunnistautumistietojen siirtämiseen kahden osapuolen - identiteetin tarjoajan (IdP) ja palveluntarjoajan (SP) - välillä. Jos sinulla on HubSpot Enterprise -tili ja SAML-pohjainen SSO on määritetty, voit vaatia käyttäjiä kirjautumaan HubSpotiin SSO-tunnuksillaan.

Huomaa: tämä asennusprosessi on tehtävä IT-ylläpitäjän toimesta, jolla on kokemusta sovellusten luomisesta identiteetin tarjoajan tililläsi. Vain pääkäyttäjät voivat määrittää SSO:n tilillesi.

Yleiset asetukset

  • Kirjaudu sisään identiteetin tarjoajan tilillesi.
  • Siirry sovelluksiisi.
  • Luo uusi sovellus HubSpotille. Saadaksesi Yleisö URI ja Sign on URL, ACS, Recipient tai Redirect -arvot:
    • Valitse vasemmanpuoleisesta sivupalkin valikosta Turvallisuus > Asetukset ja toiminta.
    • Valitse Kirjaudu sisään-kohdassa Yksittäisen kirjautumisen määrittäminen. Oikeassa paneelissa:
      • XML-lataus on käytettävissä kaikissa SSO-asetuksissa. Lataa federaation metatiedot vetämällä ja pudottamalla tai valitsemalla Valitse tiedosto. Napsauta sitten Verify (Vahvista).
      • Jos haluat syöttää tiedot manuaalisesti identiteettipalveluntarjoajaltasi, valitse Kaikki muut identiteettipalveluntarjoajat -välilehdellä Kopioi arvojen vierestä tarpeen mukaan. Liitä sitten identiteettipalveluntarjoajan arvot alla olevaan kenttään. Napsauta Verify (Vahvista).
      • Jos käytät Microsoft AD FS:ää, napsauta Microsoft AD FS -välilehdellä Kopioi arvojen vierestä tarpeen mukaan. Liitä sitten identiteetin tarjoajan arvot alla olevaan kenttään. Napsauta Verify (Vahvista).

Huomaa: Jos käytät Microsoft Entraa (entinen Azure), käytä SSO:n määrittämiseen välilehteä Kaikki muut identiteetin tarjoajat .

Yllä olevat navigointiohjeet ja kenttien nimet voivat vaihdella eri identiteetin tarjoajien välillä. Alla on tarkempia ohjeita sovellusten määrittämiseksi yleisesti käytetyissä identiteetin tarjoajissa:

Jos käytät Active Directory Federation Services -palveluja, saat lisätietoja kertakirjautumisen määrittämisestä AD FS:n avulla.

Vaadi SSO kaikille käyttäjille

Kun olet määrittänyt SSO:n, voit vaatia kaikkia käyttäjiä käyttämään SSO:ta HubSpotiin kirjautumiseen.

Huomaa: 31. heinäkuuta 2024 alkaen tämä asetus otetaan oletusarvoisesti käyttöön.

  • Valitse vasemmanpuoleisessa sivupalkin valikossa Turvallisuus > Asetukset ja toiminta.
  • Valitse Kirjautuminen-kohdassa Vaadi kertakirjautuminen -valintaruutu.

Jätä tietyt käyttäjät SSO-vaatimuksen ulkopuolelle

Kun olet määrittänyt SSO:n, voit jättää tietyt käyttäjät SSO-vaatimuksen ulkopuolelle, jotta he voivat kirjautua sisään myös HubSpot-käyttäjätilillään.

  • Valitse vasemmanpuoleisessa sivupalkin valikossa Turvallisuus > Asetukset ja toiminta.
  • Valitse Kirjaudu sisään-kohdassa Hallitse poissuljettuja käyttäjiä.

  • Napsauta valintaikkunassa Valitse käyttäjät -pudotusvalikkoa ja valitse käyttäjät, jotka voivat kirjautua sisään HubSpot-tilillään. Voit esimerkiksi valita kumppanit ja alihankkijat, jos heiltä puuttuu SSO-tunnukset.
  • Napsauta Tallenna.

Huomaa: Käyttäjä, joka valitsee Vaadi kertakirjautuminen -valintaruudun, lisätään automaattisesti pois suljettujen käyttäjien joukkoon. On suositeltavaa sulkea pois vähintään yksi käyttäjä, jolla on Super Admin -oikeudet. tapahtuma tunnistuspalveluntarjoajasi ei toimi, hän voi kirjautua sisään ja poistaa Require Single Sign-on (Vaadi kertakirjautuminen ) -valintaruudun valintaruudun, jotta kaikki käyttäjät voivat kirjautua sisään HubSpot-tilillään.

Ohjeet tiettyjä identiteetin tarjoajia varten

Okta

Huomaa: tarvitset hallinto-oikeudet Okta-instanssissasi. Tämä prosessi on käytettävissä vain Ocktan Classic-käyttöliittymässä.

  • Kirjaudu sisään Oktaan. Varmista, että olet Octa-kehittäjätilisi hallinnollisessa instanssissa.
  • Napsauta Applications (Sovellukset ) ylänavigointipalkissa.
  • Napsauta Lisää sovellus.
  • Etsi HubSpot SAML ja napsauta sitten Lisää.
  • Napsauta Yleiset asetukset -näytössä Valmis.
  • Napsauta sovelluksen tietosivulla Sign On -välilehteä.
  • Napsauta "SAML 2.0 ei ole määritetty, ennen kuin olet suorittanut asennusohjeet" -viestin kohdalla Näytä asennusohjeet. Tämä avaa uuden välilehden. Pidä se auki japalaasittenalkuperäiselle välilehdelle Oktaan.
  • Vieritä samalla välilehdellä alaspäin kohtaan Advanced Sign-on Settings ja lisää Hub ID:si Portal Id -kenttään. Lue, miten pääset käsiksi Hub ID:hen.
  • Siirry käyttäjäasetuksiisi. Määritä uusi sovellus kaikille käyttäjille, jotka ovat myös HubSpot-tililläsi, mukaan lukien itsesi.
  • Palaa View Setup Instructions -välilehdelle. Kopioi jokainen URL-osoite ja varmenne ja liitä ne HubSpotissa Identity Provider Identifier or Issuer URL -kenttään, Identity Provider Single Sign-On URL -kenttään ja X.509 Certificate -kenttään.
  • Napsauta Verify (Vahvista). Sinua pyydetään kirjautumaan sisään Okta-tililläsi, jotta voit viimeistellä määrityksen ja tallentaa asetukset.

Kun SSO-asetuksesi on vahvistettu, siirry osoitteeseen https://app.hubspot.com/login/sso ja syötä sähköpostiosoitteesi. HubSpot etsii portaalisi kertakirjautumiskokoonpanon ja lähettää sinut identiteettipalveluntarjoajallesi kirjautumaan sisään. Näet myös Kirjaudu sisään SSO:lla -painikkeen, kun vierailet suorassa linkissä tiliisi.

OneLogin

Huomaa: tarvitset OneLogin-instanssin hallinnolliset oikeudet, jotta voit luoda uuden SAML 2.0 -sovelluksen OneLoginiin.

  • Kirjaudu sisään OneLoginiin.

  • Siirry kohtaan Sovellukset.

  • Etsi HubSpot.

  • Napsauta sovellusta, jossa lukee "SAML2.0".

  • Napsauta oikeassa yläkulmassa Tallenna.

  • Napsauta Configuration-välilehteä.

  • Lisää HubSpot Account ID -kenttään Hub-tunnuksesi. Lue, miten pääset käsiksi Hub-tunnukseesi.

  • Napsauta SSO-välilehteä .
  • Kopioi seuraavat kentät OneLoginista ja liitä ne HubSpotin SSO-asetuspaneelin vastaaviin kenttiin:
    • Kopioi Issuer URL -kohdan arvo ja liitä se Identity Provider Identifier tai Issuer URL-kohtaan.
    • Kopioi arvo kohdasta SAML 2.0 Endpoint (HTTP) ja liitä se Identity Provider Single Sign-on URL-osoitteeseen.
    • Napsauta kohdassa X.509 Certificate (X.509 varmenne) View Details (Näytä tiedot), kopioi varmenne ja liitä se kohtaan X.509 Certificate (X.509 varmenne).

  • Valitse OneLogin-tilisi oikeassa yläkulmassa Tallenna.

Kun SSO-asetuksesi on vahvistettu, siirry osoitteeseen https://app.hubspot.com/login/sso ja syötä sähköpostiosoitteesi. HubSpot etsii portaalisi kertakirjautumisasetukset ja lähettää sinut identiteetin tarjoajan luo kirjautumaan sisään. Näet myös Kirjaudu sisään SSO:lla -painikkeen, kun vierailet suorassa linkissä tiliisi.

Microsoft Entra ID

Microsoft Entra ID:n (entinen Azure Active Directory) käyttäjät asentavat HubSpot-sovelluksen Microsoft Azure Marketplace -markkinapaikalta ja noudattavat Microsoftin ohjeita integraation määrittämiseksi. Näin voit käyttää Microsoft Entra ID:tä käyttäjien käyttöoikeuksien hallintaan ja ottaa kertakirjautumisen käyttöön HubSpotissa.

Kun SSO-asetus on vahvistettu, siirry osoitteeseen https://app.hubspot.com/login/sso ja syötä sähköpostiosoitteesi. HubSpot etsii portaalisi kertakirjautumisasetukset ja lähettää sinut SSO-palveluntarjoajallesi kirjautumaan sisään. Näet myös Kirjaudu sisään SSO:lla -painikkeen, kun vierailet suorassa linkissä tiliisi.

Google

Tutustu Googlen ohjeisiin siitä, miten voit määrittää HubSpotin kertakirjautumisen G-Suiten kanssa identiteetin tarjoajana.

Kun SSO-asetuksesi on vahvistettu, siirry osoitteeseen https://app.hubspot.com/login/sso ja syötä sähköpostiosoitteesi. HubSpot etsii portaalisi kertakirjautumisasetukset ja lähettää sinut SSO-palveluntarjoajallesi kirjautumaan sisään. Näet myös Kirjaudu sisään SSO:lla -painikkeen, kun vierailet suorassa linkissä tiliisi.

UKK

Mitä sidontaa HubSpot käyttää SAML-palveluntarjoajana?

HubSpot käyttää HTTP Postia.

Käytän Active Directory Federation Services -palveluja. Mitä minun pitäisi käyttää luotettavan osapuolen luottamuksen (RPT) välineenä?

Lisätietoja kertakirjautumisen määrittämisestä ADFS:n avulla.

Mikä käyttäjänimen muoto minun pitäisi asettaa SAML-sovellukseeni?

HubSpot-käyttäjät tunnistetaan sähköpostiosoitteen perusteella. Varmista, että IDP:si lähettää sähköpostimuodossa olevan nameID:n, joka vastaa HubSpot-käyttäjän sähköpostiosoitetta.

Mitä allekirjoitusalgoritmia HubSpot tukee?

Huomaa: 31. maaliskuuta 2023 jälkeen HubSpot lopettaa SHA-1:n tukemisen uusissa SSO-yhteyksissä. Olemassa olevat SSO-yhteydet, jotka käyttävät SHA-1:tä, voivat edelleen toimia, kunnes HubSpot lopettaa SHA-1:n tukemisen kaikille SSO-yhteyksille 30. kesäkuuta 2023. Jos käytät SHA-1:tä, sinun on siirryttävä SHA-256:een 30. kesäkuuta 2023 mennessä.

HubSpot tukee allekirjoitusalgoritmeina vain SHA-256:ta. Sinun on allekirjoitettava pyynnöt SHA-256:lla.

Missä muodossa minun pitäisi toimittaa x509-varmenne?

HubSpot vaatii PEM-muotoisen x509-varmenteen. Sinun tulee kopioida PEM-tiedoston tekstisisältö HubSpotin x509-varmenne-kenttään. Arvon tulisi sisältää myös -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE-----.

Voinko ottaa käyttöön kaksitekijätodennuksen, vaaditun kaksitekijätodennuksen, SSO:n ja vaaditun SSO:n samanaikaisesti?

Kyllä. Kun olet ottanut kaksitekijätodennuksen käyttöön, se on aktiivinen kaikissa kirjautumisissa HubSpot-käyttäjätunnuksellasi ja salasanallasi. 2FA:n ottaminen käyttöön HubSpotissa ei estä sinua kirjautumasta sisään Googlen 2FA:n tai SSO:n avulla. Jos käyttäjät on siis jätetty SSO-vaatimuksen ulkopuolelle, voit vaatia HubSpotin 2FA:ta varmistaaksesi, että kaikki SSO:n ohittavat kirjautumiset menevät 2FA:n tai Googlen kautta.

Jos otat 2FA:n käyttöön Google-tiliäsi varten, tämä on erillään HubSpot-asetuksista. Kun kirjaudut HubSpotiin Google-tililläsi, Googlen 2FA suojaa kuitenkin HubSpot-tilisi.

Jos tililläsi vaaditaan tai otetaan käyttöön kahden tekijän todennus ja SSO samanaikaisesti, tapahtuu seuraavaa:

  • Jos sinun on kirjauduttava tilillesi SSO:lla, HubSpotin 2FA:ta ei kysytä.
  • Jos tilisi vaatii SSO:ta, mutta sinut on suljettu pois, voit kirjautua sisään joko 2FA:lla tai Kirjaudu sisään Googlen tai Microsoftin kanssa -vaihtoehdoilla.
  • Jos sinun on kirjauduttava sisään 2FA:lla eikä SSO:ta ole määritetty, voit kirjautua sisään joko 2FA:lla tai Login with Google- tai Login with Microsoft -vaihtoehdoilla.
  • Jos tilillesi ei ole asetettu vaatimuksia, mutta SSO on otettu käyttöön, voit kirjautua millä tahansa menetelmällä, myös SSO:lla.
Näytä koko julkaisu