Avertissement : cet article est le résultat de la traduction automatique, l'exactitude et la fidélité de la traduction ne sont donc pas garanties. Pour consulter la version originale de cet article, en anglais, cliquez ici.
Account

Configurez l’authentification unique (SSO) à l’aide d’AD FS (Active Directory Federation Services)

Dernière mise à jour: janvier 14, 2019

Disponible avec :

Marketing Hub Enterprise
Sales Hub Enterprise
Services Hub Enterprise

Si vous disposez d’un compte HubSpot Entreprise, vous pouvez configurer l’authentification unique à l’aide d’AD FS (Active Directory Federation Services). 


Pour utiliser AD FS pour vous connecter à votre compte HubSpot, vous devez répondre aux exigences suivantes :

  • Tous les utilisateurs de votre instance Active Directory doivent avoir un attribut d’adresse e-mail.
  • Vous utilisez un compte HubSpot Entreprise.
  • Vous avez un serveur exécutant Microsoft Server 2012 ou 2008. 

Remarque : ce processus de configuration doit être effectué par un administrateur informatique expérimenté dans la création d’applications dans votre compte de fournisseur d’identité. En savoir plus sur la configuration de l’authentification unique avec HubSpot

Ajoutez un Relying Party Trust (RPT)

Ouvrez votre gestionnaire AD FS (Active Directory Federation Services) et suivez les étapes ci-dessous :

  • Dans votre gestionnaire AD FS, sélectionnez le dossier RPT (Relying Party Trusts). 
  • Dans le menu latéral de droite, sélectionnez Ajouter un Relying Party Trust...
  • Dans la boîte de dialogue Ajout d’un Assistant Relying Party Trust qui apparaît, cliquez sur Démarrer pour ajouter un nouveau RPT. 
  • Dans l’écran Sélectionner une source de données, sélectionnez le bouton Entrer manuellement les données relatives au correspondant. 
  • Cliquez sur Suivant >.
  • Entrez un nom de confiance dans le champ Nom d’affichage. C’est à des fins internes, alors assurez-vous de donner un nom que vous pouvez facilement reconnaître. 
  • Cliquez sur Suivant >
  • Dans l’écran Configurer le certificat, laissez les paramètres par défaut tels quels, puis cliquez sur Suivant>.
  • Cochez la case Activer la prise en charge du protocole SAML 2.0 WebSSO, puis entrez les informations suivantes dans le champ URL du service d’authentification unique SAML 2.0 du correspondant: https://api.hubspot.com/login-api/v1/saml/acs?portal=[yourHubID]. Vous devez ajouter votre identifiant Hub après « portal = » dans l’URL. adfs-configure-url-step
  • Cliquez sur Suivant >
  • Dans le champ Identifiant de la confiance du correspondant :
    • Entrez https://api.hubspot.com/login-api/v1/saml/login/[yourHubID]. Vous devez ajouter votre ID Hub après la dernière « / ». Cliquez sur Ajouter.
    • Entrez https://api.hubspot.com, puis cliquez sur Ajouter
  • Cliquez sur Suivant >
  • Dans la fenêtre Choisir une politique de contrôle d’accès, sélectionnez Autoriser tout le monde, puis cliquez sur Suivant >
  • Vérifiez vos paramètres, puis cliquez sur Suivant >
  • Cliquez sur Fermer

Créez des règles de recours 

Avant de configurer votre règle de recours, assurez-vous que les adresses e-mail de vos utilisateurs correspondent à celles de leurs utilisateurs HubSpot. Vous pouvez utiliser d’autres identifiants, tels que le Nom d’utilisateur principal (UPN), si vos UPN se présentent sous la forme d’une adresse e-mail. Pour que l’authentification unique avec AD FS fonctionne, le nameID doit être sous la forme d’une adresse e-mail afin de correspondre à un utilisateur HubSpot. 

  • Dans la fenêtre Règle de recours, cliquez sur Ajouter une règle
  • Cliquez sur le menu déroulant Modèle de règle de recours, puis sélectionnez Envoyer les attributs LDAP en tant que revendications
  • Cliquez sur Suivant >
  • Sur l’écran Configurer une règle de recours :
    • Entrez un nom de règle dans le champ Nom de la règle de recours. 
    • Cliquez sur le menu déroulant Magasin d’attributs et sélectionnez Active Directory
    • Dans le tableau Mappage d’attributs LDAP, cartographiez les éléments suivants :
      • Dans la colonne Attribut LDAP, cliquez sur le menu déroulant et sélectionnez Adresses e-mail
      • Dans la colonne Type de recours sortant, cliquez sur le menu déroulant et sélectionnez Adresse e-mailadfs-claims-set-up
  • Cliquez sur Terminer

Ensuite, configurez la règle Transformer un recours entrant : 

  • Cliquez sur Ajouter une règle
  • Cliquez sur le menu déroulant Modèle de règle de recours, puis sélectionnez Transformer un recours entrant
  • Cliquez sur Suivant >
  • Sur l’écran Configurer une règle de recours :
    • Saisissez le nom d’une règle de recours
    • Cliquez sur le menu déroulant Type de recours entrant et sélectionnez Adresse e-mail
    • Cliquez sur le menu déroulant Type de recours sortant et sélectionnez ID du nom
    • Cliquez sur le menu déroulant Format de nom sortant et sélectionnez E-mail.  
    • Cliquez sur Terminer pour ajouter la nouvelle règle. 
  • Cliquez sur OK pour ajouter les deux nouvelles règles. 

Ajustez les paramètres de confiance

Dans le dossierReplying Party Trusts, sélectionnez Propriétés dans le menu de la barre latérale Actions . Cliquez sur l’onglet Avancé et assurez-vous que SHA-256 est spécifié comme algorithme de hachage sécurisé. Bien que SHA-256 et SHA-1 soient tous deux pris en charge, SHA-256 est recommandé. 

Localisez votre certificat PEM au format x509 et complétez votre configuration dans HubSpot

Pour accéder à votre format PEM x509 :

  • Dans la fenêtre de gestion AD FS, sélectionnez Certificats dans le menu latéral de gauche. 
  • Localisez le certificat de signature de jeton. Faites un clic droit et sélectionnez Afficher le certificatadfs-locate-certificate
  • Dans la boîte de dialogue, cliquez sur Détails 
  • Cliquez sur Copier vers le fichier
  • Dans la fenêtre Exporter le certificat qui s’ouvre, cliquez sur Suivant
  • Sélectionnez le bouton X.509 (.CER) codé en Base 64, puis cliquez sur Suivant
  • Donnez un nom à votre fichier, puis cliquez sur Suivant
  • Cliquez sur Terminer pour terminer l’exportation. 
  • Localisez le fichier que vous venez d’exporter et ouvrez-le à l’aide d’un éditeur de texte, tel que le Bloc-notes. 
  • Copiez le contenu du fichier. 
  • Connectez-vous à votre compte HubSpot. 
  • Depuis votre compte HubSpot, accédez à l'icône Paramètres settings dans l'angle supérieur droit.
  • Dans la section Authentification unique (SSO) de l’écran Comptes par défaut, cliquez sur Configurer.
  • Dans le panneau coulissant Configurer la connexion unique, collez le contenu du fichier dans le champ Certificat X.509. 
  • Retournez à votre gestionnaire AD FS. 
  • Dans le menu latéral de gauche, sélectionnez le dossier Points de terminaison. 
  • Recherchez l’URL du point de terminaison du service SSO et de l’entité. L’URL du service SSO se termine généralement par «adfs / services / ls» et l’URL de l’entité se termine par «adfs / services / trust».
  • Ajoutez l’URL de l’entité au champ Identifiant ou émetteur du fournisseur d’identité dans HubSpot. Ajouter l’URL du service SSO dans le champ URL du fournisseur de l’identité. 
  • Cliquez sur Vérifiersingle-sign-on-add-endpoints-from-provider

Remarque : si vous recevez une erreur lors de la configuration de la connexion unique dans HubSpot, commencez par consulter les journaux de l’observateur d’événements sur votre appareil pour le message d’erreur. Si vous ne parvenez pas à résoudre le message d’erreur, contactez le support HubSpot