Autenticazione singola (SSO) tramite Active Directory Federation Services (AD FS)

Se si dispone di un account HubSpot Professional o Enterprise , è possibile impostare l'autenticazione singola utilizzando Active Directory Federation Services (AD FS).

Per utilizzare AD FS per accedere al proprio account HubSpot, è necessario soddisfare i seguenti requisiti:

• Tutti gli utenti della vostra istanza di Active Directory devono avere un attributo di indirizzo e-mail.
• Si utilizza un account HubSpot Professional o Enterprise.
• Si dispone di un server con Windows Server 2008, 2012 o 2019.

Nota bene: questo processo di configurazione deve essere eseguito da un amministratore IT con esperienza nella creazione di applicazioni nel proprio account di identity provider. Per saperne di più sull'impostazione dell'Autenticazione singola con HubSpot.

Prima di iniziare

Prima di iniziare, prendete nota dei due valori seguenti del vostro account HubSpot per impostare l'Autenticazione singola utilizzando Microsoft AD FS:

1. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
2. Nella barra laterale sinistra, fare clic su Sicurezza.
3. Nella scheda Accesso, nella sezione Imposta autenticazione singola (SSO), fare clic su Imposta.
4. Nel pannello a scorrimento di Autenticazione singola , fare clic sulla scheda Microsoft AD FS .
5. Prendere nota dei valori URI del Pubblico (ID Entità del Service Provider) e URL di accesso, ACS, Destinatario o Reindirizzamento, poiché sarà necessario aggiungerli a Microsoft AD FS durante il processo di configurazione.

1.Aggiungere un Relying Party Trust (RPT)

Aprire il gestore di Active Directory Federation Services (AD FS):

1. Nella gestione di AD FS , aprire la cartella Relying Party Trusts (RPT) .
2. Nel menu della barra laterale destra, selezionare Add Relying Party Trust....
3. Nella finestra di dialogo Add Relying Party Trust Wizard , fare clic su Start per aggiungere una nuova RPT.
4. Nella schermata Seleziona origine dati , selezionare Inserisci manualmente i dati della parte facente affidamento.
5. Fare clic su Avanti >.
6. Nel campo Nome visualizzato , inserite un nome per il vostro trust; si tratta di un nome per scopi interni, quindi assicuratevi che sia facilmente riconoscibile.
7. Fare clic su Avanti >.
8. Nella schermata Configura certificato , lasciare le impostazioni predefinite, quindi fare clic su Avanti >.
9. Selezionare la casella di controllo Abilita supporto per il protocollo SAML 2.0 WebSSO . Nel campo URL del servizio di Autenticazione singola SAML 2.0 , inserire l'URL di accesso, ACS, Destinatario o Reindirizzamento del proprio account HubSpot.

10. Fare clic su Avanti >.
11. Nel campo Identificatore di fiducia della parte fidata :

• • Inserite il valore dell'URI del Pubblico (Service Provider Entity ID) dal vostro account HubSpot.
  • Immettere https://api.hubspot.com, quindi fare clic su Aggiungi.

12. Fare clic su Avanti >.
13. Nella finestra Scegliere un criterio di controllo degli accessi , selezionare Consenti a tutti, quindi fare clic su Avanti >.
14. Recensire le impostazioni, quindi fare clic su Avanti >.
15. Chiudere.

2. Creare regole per le richieste di risarcimento

Prima di impostare la regola delle richieste, assicuratevi che gli indirizzi e-mail degli utenti corrispondano agli indirizzi e-mail degli utenti HubSpot. È possibile utilizzare altri identificatori, come l'User Principal Name (UPN), se gli UPN hanno la forma di un indirizzo e-mail. Affinché l'autenticazione singola con AD FS funzioni, il nameID deve avere la forma di un indirizzo e-mail per corrispondere a un utente HubSpot.

1. Nella finestra Regola dei reclami , fare clic su Aggiungi regola.
2. Fare clic sul menu a discesa Modello di regola di rivendicazione e selezionare Invia attribuzioni LDAP come rivendicazioni.
3. Fare clic su Avanti >.
4. Nella schermata Configura regola reclamo :

• • Nel campo Claim rule name , inserire un nome per la regola.
  • Fare clic sul menu a discesa Attribuzione e selezionare Active Directory.
  • Nella tabella Mappatura degli attributi LDAP , mappare quanto segue:
    • Nella colonna Attribuzione LDAP , fare clic sul menu a discesa e selezionare Indirizzi e-mail.
    • Nella colonna Tipo di richiesta in uscita , fare clic sul menu a discesa e selezionare Indirizzo e-mail.

5. Fare clic su Fine.

Quindi, impostare la regola Trasforma una richiesta di rimborso in entrata:

1. Fare clic su Aggiungi regola.
2. Fare clic sul menu a discesa Modello di regola per le richieste di indennizzo e selezionare Trasforma una richiesta di indennizzo in arrivo.
3. Fare clic su Avanti >.
4. Nella schermata Configura regola reclamo :

• • Immettere il nome di una regola di richiesta di rimborso.
  • Fare clic sul menu a discesa Tipo di richiesta in entrata e selezionare Indirizzo e-mail.
  • Fare clic sul menu a discesa Tipo di richiesta in uscita e selezionare Nome ID.
  • Fare clic sul menu a discesa Formato ID nome in uscita e selezionare E-mail.
  • Fare clic su Fine per aggiungere la nuova regola.

5. Fare clic su OK per aggiungere entrambe le nuove regole.

3. Regolare le impostazioni di fiducia

1. Nella cartella Replying Party Trusts, selezionare Proprietà dal menu laterale Azioni .
2. Fare clic sulla scheda Avanzate e assicurarsi che SHA-256 sia specificato come algoritmo di hash sicuro.

Sebbene siano supportati sia SHA-256 che SHA-1, si consiglia SHA-256.

4. Individuare il certificato x509 in formato PEM

Per accedere al certificato x509 in formato PEM:

1. Passare alla finestra di gestione di AD FS . Nel menu della barra laterale sinistra, spostarsi su Servizi > Certificati.
2. Individuare il certificato Token signing . Fare clic con il tasto destro del mouse sul certificato e selezionare Visualizza certificato.

3. Nella finestra di dialogo, fare clic sulla scheda Dettagli .
4. Fare clic su Copia su file.
5. Nella finestra di esportazione del certificato che si apre, fare clic su Avanti.
6. Selezionare X.509 codificato in base-64 (.CER), quindi fare clic su Avanti.
7. Assegnare un nome al file di esportazione, quindi fare clic su Avanti.
8. Fare clic su Fine per completare l'esportazione.
9. Individuare il file appena esportato e aprirlo con un editor di testo, ad esempio Notepad.
10. Copiare il contenuto del file.

5. Completare la configurazione in HubSpot

1. Accedere al proprio account HubSpot.
2. Nel tuo account HubSpot, fai clic sulle settings icona delle impostazioni nella barra di navigazione principale.
3. Nella barra laterale sinistra, fare clic su Sicurezza.
4. Nella scheda Accesso, nella sezione Imposta autenticazione singola (SSO), fare clic su Imposta.
5. Nel pannello a scorrimento di Autenticazione singola , fare clic sulla scheda Microsoft AD FS .
6. Incollare il contenuto del file nelcampo Certificato X.509 .
7. Tornare al gestore AD FS.
8. Nel menu della barra laterale sinistra, selezionare la cartella Endpoints .
9. Cercare l'endpoint del servizio di autenticazione singola e l'URL dell'entità. L'URL del servizio di Autenticazione singola di solito termina con "adfs/services/ls" e l'URL dell'entità con "adfs/services/trust".
10. Tornare a HubSpot. Nel campo Identificare o emittente del provider di identità , inserire l'URL dell'entità.
11. Nel campo Identity Provider Single Sign-On URL , inserire l'URL del servizio di autenticazione singola.
12. Fare clic su Verifica.

Nota bene: se si riceve un errore durante la configurazione dell'Autenticazione singola in HubSpot, controllare i log del visualizzatore di eventi sul dispositivo per trovare il messaggio di errore. Se non si riesce a risolvere il messaggio di errore, contattare il Contatto HubSpot.