Impostare il single sign-on (SSO)
Ultimo aggiornamento: dicembre 16, 2024
Disponibile con uno qualsiasi dei seguenti abbonamenti, tranne dove indicato:
Marketing Hub Enterprise |
Sales Hub Enterprise |
Service Hub Enterprise |
Operations Hub Enterprise |
Content Hub Enterprise |
Il Single Sign-On (SSO) consente di fornire ai membri del team un unico account per tutti i sistemi utilizzati dall'azienda.
Il Security Assertion Markup Language, o SAML, è uno standard aperto utilizzato per l'autenticazione. Basato sul formato Extensible Markup Language (XML), le applicazioni web utilizzano SAML per trasferire i dati di autenticazione tra due parti: il fornitore di identità (IdP) e il fornitore di servizi (SP).
È anche possibile impostare SSO e limitare i metodi di login che gli utenti possono utilizzare per accedere al vostro account attraverso la procedura guidata delle impostazioni di login. Se avete un account HubSpot Enterprise e avete impostato un SSO basato su SAML, potete richiedere agli utenti di accedere a HubSpot utilizzando le loro credenziali SSO.
Impostazione generale
- Accedere all'account del fornitore di identità.
- Andare alle applicazioni.
- Creare una nuova applicazione per HubSpot. Per ottenere l'URI del pubblico e l'URL di accesso, i valori ACS, Destinatario o Reindirizzamento :
- Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
- Nel menu della barra laterale sinistra, selezionare Sicurezza > Impostazioni e attività.
-
- In Accesso, fare clic su Imposta accesso singolo. Nel pannello di destra:
- Il caricamento XML è disponibile per tutte le impostazioni SSO. Trascinare e rilasciare o fare clic su Scegli un file per caricare i metadati della federazione. Quindi, fare clic su Verifica.
- Se si desidera inserire manualmente i dati dal provider di identità, nella scheda Tutti gli altri provider di identità , fare clic su Copia accanto ai valori necessari. Incollare quindi i valori del provider di identità. Fare clic su Verifica.
- Se si utilizza Microsoft AD FS, nella scheda Microsoft AD FS fare clic su Copia accanto ai valori necessari. Incollare quindi i valori del provider di identità. Fare clic su Verifica.
- In Accesso, fare clic su Imposta accesso singolo. Nel pannello di destra:
Nota bene: se si utilizza Microsoft Entra (ex Azure), utilizzare la scheda Tutti gli altri provider di identità per impostare l'SSO.
Se si utilizzano i servizi federativi di Active Directory, per saperne di più sull'impostazione del single sign-on con AD FS.
Richiedere SSO per tutti gli utenti
Dopo aver impostato l'SSO, è possibile richiedere a tutti gli utenti di utilizzare l'SSO per accedere a HubSpot.
Nota bene: a partire dal 31 luglio 2024, questa impostazione sarà attivata per impostazione predefinita.
- Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
- Nel menu della barra laterale sinistra, fare clic su Sicurezza > Impostazioni e attività.
- In Accesso, selezionare la casella di controllo Richiedi accesso singolo .
Escludere utenti specifici dall'obbligo di SSO
Dopo aver impostato l'SSO, è possibile escludere determinati utenti dal requisito SSO per consentire loro di accedere anche con il proprio account utente HubSpot.
- Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
- Nel menu della barra laterale sinistra, fare clic su Sicurezza > Impostazioni e attività.
- In Accesso, fare clic su Gestisci utenti esclusi.
- Nella finestra di dialogo, fare clic sul menu a discesa Scegli gli utenti e selezionare gli utenti che potranno accedere con i loro account HubSpot. Ad esempio, è possibile selezionare i partner e gli appaltatori se non dispongono di un login SSO.
- Fare clic su Salva.
Nota bene: l'utente che seleziona la casella di controllo Richiedi accesso singolo verrà automaticamente aggiunto agli utenti esclusi. Si consiglia di escludere almeno un utente con permessi di Super amministratore. Nell'evento in cui il provider di identità è fuori servizio, può accedere e deselezionare la casella di controllo Require Single Sign-on per consentire a tutti gli utenti di accedere con i loro account HubSpot.
Istruzioni per specifici fornitori di identità
Okta
Attenzione: è necessario un accesso amministrativo alla propria istanza Okta. Questo processo è accessibile solo nell'interfaccia classica di Okta.
- Accedere a Okta. Assicuratevi di essere nell'istanza amministrativa del vostro account di sviluppatore Okta.
- Fare clic su Applicazioni nella barra di navigazione superiore.
- Fare clic su Aggiungi applicazione.
- Cercare HubSpot SAML, quindi fare clic su Aggiungi.
- Nella schermata Impostazioni generali , fare clic su Fine.
- Nella pagina dei dettagli dell'applicazione, fare clic sulla scheda Sign On.
- Sotto il messaggio "SAML 2.0 non è configurato finché non si completano le istruzioni di configurazione", fare clic su Visualizza istruzioni di configurazione. Si aprirà una nuova scheda. Tenetela aperta, quinditornate alla scheda originale di Okta.
- Nella stessa scheda, scorrere fino a Impostazioni avanzate di accesso e aggiungere il proprio Id Hub nel campo Portale ID. Scoprite come accedere al vostro ID Hub.
- Passare alle impostazioni degli utenti. Assegnate la nuova app a tutti gli utenti che fanno parte dell'account HubSpot, compresi voi stessi.
- Tornare alla scheda Visualizza istruzioni di configurazione . Copiare tutti gli URL e il certificato e incollarli in HubSpot nel campo Identity Provider Identifier o Issuer URL, nel campo Identity Provider Single Sign-On URL e nel campo X.509 Certificate .
- Fare clic su Verifica. Verrà richiesto di accedere con il proprio account Okta per completare la configurazione e salvare le impostazioni.
Una volta verificata la configurazione del SSO, andate su https://app.hubspot.com/login/sso e inserite il vostro indirizzo e-mail. HubSpot cercherà la configurazione single sign-on del portale e vi invierà al vostro identity provider per effettuare l'accesso. Il pulsante Accedi con SSO è visibile anche quando si visita un link diretto al proprio account.
OneLogin
Nota bene: per creare una nuova applicazione SAML 2.0 in OneLogin è necessario disporre di un accesso amministrativo nell'istanza OneLogin, come richiesto.
-
Accedere a OneLogin.
-
Andare su Applicazioni.
-
Cercare HubSpot.
-
Fare clic sull'applicazione con la dicitura "SAML2.0".
-
In alto a destra, fare clic su Salva.
-
Fare clic sulla scheda Configurazione.
-
Nel campo HubSpot Account ID, aggiungere l'ID Hub. Per sapere come accedere all'ID Hub.
- Fare clic sulla scheda SSO .
- Copiare i seguenti campi da OneLogin e incollarli nei campi corrispondenti del pannello di configurazione SSO di HubSpot:
- Copiare il valore in Issuer URL e incollarlo in Identity Provider Identifier o Issuer URL.
- Copiare il valore in SAML 2.0 Endpoint (HTTP) e incollarlo in Identity Provider Single Sign-on URL.
- Sotto Certificato X.509, fare clic su Visualizza dettagli, quindi copiare il certificato e incollarlo in Certificato X.509.
-
In alto a destra dell'account OneLogin, fare clic su Salva.
Una volta verificata l'impostazione del SSO, visitate il sito https://app.hubspot.com/login/sso e inserite il vostro indirizzo e-mail. HubSpot cercherà la configurazione single sign-on del portale e vi invierà al vostro identity provider per l'accesso. Il pulsante Accedi con SSO è visibile anche quando si visita un link diretto al proprio account.
Microsoft Entra ID
Per gli utenti di Microsoft Entra ID (ex Azure Active Directory), rata l'app HubSpot nell'App Marketplace di Microsoft Azure e seguite le istruzioni di Microsoft per impostare l'integrazione. In questo modo sarà possibile utilizzare Microsoft Entra ID per gestire l'accesso degli utenti e attivare il single sign-on con HubSpot.
Una volta verificata l'impostazione di HubSpot, visitate il sito https://app.hubspot.com/login/sso e inserite il vostro indirizzo e-mail. HubSpot cercherà la configurazione single sign-on del portale HubSpot e vi invierà al vostro provider SSO per effettuare l'accesso. Il pulsante Accedi con SSO è visibile anche quando si visita un link diretto al proprio account.
Consultate le istruzioni di Google su come impostare HubSpot single sign-on con G-Suite come identity provider.
Una volta verificata la configurazione SSO, andate su https://app.hubspot.com/login/sso e inserite il vostro indirizzo e-mail. HubSpot cercherà la configurazione del single sign-on del portale e vi invierà al vostro provider SSO per effettuare l'accesso. Il pulsante Accedi con SSO è visibile anche quando si visita un link diretto al proprio account.
Domande frequenti
Quale binding utilizza HubSpot come fornitore di servizi SAML?
HubSpot utilizza HTTP Post.
Sto utilizzando Active Directory Federation Services. Cosa devo usare come relying party trust (RPT)?
Quale formato di nome utente devo impostare nella mia applicazione SAML?
Gli utenti HubSpot sono identificati dall'indirizzo e-mail. Assicuratevi che il vostro IDP invii un nameID in formato e-mail che corrisponda all'indirizzo e-mail dell'utente HubSpot.
Quale algoritmo di firma supporta HubSpot?
Attenzione: dopo il 31 marzo 2023, HubSpot smetterà di supportare SHA-1 per le nuove connessioni SSO. Le connessioni SSO esistenti che utilizzano SHA-1 possono ancora funzionare fino a quando HubSpot smetterà di supportare SHA-1 per tutte le connessioni SSO il 30 giugno 2023. Se si utilizza SHA-1, è necessario migrare a SHA-256 entro il 30 giugno 2023.
HubSpot supporta solo SHA-256 come algoritmo di firma. È necessario firmare le richieste con SHA-256.
In quale formato devo fornire il mio certificato x509?
HubSpot richiede un certificato x509 in formato PEM. Dovete copiare il contenuto del file PEM nel campo del certificato x509 di HubSpot. Il valore deve includere anche i campi -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
Posso attivare contemporaneamente l'autenticazione a due fattori, l'autenticazione a due fattori obbligatoria, l'SSO e l'SSO obbligatorio?
Sì, è possibile. Quando l'autenticazione a due fattori è attivata, è attiva in qualsiasi accesso con il nome utente e la password di HubSpot. L'attivazione della 2FA in HubSpot non impedisce l'accesso tramite la 2FA o l'SSO di Google. Pertanto, se gli utenti sono esclusi dal requisito SSO, è possibile richiedere il 2FA di HubSpot per garantire che qualsiasi login che aggiri il SSO passi attraverso il 2FA o Google.
Se attivate il 2FA per il vostro account Google, questo è separato dalla configurazione di HubSpot. Tuttavia, quando accedete a HubSpot con il vostro account Google, il 2FA di Google proteggerà il vostro account HubSpot.
Se l'autenticazione a due fattori e l'SSO sono richiesti o abilitati contemporaneamente nel vostro account, si verificherà quanto segue:
- Se è richiesto l'accesso al proprio account con SSO, il 2FA per HubSpot non verrà richiesto.
- Se l'account richiede l'SSO, ma si è esclusi, è possibile accedere con 2FA o con le opzioni Accedi con Google o Accedi con Microsoft.
- Se è richiesto l'accesso con 2FA e non è stato impostato alcun SSO, è possibile accedere con 2FA o con le opzioni Accedi con Google o Accedi con Microsoft .
- Se l'account non ha requisiti ma ha attivato l'SSO, è possibile accedere con qualsiasi metodo, compreso l'SSO.