Configurer l'authentification unique (SSO) pour accéder au contenu privé
Dernière mise à jour: septembre 13, 2023
Disponible avec le ou les abonnements suivants, sauf mention contraire :
|
|
L'authentification unique (SSO) est un moyen de se connecter à différentes applications en toute sécurité à l'aide d'un seul nom d'utilisateur et d'un seul mot de passe.
Avec le SSO pour le contenu privé, votre administrateur informatique peut configurer une application HubSpot dans votre compte de fournisseur d'identité, tel que Google ou Okta. Les membres de votre organisation ayant accès à l'application HubSpot dans votre compte de fournisseur d'identité peuvent se connecter avec SSO pour voir le contenu privé.
Vous pouvez également affiner les personnes ayant accès au contenu spécifique en fonction de leur appartenance à une liste dans votre compte HubSpot. Pour accéder au contenu en fonction de l'appartenance à une liste, ces membres de votre équipe doivent disposer de fiches d'informations de contact dans votre compte HubSpot.
L'authentification unique pour le contenu privé est disponible pour les abonnements suivants :
- Marketing Hub et CMS Hub Les comptesEntreprise peuvent configurer le SSO pour les blogs, les pages de destination et les pages du site web.
- Service Hub Les comptes Pro et Entreprise peuvent configurer le SSO pour les articles de la base de connaissances et les portails clients.
Avant de commencer
- Ce processus de configuration doit être effectué par un administrateur informatique ayant l'expérience de la création d'applications dans votre compte de fournisseur d'identité et l'autorisation de modifier les paramètres du site Web dans HubSpot.
- L'authentification unique peut être configurée pour un sous-domaine hébergé sur HubSpot par le compte de fournisseur d'identité. Pour de meilleurs résultats, il est recommandé de consacrer exclusivement un sous-domaine à l'authentification unique.
- Les e-mails de notification et les pages de connexion pour le contenu privé nécessitant une authentification unique seront traités par votre compte de fournisseur d'identité, plutôt que par vos paramètres de contenu privé dans HubSpot.
- Le contenu privé qui nécessite un SSO ne sera pas exploré par les moteurs de recherche et ne pourra être consulté que par les contacts qui y ont accès et qui sont connectés.
- Tous les éléments de la page, tels que les images et les formulaires, ne nécessiteront qu'un accès SSO dans le cadre de la page. Si les URL des ressources elles-mêmes sont fournies séparément, elles ne nécessiteront pas de SSO pour y accéder. Pour en savoir plus sur , définissez la visibilité de l'URL pour les ressources dans l'outil de fichiers.
- Si vous activez le SSO pour un domaine qui nécessitait auparavant l'enregistrement d'un membre , le SSO utilisera vos listes de membres d'origine. Si vous désactivez à nouveau le SSO, le contenu nécessitera à nouveau l'inscription d'un membre pour les mêmes listes.
Configurer une authentification unique pour le contenu privé HubSpot dans votre compte de fournisseur d'identité
Pour configurer une authentification unique pour le contenu privé hébergé dans HubSpot, votre administrateur informatique créera une nouvelle application pour l'accès au contenu HubSpot. Pour terminer ce processus, votre administrateur informatique référencera les valeurs de vos paramètres de contenu privé dans HubSpot.
Remarque : si vous demandez le SSO pour un sous-domaine qui héberge déjà du contenu privé avec l'enregistrement des membres, ce contenu ne sera plus accessible aux contacts enregistrés.
Les étapes et les champs requis pour ajouter une nouvelle application dans votre fournisseur d'identité peuvent varier. Les instructions générales pour la configuration d'une authentification unique pour du contenu privé sont décrites ci-dessous.
Configurer le SSO pour une application basée sur SAML
Pour créer une nouvelle application SAML pour le contenu privé HubSpot dans votre compte de fournisseur d'identité :
- Connectez-vous à votre compte de fournisseur d'identité.
- Accédez à vos applications dans votre compte de fournisseur d'identité.
- Dans votre compte HubSpot, collectez les valeurs requises pour votre nouvelle application HubSpot :
- Depuis votre compte HubSpot, accédez à l'icône Paramètres settings dans la barre de navigation principale.
- Dans le menu latéral de gauche, accédez à Site web > Contenu privé.
- En haut de la page, cliquez sur le menu déroulant Sélectionner un domaine à modifier pour sélectionner un sous-domaine.
- Dans la section Authentification unique (SSO), cliquez sur Configurer.
- Dans le panneau de droite, cliquez sur le menu déroulant Format de jeton de sécurité et sélectionnez SAML.
- Copiez l'URL de l'audience et l'URL d'authentification.
- Dans votre compte de fournisseur d'identité :
- Collez les valeurs URL de l'audience et URL d'authentification copiées depuis HubSpot dans les champs correspondants.
-
- Copier les identifiants pour l'URL de l'émetteur, l'URL d'authentification unique et le certificat.
- Dans votre compte HubSpot :
- Collez les valeurs URL de l'émetteur, URL d'authentification unique et Certificat dans les champs correspondants dans le panneau Configurer l'authentification unique.
- Cliquez sur Vérifier.
Une fois le processus de vérification terminé, vous verrez une confirmation indiquant que l'authentification unique est activée pour votre domaine dans les paramètres de contenu privé.
Configurer le SSO pour une application basée sur les JWT
- Dans votre compte de fournisseur d'identité :
- Accédez à vos applications dans votre compte de fournisseur d'identité.
- Copiez les identifiants pour URL de connexion à distance et Clé secrète. Recherchez l'algorithme de connexion.
- Pour plus de sécurité, copiez Problème, Objet et Audience.
- Dans votre compte HubSpot, saisissez ces valeurs dans vos paramètres SSO :
- Depuis votre compte HubSpot, accédez à l'icône Paramètres settings dans la barre de navigation principale.
- Dans le menu latéral de gauche, accédez à Site web > Contenu privé.
- En haut de la page, cliquez sur le menu déroulant Sélectionner un domaine à modifier pour sélectionner un sous-domaine.
- Dans la section Authentification unique (SSO), cliquez sur Configurer.
- Dans le panneau de droite, cliquez sur le menu déroulant Format de jeton de sécurité et sélectionnez JWT.
- Collez l'URL de connexion à distance.
- Cliquez sur le menu déroulant Algorithme de connexion et sélectionnez la valeur dans votre compte de fournisseur d'identité.
- Collez la clé secrète. Si vous utilisez un algorithme de signature asymétrique avec des clés publiques et privées, la clé secrète sera la clé publique.
-
- Pour plus de sécurité, collez Problème, Objet et Audience.
- Cliquez sur Vérifier.
Une fenêtre s'ouvre sur l'URL de connexion à distance spécifiée dans les paramètres SSO. L'URL ouverte dans la fenêtre comprendra un paramètre de requête 'redirect_url'avec une valeur d'URL sur le domaine que vous configurez et le chemin '_hcms/mem/jwt/verify'.
Pour la vérification, une demande doit être adressée à l'URL spécifiée dans le paramètre "redirect_url" après que les informations d'identification ont été saisies dans l'"URL de connexion à distance". Cette demande doit inclure un paramètre de requête pris en charge dont la valeur doit être un JWT/hash qui, une fois décrypté, contient un champ "e-mail" dans sa charge utile avec une adresse e-mail valide. Les paramètres de requête pris en charge sont "jwt", "code", "id_token" et "access_token".
Le JWT/hash sera décrypté par HubSpot à l'aide de l'algorithme de signature et de la clé secrète fournis dans les paramètres SSO. L'envoi de cette demande ultérieure, effectuée après la saisie d'informations d'identification valides sur la page "Remote Login URL", doit être configuré dans le compte de votre fournisseur d'identité.
Une fois le processus de vérification terminé, vous verrez une confirmation indiquant que l'authentification unique est activée pour votre domaine dans les paramètres de contenu privé.
Une fois la vérification terminée, les visiteurs qui passent la vérification à l'"URL de connexion distante" doivent être envoyés à "_hcms/mem/jwt" avec deux paramètres d'interrogation :
- 'jwt', 'code', 'id_token' ou 'access_token' avec un hash qui, une fois décrypté, contient l'adresse e-mail du visiteur dans un champ e-mail.
- paramètre de requête "redirect_url" qui spécifie la page vers laquelle le visiteur doit être dirigé. Cette URL doit être la même que la valeur du paramètre de requête 'redirect_url'dans la requête envoyée à l'URL de connexion distante.
Dépanner les erreurs JWT courantes
Si vous avez des difficultés à mettre en place un SSO pour une application basée sur un JWT, il est recommandé de vérifier votre jeton web JSON à l'aide du débogueur de JWT.
Une fois que vous avez vérifié votre JWT, vous pouvez corriger les erreurs suivantes :
- NO_SETTINGS: la combinaison portail et domaine ne renvoie aucun paramètre JWT
- COULD_NOT_PARSE_HEADER: L'en-tête JWT doit être présent et encodé en base64
- WRONG_TYPE_IN_HEADER: L'en-tête du jeton JWT contient un champ "typ" qui n'est pas égal à "jwt".
- ALGORITHM_MISSING_IN_HEADER: L'en-tête du jeton JWT ne contient pas de champ "alg" pour l'algorithme
- NONE_ALGORITHM_PROVIDED: le champ "alg" est égal à "none", ce qui n'est pas sûr et n'est pas pris en charge
- TOKEN_VERIFICATION_FAILED : token may be empty, null, incorrect, or the query parameter is unsupported. Nous prenons en charge les paramètres de requête "jwt", "code", "id_token" et "access_token".
- MISSING_EMAIL_IN_TOKEN: le token décodé ne contient pas de champ e-mail ou celui-ci est nul ou vide
- INVALID_KEY: la clé secrète est manquante ou invalide
- INVALID_KEY_LENGTH: la longueur de la clé secrète ne correspond pas aux exigences de l'algorithme de signature sélectionné
- PRIVATE_KEY_PROVIDED: l'algorithme de signature sélectionné nécessite une clé publique comme clé secrète, mais une clé privée a été fournie
- INVALID_LOGIN_URL: l'URL de connexion à distance fournie n'est pas valide
- JTI_CLAIM_INVALID: les contrôles JWT ne peuvent pas être rejoués
Exiger l'authentification unique pour votre contenu
Il existe deux options pour exiger le contenu privé avec l'authentification unique :
- Privé – Authentification unique (SSO) requise : tous les membres de votre compte de fournisseur d'identité disposant d'un accès à l'application HubSpot peuvent se connecter via l'authentification unique pour afficher le contenu privé.
- Privé – Authentification unique (SSO) requise avec filtre de liste : les membres de votre compte de fournisseur d'identité et appartenant à une liste spécifique dans HubSpot peuvent se connecter via l'authentification unique pour afficher le contenu privé. Ces personnes doivent avoir accès à l'application HubSpot dans votre compte de fournisseur d'identité (comme Okta ou Google), mais n'ont pas besoin d'être des utilisateurs dans votre compte HubSpot.
Exiger l'authentification unique pour un blog
Vous pouvez exiger l'authentification unique pour les blogs hébergés sur le sous-domaine que vous avez connecté dans votre compte de fournisseur d'identité. L'activation de l'authentification unique pour un blog spécifique affectera tous les articles publiés sur ce blog. Il n'est pas possible d'exiger l'authentification unique pour un article de blog spécifique.
Remarque : si vous demandez le SSO pour un blog qui héberge déjà du contenu privé avec l'enregistrement des membres, ce blog ne sera plus accessible à ces contacts.
Pour configurer l'authentification unique pour un blog :
- Depuis votre compte HubSpot, accédez à l'icône Paramètres settings dans la barre de navigation principale.
- Dans le menu latéral de gauche, accédez à Site web> Blog.
- En haut à gauche, cliquez sur le menu déroulant Sélectionner un blog à modifier, puis sélectionnez un blog hébergé sur le sous-domaine que vous avez configuré avec votre fournisseur d'identité.
- Dans la section Contrôler l'accès à l'audience, configurez l'authentification unique :
- Sélectionnez Privé – Authentification unique (SSO) requise pour accorder l'accès aux membres de votre compte de fournisseur d'identité disposant d'un accès à l'application HubSpot.
- Sélectionnez Privé – Authentification unique (SSO) requise avec filtre de liste pour accorder l'accès aux membres de votre compte de fournisseur d'identité disposant d'un accès à l'application HubSpot et appartenant à une liste spécifique dans HubSpot. Puis, sélectionnez les listes pour lesquelles vous souhaitez accorder l'accès à ce contenu.
- Dans l'angle inférieur gauche, cliquez sur Enregistrer.
Exiger une authentification unique pour des pages de destination ou des pages de votre site web.
Vous pouvez exiger l'authentification unique pour des pages de destination ou des pages de site web hébergées sur le sous-domaine que vous avez connecté dans votre compte de fournisseur d'identité.
Remarque : si vous exigez le SSO pour une page de destination ou une page de site web qui est déjà définie comme contenu privé avec inscription des membres, cette page ne sera plus accessible à ces contacts.
Pour configurer le SSO pour des pages spécifiques :-
Accédez à votre contenu :
- Pages de site web : Depuis votre compte HubSpot, accédez à Marketing > Site web > Pages de site web.
- Pages de destination : Depuis votre compte HubSpot, accédez à Marketing > Pages de destination.
- Sélectionnez la case à cocher à côté des pages pour lesquelles vous souhaitez exiger l'authentification unique.
- En haut du tableau, cliquez sur le menu déroulant Plus et sélectionnez Contrôler l'accès du public.
- Dans le panneau de droite, configurez le SSO pour les pages que vous avez sélectionnées, puis cliquez sur Enregistrer:
- Sélectionnez Privé – Authentification unique (SSO) requise pour accorder l'accès aux membres de votre compte de fournisseur d'identité disposant d'un accès à l'application HubSpot.
- Sélectionnez Privé – Authentification unique (SSO) requise avec filtre de liste pour accorder l'accès aux membres de votre compte de fournisseur d'identité disposant d'un accès à l'application HubSpot et appartenant à une liste spécifique dans HubSpot. Puis, sélectionnez les listes spécifiques pour lesquelles vous souhaitez accorder l'accès à ce contenu.
- Vous pouvez également contrôler l'accès du public à une page spécifique dans l'onglet " Paramètres" de l'éditeur de contenu.
Exiger l'authentification unique pour des articles de base de connaissances
Vous pouvez activer l'authentification unique pour les articles de base de connaissances hébergés sur le sous-domaine que vous avez connecté dans votre compte de fournisseur d'identité. Il n'est actuellement pas possible d'exiger une authentification unique pour une base de connaissances complète.
Attention : si vous exigez le SSO pour un article de la base de connaissances qui est déjà configuré comme contenu privé avec enregistrement des membres, cet article ne sera plus accessible à ces contacts.
Pour activer l'authentification unique pour des articles de base de connaissances spécifiques :
- Depuis votre compte HubSpot, accédez à Service client > Base de connaissances.
- Cliquez sur l'onglet Articles.
- Sélectionnez la case à cocher à côté des articles pour lesquels vous souhaitez exiger l'authentification unique.
- En haut du tableau, cliquez sur Contrôler l'accès à l'audience.
- Dans le panneau de droite, configurez le SSO pour ces articles, puis cliquez sur Enregistrer:
- Sélectionnez Privé – Authentification unique (SSO) requise pour accorder l'accès aux membres de votre compte de fournisseur d'identité disposant d'un accès à l'application HubSpot.
- Sélectionnez Privé – Authentification unique (SSO) requise avec filtre de liste pour accorder l'accès aux membres de votre compte de fournisseur d'identité disposant d'un accès à l'application HubSpot et appartenant à une liste spécifique dans HubSpot. Puis, sélectionnez les listes spécifiques pour lesquelles vous souhaitez accorder l'accès à ce contenu.
Vous pouvez également contrôler l'accès de l'audience à un article spécifique dans l'onglet Paramètres de l'éditeur de l'article.
Désactiver l'authentification unique pour le contenu privé
La désactivation de l'authentification unique pour du contenu privé affectera votre contenu en fonction du paramètre que vous avez sélectionné.
- Le contenu défini sur Privé – Authentification unique (SSO) requise deviendra public.
- Le contenu défini sur Privé – Authentification unique (SSO) requise avec filtre de liste deviendra inaccessible.
Pour que votre contenu reste privé lorsque vous désactivez l'authentification unique, HubSpot recommande de modifier l'accès de l'audience pour votre contenu privé sur Privé – Authentification unique (SSO) requise avec filtre de liste. Vous pouvez ensuite modifier l'accès du public à ce contenu pour exiger l'enregistrement de l'adhésion à CMS à la place.
Désactiver l'authentification unique pour le contenu privé :
- Depuis votre compte HubSpot, accédez à l'icône Paramètres settings dans la barre de navigation principale.
- Dans le menu latéral de gauche, accédez à Site web > Contenu privé.
- En haut de vos paramètres, cliquez sur le menu déroulant Sélectionner un domaine à modifier et sélectionnez un domaine.
- Dans la section Authentification unique (SSO), cliquez sur Gérer l'authentification unique.
- En bas du panneau, désactivez le bouton Authentification unique activée.