HubSpot Kennisbank

Eenmalige aanmelding (SSO) instellen met Active Directory Federation Services (AD FS)

Geschreven door HubSpot Support | Feb 3, 2021 5:28:35 PM

Als je een HubSpot Professional of Enterprise account hebt, kun je single sign-on instellen met Active Directory Federation Services (AD FS).

Om AD FS te gebruiken om in te loggen op je HubSpot account, moet je aan de volgende eisen voldoen:

  • Alle gebruikers in je Active Directory-instantie moeten een e-mailadresattribuut hebben.
  • Je gebruikt een HubSpot Professional of Enterprise account.
  • Je hebt een server met Windows Server 2008, 2012 of 2019.

Let op: dit installatieproces moet worden uitgevoerd door een IT-beheerder met ervaring in het maken van applicaties in je identity provider account. Meer informatie over het instellen van SSO met HubSpot.

Voordat u begint

Noteer voordat je begint de volgende twee waarden van je HubSpot account om SSO in te stellen met Microsoft AD FS:

  1. Klik in de linker zijbalk op Beveiliging.
  2. Klik onder het tabblad Aanmelden in de sectie Eenmalige aanmelding (SSO) instellen op Instellen.
  3. Klik in het schuifpaneel Eenmalige aanmelding instellen op het tabblad Microsoft AD FS .
  4. Noteer de waarden Audience URI (Service Provider Entity ID) en Sign on URL, ACS, Recipient of Redirect, omdat u deze tijdens het installatieproces moet toevoegen aan Microsoft AD FS.

1.Een RPT (Relying Party Trust) toevoegen

Open de Active Directory Federation Services (AD FS) manager:

  1. Open in je AD FS manager de RPT-map (Relying Party Trusts) .
  2. Selecteer in het rechter zijbalkmenu Add Relying Party Trust....
  3. Klik in het dialoogvenster Add Relying Party Trust Wizard op Start om een nieuwe RPT toe te voegen.
  4. Selecteer in het scherm Gegevensbron selecteren de optie Gegevens over de betrouwbare partij handmatig invoeren.
  5. Klik op Volgende >.
  6. Voer in het veld Display name (Weergavenaam) een naam in voor uw trust - dit is voor interne doeleinden, dus zorg ervoor dat u het iets noemt dat u gemakkelijk kunt herkennen.
  7. Klik op Volgende >.
  8. In het scherm Configure Certificate laat u de standaardinstellingen zoals ze zijn en klikt u op Next >.
  9. Schakel het selectievakje Enable Support for the SAML 2.0 WebSSO protocol in . Voer in het veld Relying party SAML 2.0 SSO service URL de Sign on URL, ACS, Recipient of Redirect URL van je HubSpot-account in.


  1. Klik op Volgende >.
  2. In het veld Relying party trust identifier :
    • Voer de Audience URI-waarde (Service Provider Entity ID) van je HubSpot-account in.
    • Voer https://api.hubspot.com in en klik op Toevoegen.
  1. Klik op Volgende >.
  2. In het venster Kies een toegangscontrolebeleid selecteert u Iedereen toestaan en klikt u vervolgens op Volgende >.
  3. Controleer uw instellingen en klik op Volgende >.
  4. Klik op Sluiten.

2. Regels voor claims maken

Voordat je de claimregel instelt, moet je ervoor zorgen dat de e-mailadressen van je gebruikers overeenkomen met de HubSpot gebruikers e-mailadressen. Je kunt andere identifiers gebruiken, zoals de User Principal Name (UPN), als je UPN's in de vorm van een e-mailadres zijn. Om single sign-on met AD FS te laten werken, moet de nameID in de vorm van een e-mailadres zijn om overeen te komen met een HubSpot-gebruiker.

  1. Klik in het venster Claims Rule op Add Rule.
  2. Klik op het vervolgkeuzemenu Claims rule template en selecteer Send LDAP Attributes as Claims.
  3. Klik op Volgende >.
  4. Ga naar het scherm Claim Rule configureren :
    • Voer in het veld Claim rule name een regelnaam in.
    • Klik op het vervolgkeuzemenu Attribute store en selecteer Active Directory.
    • Breng in de tabel Mapping van LDAP-attributen het volgende in kaart:
      • Klik in de kolom LDAP-attribuut op het vervolgkeuzemenu en selecteer E-mailadressen.
      • Klik in de kolom Outgoing ClaimType op het vervolgkeuzemenu en selecteer Email Address (E-mailadres).
  1. Klik op Voltooien.

Stel vervolgens de regel Transformeer een inkomende claim in:

  1. Klik op Regel toevoegen.
  2. Klik op het vervolgkeuzemenu Claimregelsjabloon en selecteer Een inkomend schadegeval transformeren.
  3. Klik op Volgende >.
  4. Ga naar het scherm Claim Rule configureren :
    • Voer een naam in voor de claimregel.
    • Klik op het keuzemenu Type inkomende claim en selecteer E-mailadres.
    • Klik op het keuzemenu Type uitgaande claim en selecteer Naam-ID.
    • Klik op het keuzemenu Formaat uitgaande naam-ID en selecteer E-mail.
    • Klik op Voltooien om de nieuwe regel toe te voegen.
  1. Klik op OK om beide nieuwe regels toe te voegen.

3. De vertrouwensinstellingen aanpassen

  1. Selecteer Properties in de map Replying Party Trusts in het zijbalkmenu Actions .
  2. Klik op het tabblad Geavanceerd en zorg ervoor dat SHA-256 is opgegeven als het veilige hash-algoritme.

Hoewel zowel SHA-256 als SHA-1 worden ondersteund, wordt SHA-256 aanbevolen.

4. Zoek uw PEM-formaat x509-certificaat

Om toegang te krijgen tot uw PEM formaat x509 certificaat:

  1. Navigeer naar het AD FS-beheervenster . Navigeer in het menu aan de linkerkant naar Services > Certificates.
  2. Zoek het Token signing certificaat. Klik met de rechtermuisknop op het certificaat en selecteer Certificaat weergeven.

  1. Klik in het dialoogvenster op het tabblad Details .
  2. Klik op Kopieer naar bestand.
  3. In het venster Certificaat exporteren dat wordt geopend, klikt u op Volgende.
  4. Selecteer Base-64 gecodeerde X.509 (.CER) en klik op Volgende.
  5. Geef uw bestandsexport een naam en klik op Next.
  6. Klik op Finish om het exporteren te voltooien.
  7. Zoek het bestand dat u zojuist hebt geƫxporteerd en open het met een teksteditor, zoals Kladblok.
  8. Kopieer de inhoud van het bestand.

5. Voltooi je installatie in HubSpot

  1. Log in op je HubSpot account.
  2. Klik in de linker zijbalk op Beveiliging.
  3. Klik onder het tabblad Aanmelden in de sectie Eenmalige aanmelding (SSO) instellen op Instellen.
  4. Klik in het schuifpaneel Eenmalige aanmelding instellen op het tabblad Microsoft AD FS .
  5. Plak de inhoud van het bestand in hetveld X.509 Certificate .
  6. Ga terug naar uw AD FS manager.
  7. Selecteer in het linker zijbalkmenu de map Endpoints .
  8. Zoek naar SSO service endpoint en de URL van de entiteit. De SSO service URL eindigt meestal op "adfs/services/ls" en de entiteit URL eindigt op "adfs/services/trust".
  9. Keer terug naar HubSpot. Voer in het veld Identity provider Identifier of Issuer de URL van de entiteit in.
  10. Voer in het veld Identity Provider Single Sign-On URL de URL van de SSO-service in.
  11. Klik op Verifiƫren.

Let op: als je een foutmelding krijgt bij het configureren van single sign-on in HubSpot, controleer dan de logboeken van de gebeurtenisviewer op je apparaat voor de foutmelding. Als je de foutmelding niet kunt oplossen, neem dan contact op met HubSpot Support.

Volledig bericht weergeven