Configurer l'authentification unique (SSO) pour accéder au contenu privé

L'authentification unique (SSO) vous permet de vous connecter à différentes applications en toute sécurité à l'aide d'un seul nom d'utilisateur et d'un seul mot de passe.

Grâce à l'authentification unique pour le contenu privé, votre administrateur informatique peut configurer une application HubSpot dans votre compte de fournisseur d'identité, comme Google ou Okta. Les membres de votre organisation disposant d'un accès à l'application HubSpot dans votre compte de fournisseur d'identité peuvent se connecter via une authentification unique pour consulter du contenu privé. 

Vous pouvez également affiner les personnes ayant accès au contenu spécifique en fonction de leur appartenance à une liste dans votre compte HubSpot. Pour accéder au contenu par adhésion à une liste, ces membres de votre équipe doivent avoir des enregistrements de contact dans votre compte HubSpot.

Le SSO pour le contenu privé est disponible pour les abonnements suivants :

• Les Paramètres du compte Hub Professional et peuvent configurer le SSO pour les blogs, les pages d'atterrissage et les sites web.
• Les comptes Service Hub Pro et Entreprise peuvent configurer l'authentification unique pour les articles de base de connaissances et les portails client.

Avant de commencer

• Ce processus de configuration doit être effectué par un administrateur informatique ayant l'expérience de la création d'applications dans votre compte de fournisseur d'identité et l'autorisation de modifier les paramètres du site Web dans HubSpot. 
• L'authentification unique peut être configurée pour un sous-domaine hébergé sur HubSpot par le compte de fournisseur d'identité. Pour de meilleurs résultats, il est recommandé de consacrer exclusivement un sous-domaine à l'authentification unique.
• Les e-mails de notification et les pages de connexion pour le contenu privé nécessitant une authentification unique seront traités par votre compte de fournisseur d'identité, au lieu de vos paramètres de contenu privé dans HubSpot.
• Le contenu privé nécessitant une authentification unique ne sera pas indexé par les moteurs de recherche et pourra uniquement être consulté par les contacts connectés disposant d'un accès.
• Tous les éléments de la page, tels que les images et les formulaires, ne nécessiteront l'authentification unique que s'ils font partie de la page. Si les URL des éléments elles-mêmes sont fournies séparément, elles ne nécessitent pas l'utilisation de l'authentification unique pour y accéder. Apprenez-en plus sur le paramétrage de la visibilité de l'URL des éléments dans l'outil de fichiers. 
• Si vous activez l'authentification unique pour un domaine qui nécessitait auparavant l'enregistrement d'un membre, l'authentification unique utilisera vos listes de membres d'origine. Si vous désactivez à nouveau l'authentification unique, le contenu demandera une nouvelle fois l'inscription des membres pour les mêmes listes. 

Configurer l'authentification unique pour le contenu privé de HubSpot dans votre compte de fournisseur d'identité

Pour configurer l'authentification unique pour le contenu privé hébergé dans HubSpot, votre administrateur informatique créera une nouvelle application pour l'accès au contenu HubSpot. Pour terminer ce processus, votre administrateur informatique référencera les valeurs de vos paramètres contenus privés dans HubSpot. 

Veuillez noter : si vous demandez le SSO pour un sous-domaine qui héberge déjà du contenu privé avec l'enregistrement des membres, ce contenu ne sera plus accessible aux contacts enregistrés.

Les étapes et les champs requis pour ajouter une nouvelle application dans votre fournisseur d'identité peuvent varier. Les instructions générales pour la configuration d'une authentification unique pour du contenu privé sont décrites ci-dessous.

Configurer l'authentification unique pour une application basée sur SAML 

Pour créer une nouvelle application SAML pour le contenu privé de HubSpot dans votre compte de fournisseur d'identité :

• Connectez-vous à votre compte de fournisseur d'identité.
• Accédez à vos applications dans votre compte de fournisseur d'identité.
• Dans votre compte HubSpot, collectez les valeurs requises pour votre nouvelle application HubSpot :
  • Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  • Dans le menu latéral de gauche, naviguez vers Content > Private Content.
  • Tout en haut de la page, cliquez sur le menu déroulant Choisir un domaine à modifier et sélectionnez un sous-domaine.
  • Dans la section Authentification unique (SSO), cliquez sur Configurer.
  • Dans le panneau de droite, cliquez sur le menu déroulant Format de jeton de sécurité et sélectionnez SAML.
  • Copier l'URL d'audience et l'URL d'authentification.

• Dans votre compte de fournisseur d'identité :
  • Collez l'URL d'audience et l'URL d'authentification copiées depuis HubSpot dans les champs correspondants.

• • Copiez les identifiants de l'URL de l'Émetteur, l'URL de l'Authentification unique, et du Certificat.
• Dans votre compte HubSpot :
  • Collez les valeurs URL de l' Émetteur, URL d'Authentification unique et de Certificat dans les champs correspondants dans le panneau Configurer l'authentification unique.
  • Cliquez sur Vérifier.

Une fois le processus de vérification terminé, vous verrez une confirmation indiquant que l'authentification unique est activée pour votre domaine dans vos paramètres contenu privé. 

Configurer l'authentification unique pour une application basée sur JWT

• Dans votre compte de fournisseur d'identité : 
  
  • Accédez à vos applications dans votre compte de fournisseur d'identité.
  • Copiez les identifiants pour URL de connexion à distance et Clé secrète. Localisez l'Algorithme de connexion. 
  • Pour plus de sécurité, copiez Problème, Objet et Audience. 
• Dans votre compte HubSpot, saisissez ces valeurs dans vos paramètres d'authentification unique :
  
  • Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
  • Dans le menu latéral de gauche, naviguez vers Content > Private Content.
  • Tout en haut de la page, cliquez sur le menu déroulant Choisir un domaine à modifier et sélectionnez un sous-domaine.
  • Dans la section Authentification unique (SSO), cliquez sur Configurer.
  • Dans le panneau de droite, cliquez sur le menu déroulant Format jeton de sécurité et sélectionnez JWT.
  • Collez l'URL de connexion à distance
  • Cliquez sur le menu déroulant Algorithme de connexion et sélectionnez la valeur de votre compte de fournisseur d'identité.
  • Collez la Clé secrète. Si vous utilisez un algorithme de signature asymétrique avec des clés publiques et privées, la clé secrète sera la clé publique.

• • Pour plus de sécurité, collez Problème, Objet et Audience.
  • Cliquez sur Vérifier. 

Une fenêtre s'ouvre sur "l'URL de connexion à distance" spécifiée dans les paramètres d'authentification unique. L'URL ouverte dans la fenêtre comprendra un paramètre de requête "redirect_url" ayant pour valeur une URL sur le domaine que vous configurez et le chemin "_hcms/mem/jwt/verify".

Pour la vérification, une demande doit être formulée à l'URL spécifiée dans le paramètre "redirect_url" après que les informations d'identification ont été saisies dans "l'URL de connexion à distance". Cette demande doit inclure un paramètre de requête pris en charge dont la valeur doit être un JWT/hash qui, une fois décrypté, contient un champ "e-mail" dans sa charge utile avec une adresse e-mail valide. Les paramètres de requête pris en charge sont "jwt", "code", "id_token" et "access_token".

Le JWT/hash sera décrypté par HubSpot en utilisant l'Algorithme de Connexion et la Clé Secrète fournis dans les paramètres d'authentification unique. L'envoi de cette demande ultérieure, effectuée après que des informations d'identification valides ont été saisies sur la page "URL de connexion à distance", doit être configuré dans le compte de votre fournisseur d'identité. 

Une fois le processus de vérification terminé, vous verrez une confirmation indiquant que l'authentification unique est activée pour votre domaine dans vos paramètres contenu privé.

Une fois la vérification terminée, les visiteurs qui ont passé la vérification à "l'URL de connexion à distance" sont normalement envoyés vers "_hcms/mem/jwt" avec deux paramètres de requête :

• Un paramètre de requête 'jwt', 'code', 'id_token', ou 'access_token' avec un hash qui, une fois décrypté, contient l'adresse e-mail du visiteur dans un champ e-mail. 
• Un paramètre de requête 'redirect_url' qui spécifie la page vers laquelle le visiteur doit être redirigé. Cette URL doit être la même que la valeur du paramètre de requête "redirect_url" dans la demande envoyée à "l'URL de connexion à distance".

Résoudre les erreurs JWT courantes

Si vous avez des difficultés à mettre en place l'authentification unique pour une application basée sur JWT, il est recommandé de vérifier votre jeton web JSON à l'aide du débogueur de JWT. 

Une fois que vous avez vérifié votre application JWT, vous pouvez corriger les erreurs suivantes : 

• NO_SETTINGS : la combinaison portail et domaine ne renvoie aucun paramètre JWT
• COULD_NOT_PARSE_HEADER : l'en-tête JWT doit être présent et encodé en base64
• WRONG_TYPE_IN_HEADER : l'en-tête du jeton JWT contient un champ "typ" qui n'est pas égal à "jwt"
• ALGORITHM_MISSING_IN_HEADER : l'en-tête du jeton JWT ne contient pas de champ "alg" pour l'algorithme
• NONE_ALGORITHM_PROVIDED : le champ "alg" est égal à "none", ce qui est peu sûr et non supporté
• TOKEN_VERIFICATION_FAILED : le jeton est peut-être vide, nul, incorrect ou bien le paramètre de requête n'est pas pris en charge. Nous prenons en charge les paramètres de requête "jwt", "code", "id_token" et "access_token".
• MISSING_EMAIL_IN_TOKEN : le token décodé ne contient pas de champ e-mail ou celui-ci est nul ou vide
• INVALID_KEY : la clé secrète est manquante ou invalide
• INVALID_KEY_LENGTH : la longueur de la clé secrète ne correspond pas aux exigences de l'algorithme de connexion sélectionné
• PRIVATE_KEY_PROVIDED : l'algorithme de connexion sélectionné nécessite une clé publique comme clé secrète, mais une clé privée a été fournie
• INVALID_LOGIN_URL : l'URL de connexion à distance fournie n'est pas valide
• JTI_CLAIM_INVALID : les contrôles JWT ne peuvent pas être rejoués

Exiger l'authentification unique pour votre contenu

Il existe deux options pour exiger le contenu privé avec l'authentification unique :

• Privé – Authentification unique (SSO) exigée : chaque personne dans votre organisation de fournisseur d'identité disposant d'un accès à l'application HubSpot peut se connecter via l'authentification unique pour consulter le contenu privé.
• Privé – Authentification unique (SSO) exigée avec filtre de liste : les membres de votre organisation de fournisseur d'identité et appartenant à une liste spécifique de membres dans HubSpot peuvent se connecter via l'authentification unique pour consulter le contenu privé. Ces personnes doivent avoir accès à l'application HubSpot dans votre compte de fournisseur d'identité (comme Okta ou Google), mais elles n'ont pas besoin d'être des utilisateurs dans votre compte HubSpot.

Exiger l'authentification unique pour un blog

Vous pouvez exiger l'authentification unique pour les blogs hébergés sur le sous-domaine que vous avez connecté dans votre compte de fournisseur d'identité. L'activation de l'authentification unique pour un blog spécifique affectera tous les articles de blog publiés sur celui-ci. Il n'est pas possible d'exiger l'authentification unique pour un article de blog spécifique.

Veuillez noter : si vous demandez le SSO pour un blog qui héberge déjà du contenu privé avec l'enregistrement des membres, ce blog ne sera plus accessible à ces contacts.

Configurer l'authentification unique pour un blog :

• Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
• Dans le menu de la barre latérale gauche, naviguez vers Content > Blog.
• En haut à gauche, cliquez sur le menu déroulant Sélectionner un blog à modifier, puis sélectionnez un blog hebergé sur le sous-domaine que vous avez configuré avec votre fournisseur d'identité.
• Dans la section Contrôler l'accès de l'audience, configurez l'authentification unique :
  • Sélectionnez Privé - Authentification unique (SSO) exigée pour accorder l'accès à toutes les personnes de votre organisation fournisseur d'identité ayant accès à l'application HubSpot.
  • Sélectionnez Privé - Authentification unique exigée avec filtre de liste pour accorder l'accès aux personnes de votre compte de fournisseur d'identité ayant accès à l'application HubSpot et aux membres de listes spécifiques. Sélectionnez ensuite les listes auxquelles vous souhaitez avoir accès.
• Dans le coin inférieur gauche, cliquez sur Enregistrer.

Exiger l'authentification unique pour des pages de destination ou pages de site web

Vous pouvez exiger l'authentification unique pour des pages de destination ou des pages de site web hébergées sur le sous-domaine que vous avez connecté dans votre compte de fournisseur d'identité.

Veuillez noter : si vous exigez le SSO pour une page de destination ou une page de site web qui est déjà définie comme contenu privé avec inscription des membres, cette page ne sera plus accessible à ces contacts.

• Accédez à votre contenu :

  • Pages de site web : Dans votre compte HubSpot, accédez à Contenu web > Pages de site web.
  • Pages de destination : Dans votre compte HubSpot, accédez à Contenu > Pages de destination.

• Sélectionnez la case à cocher à côté des pages pour lesquels vous souhaitez exiger l'authentification unique.
• En haut du tableau, cliquez sur le menu déroulant Plus et sélectionnez Contrôler l'accès de l'audience.
• Dans le panneau de droite, configurez l'authentification unique pour les pages que vous avez sélectionnées, puis cliquez sur Enregistrer :
  • Sélectionnez Privé - Authentification unique exigée pour accorder l'accès à toutes les personnes de votre organisation fournisseur d'identité ayant accès à l'application HubSpot.
  • Sélectionnez Privé - Authentification unique exigée avec filtre de liste pour accorder l'accès aux personnes de votre compte de fournisseur d'identité ayant accès à l'application HubSpot et aux membres de listes spécifiques. Sélectionnez ensuite les listes spécifiques auxquelles vous souhaitez avoir accès.
• Vous pouvez également contrôler l'accès de l'audience à une page spécifique dans l'onglet Paramètres de l'éditeur de contenu.

Exiger l'authentification unique pour des articles de base de connaissances

Vous pouvez configurer l'authentification unique pour des articles spécifiques de base de connaissances hébergés sur le sous-domaine que vous avez connecté dans votre compte de fournisseur d'identité.

Attention : si vous exigez le SSO pour un article de la base de connaissances qui est déjà configuré comme contenu privé avec enregistrement des membres, cet article ne sera plus accessible à ces contacts.

Configurer l'authentification unique pour des articles de base de connaissances :

• Dans votre compte HubSpot, accédez à Contenu > Base de connaissances.
• Cliquez sur l'onglet Articles.
• Sélectionnez la case à cocher à côté des articles pour lesquels vous souhaitez exiger l'authentification unique.
• En haut du tableau, cliquez sur Contrôler l'accès de l'audience.
• Dans le panneau de droite, configurez l'authentification unique pour ces articles, puis cliquez sur Enregistrer :
  • Sélectionnez Privé - Authentification unique exigée pour accorder l'accès à toutes les personnes de votre organisation fournisseur d'identité ayant accès à l'application HubSpot.
  • Sélectionnez Privé - Authentification unique exigée avec filtre de liste pour accorder l'accès aux personnes de votre compte de fournisseur d'identité ayant accès à l'application HubSpot et aux membres de listes spécifiques. Sélectionnez ensuite les listes spécifiques auxquelles vous souhaitez avoir accès.

Vous pouvez également contrôler l'accès de l'audience à un article spécifique dans l'onglet Paramètres de l'éditeur d'article.

Désactiver l'authentification unique pour les contenus privés

La désactivation de l'authentification unique pour du contenu privé affectera votre contenu en fonction du paramètre que vous avez sélectionné.

• Les paramètres définis sur Privé - Authentification unique exigée deviendront publics.
• Le contenu défini comme Privé - Authentification unique exigée avec filtre de liste deviendra inaccessible.

Pour que votre contenu privé le reste lorsque vous désactivez l'authentification unique, HubSpot recommande de modifier l'accès de l'audience à votre contenu privé sur Privé – Authentification unique exigée avec filtre de liste. Vous pouvez ensuite modifier l'accès du public à ce contenu pour exiger l'enregistrement de l'adhésion à CMS à la place.

Désactiver l'authentification unique pour le contenu privé :

• Dans votre compte HubSpot, cliquez sur l'icône Paramètres settings dans la barre de navigation principale.
• Dans le menu latéral gauche, naviguez vers Content > Private Content.
• Tout en haut de vos paramètres, cliquez sur le menu déroulant Choisir un domaine à modifier et sélectionnez un domaine.
• Dans la section Authentification unique (SSO), cliquez sur Gérer l'authentification unique.
• En bas du tableau de bord, cliquez pour désactiver l'option authentification unique activée.