Yksittäisen kirjautumisen (SSO) määrittäminen Active Directory Federation Services (AD FS) -palvelun avulla.

Jos sinulla on HubSpotEnterprise-tili, voit määrittää kertakirjautumisen Active Directory Federation Services (AD FS) -palvelun avulla.

Jotta voit käyttää AD FS:ää HubSpot-tilillesi kirjautumiseen, sinun on täytettävä seuraavat vaatimukset:

• Kaikilla Active Directory -instanssisi käyttäjillä on oltava sähköpostiosoiteattribuutti.
• Käytät HubSpot Enterprise -tiliä.
• Sinulla on palvelin, jossa on Windows Server 2008, 2012 tai 2019.

Huom:ttämän käyttöönottoprosessin tulisi tehdä IT-ylläpitäjän, jolla on kokemusta sovellusten luomisesta identiteetin tarjoajan tililläsi. LisätietojaSSO:n määrittämisestä HubSpotin kanssa.

Ennen kuin aloitat

Ennen kuin aloitat, ota huomioon seuraavat kaksi arvoa HubSpot-tililtäsi SSO:n määrittämiseksi Microsoft AD FS:n avulla:

• Kirjaudu sisään HubSpot-tilillesi.
• Napsauta HubSpot-tililläsi settings asetukset-kuvaketta päänavigointipalkissa.
• Napsauta vasemmassa sivupalkissaAccount Defaults (Tilin oletusasetukset).
• NapsautaSecurity (Turvallisuus ) -välilehteä.
• NapsautaSet up Single Sign-on.
• NapsautaSet up Single sign-on-liukupaneelissaMicrosoft AD FS.
• Ota huomioon sekäAudience URI (Service Provider Entity ID)ettäSign on URL, ACS, Recipient tai Redirect -arvot, sillä ne on lisättävä Microsoft AD FS:ään asennusprosessin aikana.

1.Lisää luotettavan osapuolen luottamus (Relying Party Trust, RPT).

Avaa Active Directory Federation Services (AD FS) -hallinta:

• AvaaAD FS-hallinnassaRelying Party Trusts (RPT) -kansio.
• Valitse oikean sivupalkin valikostaAdd Relying Party Trust.....
• Lisää uusi RPT valitsemallaAdd Relying Party Trust Wizard-valintaikkunassaStart.
• ValitseSelect Data Source (Valitse tietolähde) -näytössäEnter data about the relying party manually (Syötä luotettavan osapuolen tiedot manuaalisesti).
• NapsautaSeuraava >.
• KirjoitaDisplay name (Näyttönimi) -kenttään nimi luottamukselle - tämä on sisäistä käyttöä varten, joten varmista, että annat sille nimen, joka on helposti tunnistettavissa.
• NapsautaSeuraava >.
• Configure Certificate (Määritä varmenne) -näytössä jätä oletusasetukset ennalleen ja napsauta sittenNext > (Seuraava >).
• ValitseEnable Support for the SAML 2.0 WebSSOprotocol -valintaruutu. KirjoitaRelying party SAML 2.0 SSO service URL -kenttään HubSpot-tilisikirjautumis-, ACS-, vastaanottaja- tai uudelleenohjaus-URL.

• NapsautaSeuraava >.
• Relying party trust identifier-kenttään:
  • Syötä HubSpot-tililtäsi saatuAudience URI (Service Provider Entity ID ) -arvo.
  • Kirjoita https://api.hubspot.com ja napsauta sittenAdd (Lisää).
• NapsautaSeuraava >.
• ValitseChoose an access control policy-ikkunassaPermit everyone ja napsauta sittenNext >.
• Tarkista asetukset ja napsauta sittenSeuraava >.
• NapsautaSulje.

2. Luo väittämiä koskevat säännöt

Varmista ennen väittämiä koskevan säännön luomista, että käyttäjien sähköpostiosoitteet vastaavat HubSpot-käyttäjien sähköpostiosoitteita. Voit käyttää muita tunnisteita, kuten User Principal Name (UPN), jos UPN:t ovat sähköpostiosoitteen muodossa. Jotta kertakirjautuminen AD FS:n kanssa toimisi, nameID:n on oltava sähköpostiosoitteen muodossa, jotta se vastaisi HubSpot-käyttäjää.

• Napsauta Claims Rule-ikkunassaAdd Rule (Lisää sääntö) -painiketta.
• Napsauta Claim rule template-pudotusvalikkoa ja valitse Send LDAP Attributes as Claims.
• NapsautaSeuraava >.
• Configure Claim Rule-näytössä:
  • Kirjoita Claim rule name-kenttään säännön nimi.
  • NapsautaAttribuuttivarasto-pudotusvalikkoa ja valitseActive Directory.
  • Liitä LDAP-attribuuttien kartoitus-taulukkoon seuraavat tiedot:
    • Napsauta LDAP-attribuutti-sarakkeessapudotusvalikkoaja valitseSähköpostiosoitteet.
    • Napsauta Outgoing ClaimType (Lähtevä vaatimustyyppi) -sarakkeessapudotusvalikkoa ja valitseSähköpostiosoite.
• NapsautaFinish (Valmis).

Määritä seuraavaksi Transform an Incoming Claim -sääntö:

• NapsautaAdd Rule (Lisää sääntö).
• NapsautaClaim rule template -pudotusvalikkoa ja valitseTransform an Incoming Claim (Muunna saapuva vaatimus).
• NapsautaSeuraava >.
• Configure Claim Rule-näytössä:
  • Anna korvaussäännön nimi.
  • NapsautaIncoming claim type (Saapuvan saatavan tyyppi) -pudotusvalikkoa ja valitseE-Mail Address (Sähköpostiosoite).
  • Napsautalähtevän vaateen tyyppi-pudotusvalikkoa ja valitsenimitunnus.
  • Napsautalähtevän nimitunnuksen muoto-pudotusvalikkoa ja valitseSähköposti.
  • Lisää uusi sääntö valitsemallaFinish (Valmis).
• Lisää molemmat uudet säännöt valitsemallaOK.

3. Säädä luottamusasetuksia

Valitse Replying Party Trusts -kansiossa sivupalkinActions (Toiminnot) -valikosta Properties (Ominaisuudet ). NapsautaLisäasetukset-välilehteäja varmista, ettäSHA-256on määritetty turvalliseksi hash-algoritmiksi. Vaikka sekä SHA-256 että SHA-1 ovat tuettuja, SHA-256 on suositeltava.

4. Etsi PEM-muotoinen x509-varmenne.

Pääset käsiksi PEM-muotoiseen x509-varmenteeseesi:

• SiirryAD FS:n hallintaikkunaan. Siirry vasemmanpuoleisen sivupalkin valikosta kohtaan Palvelut>Varmenteet.
• EtsiToken signing-varmenne. Napsauta varmentetta hiiren kakkospainikkeella ja valitseNäytä varmenne.
• Napsauta valintaikkunassaTiedot-välilehteä.
• ValitseCopy to File (Kopioi tiedostoon).
• Napsauta avautuvassaVarmenteen vienti -ikkunassaSeuraava.
• ValitseBase-64-koodattu X.509 (.CER) ja napsauta sittenSeuraava.
• Anna tiedoston viennille nimi ja napsauta sittenSeuraava.
• Viimeistelevienti napsauttamallaFinish (Valmis).

• Etsi juuri viemäsi tiedosto ja avaa se tekstieditorilla, kuten Notepadilla.
• Kopioi tiedoston sisältö.

5. Viimeistele asetukset HubSpotissa

• Kirjaudu sisään HubSpot-tilillesi.
• Napsauta HubSpot-tililläsi settings asetukset-kuvaketta päänavigointipalkissa.
• Valitse vasemmasta sivupalkistaAccount Defaults (Tilin oletusasetukset).
• NapsautaSecurity (Turvallisuus ) -välilehteä.
• NapsautaSet up Single Sign-on.
• NapsautaSet up Single sign-on-liukupaneelissaMicrosoft AD FS.
• Liitä tiedoston sisältö X.509 Certificate-kenttään.
• Palaa AD FS -hallintaan.

• Valitse vasemmanpuoleisesta sivupalkin valikostaEndpoints-kansio.
• Etsi SSO-palvelun päätepiste ja kokonaisuuden URL-osoite. SSO-palvelun URL-osoite päättyy yleensä "adfs/services/ls" ja entiteetin URL-osoite "adfs/services/trust".
• Palaa HubSpotiin. KirjoitaIdentity provider Identifier or Issuer-kenttään entiteetin URL-osoite.
• Kirjoita SSO-palvelun URL-osoiteIdentity Provider Single Sign-On URL-kenttään.
• NapsautaVerify (Vahvista).

Huomaa: Jos saat virheilmoituksen, kun määrität HubSpotissa kertakirjautumista, tarkista virheilmoitus laitteesi tapahtumailmoituslokeista. Jos et pysty selvittämään virheilmoitusta, ota yhteyttä HubSpotin tukeen.