HubSpot Kennisbank

Eenmalige aanmelding (SSO) instellen

Geschreven door HubSpot Support | Oct 9, 2020 7:01:30 PM

Single sign-on (SSO) stelt je in staat om je teamleden één account te geven voor alle systemen die je bedrijf gebruikt. Security Assertion Markup Language, of SAML, is een open standaard die wordt gebruikt voor verificatie. Webapplicaties, gebaseerd op het Extensible Markup Language (XML) formaat, gebruiken SAML om authenticatiegegevens over te dragen tussen twee partijen: de Identity Provider (IdP) en de Service Provider (SP). Als je een HubSpot Enterprise account hebt en SAML-gebaseerde SSO hebt ingesteld, kun je gebruikers verplichten om in te loggen bij Hubspot met hun SSO-referenties.

Let op: dit installatieproces moet worden uitgevoerd door een IT-beheerder met ervaring in het maken van applicaties in je identity provider account. Alleen superbeheerders kunnen SSO instellen voor uw account.

Algemene instelling

  • Log in op je identity provider account.
  • Navigeer naar je applicaties.
  • Maak een nieuwe applicatie voor HubSpot. Om de Doelgroep URI en Aanmelden URL, ACS, Ontvanger of Redirect waarden te krijgen:
    • Selecteer in het linker zijbalkmenu Beveiliging > Instellingen & Activiteit.
    • Klik onder Login op Single Sign-on instellen. In het rechterpaneel:
      • XML upload is beschikbaar voor alle SSO set-ups. Sleep of klik op Kies een bestand om je federatiemetagegevens te uploaden. Klik vervolgens op Verifiëren.
      • Als u de gegevens van uw identity provider handmatig wilt invoeren, klikt u onder het tabblad All Other Identity Providers op Copy (Kopiëren) naast de waarden die nodig zijn. Plak vervolgens de waarden van uw identity provider hieronder. Klik op Verifiëren.
      • Als u Microsoft AD FS gebruikt, klikt u op het tabblad Microsoft AD FS op Kopiëren naast de gewenste waarden. Plak vervolgens de waarden van uw identity provider hieronder. Klik op Verifiëren.

Let op: Als je Microsoft Entra (voorheen Azure) gebruikt, gebruik dan het tabblad All Other Identity Providers om je SSO in te stellen.

De bovenstaande navigatie-instructies en veldnamen kunnen per identity provider verschillen. Hieronder vindt u meer specifieke instructies voor het instellen van applicaties bij veelgebruikte identity providers:

Als je Active Directory Federation Services gebruikt, lees dan meer over het instellen van eenmalige aanmelding met AD FS.

SSO verplichten voor alle gebruikers

Nadat je SSO hebt ingesteld, kun je alle gebruikers verplichten om SSO te gebruiken om in te loggen bij Hubspot.

Let op: vanaf 31 juli 2024 wordt deze instelling standaard ingeschakeld.

  • Klik in het linker zijbalkmenu op Beveiliging > Instellingen & Activiteit.
  • Schakel onder Aanmelden het selectievakje Eenmalige aanmelding vereisen in.

Specifieke gebruikers uitsluiten van SSO-vereiste

Na het instellen van SSO kun je specifieke gebruikers uitsluiten van de SSO-eis, zodat ze ook kunnen inloggen met hun HubSpot gebruikersaccount.

  • Klik in het linker zijbalkmenu op Beveiliging > Instellingen & Activiteit.
  • Klik onder Aanmelden op Uitgesloten gebruikers beheren.

  • Klik in het dialoogvenster op het vervolgkeuzemenu Kies gebruikers en selecteer de gebruikers die kunnen inloggen met hun HubSpot-accounts. Je kunt bijvoorbeeld partners en aannemers selecteren als zij geen SSO login hebben.
  • Klik op Opslaan.

Let op: de gebruiker die het selectievakje Eenmalige aanmelding vereisen inschakelt, wordt automatisch toegevoegd aan de uitgesloten gebruikers. Het wordt aanbevolen om ten minste één gebruiker met Superbeheerdersrechten uit te sluiten. In de gebeurtenis dat je identity provider down is, kunnen zij inloggen en het selectievakje Vereis Single Sign-on uitschakelen zodat alle gebruikers kunnen inloggen met hun Hubspot accounts.

Instructies voor specifieke identiteitsproviders

Okta

Let op: u hebt beheerstoegang nodig in uw Okta-instantie. Dit proces is alleen toegankelijk in de Classic UI in Okta.

  • Log in bij Okta. Zorg ervoor dat u zich in de administratieve instantie van uw Okta-ontwikkelaarsaccount bevindt.
  • Klik op Toepassingen in de bovenste navigatiebalk.
  • Klik op Toepassing toevoegen.
  • Zoek naar HubSpot SAML en klik op Toevoegen.
  • Klik in het scherm Algemene instellingen op Gereed.
  • Klik op de detailpagina van de toepassing op het tabblad Aanmelden.
  • Klik onder het bericht "SAML 2.0 is niet geconfigureerd totdat u de installatie-instructies hebt voltooid" op Installatie-instructies weergeven. Er wordt een nieuw tabblad geopend. Houd dit open enkeer terug naar het oorspronkelijke tabblad in Okta.
  • Blader in hetzelfde tabblad omlaag naar Geavanceerde aanmeldingsinstellingen en voeg uw Hub-ID toe in het veld Portaal-id. Leer hoe u toegang krijgt tot uw Hub-ID.
  • Navigeer naar uw gebruikersinstellingen. Wijs de nieuwe app toe aan gebruikers die ook in je HubSpot account staan, inclusief jezelf.
  • Ga terug naar het tabblad Installatie-instructies weergeven . Kopieer alle URL's en het certificaat en plak ze in Hubspot in het Identity Provider Identifier of Issuer URL veld, het Identity Provider Single Sign-On URL veld en het X.509 Certificate veld.
  • Klik op Verifiëren. U wordt gevraagd om in te loggen met uw Okta-account om de configuratie af te ronden en uw instellingen op te slaan.

Zodra je SSO-installatie is geverifieerd, ga je naar https://app.hubspot.com/login/sso en voer je je e-mailadres in. HubSpot zal de single sign-on configuratie van je portaal opzoeken en je naar je identiteitsprovider sturen om in te loggen. Je ziet ook een knop Aanmelden met SSO als je een directe link naar je account bezoekt.

OneLogin

Let op: je hebt administratieve toegang nodig in je OneLogin instance om een nieuwe SAML 2.0 applicatie te maken in OneLogin, zoals vereist.

  • Log in bij OneLogin.

  • Navigeer naar Apps.

  • Zoek naar HubSpot.

  • Klik op de app met de tekst "SAML2.0".

  • Klik rechtsboven op Opslaan.

  • Klik op het tabblad Configuratie.

  • Voeg je HubSpot-ID toe in het veld HubSpot Account ID. Leer hoe u toegang krijgt tot uw Hub-ID.

  • Klik op het tabblad SSO .
  • Kopieer de volgende velden van OneLogin en plak ze in de overeenkomstige velden van het SSO-instellingspaneel in Hubspot:
    • Kopieer de waarde onder Issuer URL en plak deze in Identity Provider Identifier of Issuer URL.
    • Kopieer de waarde onder SAML 2.0 Endpoint (HTTP) en plak deze in Identity Provider Single Sign-on URL.
    • Klik onder X.509-certificaat op Details weergeven, kopieer het certificaat en plak het in X.509-certificaat.

  • Klik rechtsboven in je OneLogin-account op Opslaan.

Zodra je SSO setup is geverifieerd, navigeer je naar https://app.hubspot.com/login/sso en voer je je e-mailadres in. HubSpot zal de single sign-on configuratie van je portaal opzoeken en je naar je identiteitsprovider sturen om in te loggen. Je ziet ook een knop Aanmelden met SSO wanneer je een directe link naar je account bezoekt.

Microsoft Entra ID

Voor gebruikers van Microsoft Entra ID (voorheen Azure Active Directory) installeer je de HubSpot app in de Microsoft Azure App-marktplaats en volg je de instructies van Microsoft om de integratie in te stellen. Hierdoor kun je Microsoft Entra ID gebruiken om gebruikerstoegang te beheren en single sign-on met HubSpot in te schakelen.

Zodra je SSO-installatie is geverifieerd, navigeer je naar https://app.hubspot.com/login/sso en voer je je e-mailadres in. HubSpot zoekt de single sign-on configuratie van je portaal op en stuurt je naar je SSO-provider om je aan te melden. Je ziet ook een knop Aanmelden met SSO wanneer je een directe link naar je account bezoekt.

Google

Bekijk de instructies van Google over hoe je HubSpot single sign-on kunt instellen met G-Suite als je identity provider.

Zodra je SSO-installatie is geverifieerd, ga je naar https://app.hubspot.com/login/sso en voer je je e-mailadres in. HubSpot zoekt de eenmalige aanmeldconfiguratie van je portaal op en stuurt je naar je SSO-provider om je aan te melden. Je ziet ook een knop Aanmelden met SSO als je een directe link naar je account bezoekt.

FAQs

Welke binding gebruikt HubSpot als SAML-serviceprovider?

HubSpot gebruikt HTTP Post.

Ik gebruik Active Directory Federation Services. Wat moet ik gebruiken als relying party trust (RPT)?

Meer informatie over het instellen van eenmalige aanmelding met ADFS.

Welk gebruikersnaamformaat moet ik instellen in mijn SAML-applicatie?

HubSpot gebruikers worden geïdentificeerd door middel van een e-mailadres. Zorg ervoor dat je IDP een nameID in e-mailformaat verzendt die overeenkomt met het e-mailadres van de HubSpot-gebruiker.

Welk ondertekeningsalgoritme ondersteunt HubSpot?

Let op: Na 31 maart 2023 stopt HubSpot met het ondersteunen van SHA-1 voor nieuwe SSO verbindingen. Bestaande SSO-verbindingen die SHA-1 gebruiken, kunnen nog steeds werken totdat HubSpot op 30 juni 2023 stopt met het ondersteunen van SHA-1 voor alle SSO-verbindingen. Als je SHA-1 gebruikt, moet je voor 30 juni 2023 migreren naar SHA-256.

HubSpot ondersteunt alleen SHA-256 als ondertekeningsalgoritmen. Je moet je aanvragen ondertekenen met SHA-256.

In welk formaat moet ik mijn x509-certificaat aanleveren?

HubSpot vereist een PEM formaat x509 certificaat. Je moet de tekstinhoud van het PEM-bestand kopiëren naar het x509-certificaatveld in HubSpot. De waarde moet ook -----BEGIN CERTIFICATE----- en -----END CERTIFICATE----- bevatten.

Kan ik tegelijkertijd tweefactorauthenticatie, vereiste tweefactorauthenticatie, SSO en vereiste SSO inschakelen?

Ja. Als je twee-factor authenticatie hebt ingeschakeld, is deze actief bij elke login met je HubSpot gebruikersnaam en wachtwoord. Het inschakelen van 2FA in HubSpot voorkomt niet dat je inlogt met Google's 2FA of SSO. Daarom kun je, als gebruikers zijn uitgesloten van de SSO-eis, HubSpot's 2FA nodig hebben om ervoor te zorgen dat alle aanmeldingen die SSO omzeilen via 2FA of Google gaan.

Als je 2FA inschakelt voor je Google account, staat dit los van je HubSpot setup. Echter, wanneer je inlogt bij HubSpot met je Google account, zal Google's 2FA je HubSpot account beschermen.

Als tweefactorauthenticatie en SSO tegelijkertijd zijn vereist of ingeschakeld in je account, gebeurt het volgende:

  • Als je verplicht bent om in te loggen op je account met SSO, wordt je 2FA voor HubSpot niet gevraagd.
  • Als je account SSO vereist, maar je bent uitgesloten, kun je inloggen met 2FA of met de opties Inloggen met Google of Inloggen met Microsoft.
  • Als je verplicht bent om in te loggen met 2FA en er is geen SSO ingesteld, dan kun je inloggen met 2FA of de Login met Google of Login met Microsoft opties.
  • Als je account geen vereisten heeft maar SSO is ingeschakeld, kun je inloggen met elke methode inclusief SSO.
Volledig bericht weergeven