Opzetten van single sign-on (SSO) met behulp van Active Directory Federation Services (AD FS)
Laatst bijgewerkt: juni 28, 2023
Beschikbaar met elk van de volgende abonnementen, behalve waar vermeld:
|
|
|
Als u een HubSpotEnterpriseaccount heeft, kunt u single sign-on instellen met behulp van Active Directory Federation Services (AD FS).
Om AD FS te gebruiken om in te loggen op uw HubSpot account, moet u aan de volgende eisen voldoen:
- Alle gebruikers in uw Active Directory-instantie moeten een e-mailadresattribuut hebben.
- U gebruikt een HubSpot Enterprise account.
- U hebt een server met Windows Server 2008, 2012 of 2019.
Let op:tzijn instellingsproces moet worden gedaan door een IT-beheerder met ervaring met het maken van applicaties in uw identity provider-account. Meer informatie overhet instellen van SSO met HubSpot.
Voor u begint
Voordat u begint, noteert u de volgende twee waarden van uw HubSpot-account om SSO in te stellen met Microsoft AD FS:
- Log in op je HubSpot account.
- Klik in je HubSpot account op het settings instellingen-pictogram in de hoofdnavigatiebalk.
- Klik in de linker zijbalk opAccount Defaults.
- Klik op het tabbladBeveiliging.
- Klik opSingle sign-on instellen.
- In het schuifpaneel Eenmaligeaanmelding instellen, klik opMicrosoft AD FS.
- Noteer zowel deAudience URI (Service Provider Entity ID)als deSign on URL, ACS, Recipient, or Redirect-waarden, omdat u deze tijdens het installatieproces aan Microsoft AD FS moet toevoegen.
1.Voeg een Relying Party Trust (RPT) toe
Open uw Active Directory Federation Services (AD FS) manager:
- Open in uwAD FS-managerde mapRelying Party Trusts (RPT).
- Selecteer in het rechter menuAdd Relying Party Trust....
- In het dialoogvensterAdd Relying Party Trust Wizardklikt u opStartom een nieuwe RPT toe te voegen.
- Selecteer in het schermGegevensbron selecterende optieGegevens over de vertrouwende partij handmatig invoeren.
- Klik opVolgende >.
- Voer in het veld Displayname (Weergavenaam) een naam in voor uw trust - dit is voor interne doeleinden, dus zorg ervoor dat u het iets noemt dat u gemakkelijk kunt herkennen.
- Klik opVolgende >.
- In het schermConfigure Certificate (Certificaat configureren) laat u de standaardinstellingen zoals ze zijn en klikt u op Next (Volgende).
- Vink het vakjeEnable Support for the SAML 2.0 WebSSO protocolaan. In hetRelying party SAML 2.0 SSO service URL veld, vul deSign on URL, ACS, Recipient of Redirect URL in van uw HubSpot account.

- Klik opVolgende >.
- In het Relyingparty trust identifierveld:
- Voer deAudience URI (Service Provider Entity ID) waarde in vanuit uw HubSpot account.
- Voer https://api.hubspot.com in en klik vervolgens opToevoegen.
- Klik opVolgende >.
- In het vensterKies een toegangscontrolebeleid, selecteerIedereen toestaan, klik dan opVolgende >.
- Controleer uw instellingen, klik dan opVolgende >.
- Klik opSluiten.
2. Claimsregels maken
Voordat u uw claimregel instelt, moet u ervoor zorgen dat de e-mailadressen van uw gebruikers overeenkomen met de e-mailadressen van hun HubSpot-gebruikers. U kunt andere identifiers gebruiken, zoals de User Principal Name (UPN), als uw UPN's in de vorm van een e-mailadres zijn. Om single sign-on met AD FS te laten werken, moet de nameID in de vorm van een e-mailadres zijn om te matchen met een HubSpot gebruiker.
- In het Claims Rulevenster, klik opAdd Rule.
- Klik op het Claim rule templatedropdown menu en selecteer Send LDAP Attributes as Claims.
- Klik opVolgende >.
- In het schermClaimregel configureren:
- Voer in het veld Claim rule nameeen regelnaam in.
- Klik op het vervolgkeuzemenuAttribute storeen selecteerActive Directory.
- In de tabel Mapping of LDAP attributes, mapt u het volgende:
- Klik in de kolom LDAP Attributeop hetvervolgkeuzemenuen selecteerEmail Addresses.
- Klik in de kolom Outgoing ClaimType (Uitgaand claimtype) op hetvervolgkeuzemenu en selecteerEmail Address(E-mailadres).
- Klik opVoltooien.
Stel vervolgens de regel voor het transformeren van een inkomende claim in:
- Klik opRegel toevoegen.
- Klik op het vervolgkeuzemenuClaim rule template en selecteer Transforman Incoming Claim.
- Klik opVolgende >.
- In het scherm Regel voorclaimsconfigureren:
- Voer een naam voor de declaratieregel in.
- Klik op het vervolgkeuzemenuType inkomendedeclaratie en selecteerE-mailadres.
- Klik op het vervolgkeuzemenu Type uitgaandedeclaratieen selecteerNaam-ID.
- Klik op het vervolgkeuzemenuIndeling uitgaande naam-IDen selecteerE-mail.
- Klik opVoltooienom de nieuwe regel toe te voegen.
- Klik opOKom beide nieuwe regels toe te voegen.
3. Pas de vertrouwensinstellingen aan
In de map Replying Party Trusts selecteert u Properties ( Eigenschappen) in de zijbalkActions (Acties). Klik op het tabbladGeavanceerden zorg ervoor datSHA-256is gespecificeerd als het veilige hash-algoritme. Hoewel zowel SHA-256 als SHA-1 worden ondersteund, wordt SHA-256 aanbevolen.
4. Zoek uw PEM formaat x509 certificaat
Om toegang te krijgen tot uw PEM format x509 certificaat:
- Navigeer naar hetAD FSbeheervenster. Navigeer in het linker zijbalkmenu naar Services>Certificates.
- Zoek hetToken signingcertificaat. Klik met de rechtermuisknop op het certificaat en selecteerView Certificate.
- Klik in het dialoogvenster op het tabbladDetails.
- Klik op Kopieernaar bestand.
- In het vensterCertificaat exporterendat wordt geopend, klikt u opVolgende.
- SelecteerBase-64 encoded X.509 (.CER) en klik opNext.
- Geef uw bestandsexport een naam, klik dan opNext.
- Klik opFinishom het exporteren af te ronden.
- Zoek het bestand dat u zojuist hebt geëxporteerd en open het met een tekstverwerker, zoals Kladblok.
- Kopieer de inhoud van het bestand.
5. Voltooi uw set-up in HubSpot
- Log in op je HubSpot account.
- Klik in je HubSpot account op het settings instellingen-pictogram in de hoofdnavigatiebalk.
- Klik in de linker zijbalk opAccount Defaults.
- Klik op het tabbladBeveiliging.
- Klik opSingle Sign-on instellen.
- In het schuifpaneel Eenmaligeaanmelding instellen, klik opMicrosoft AD FS.
- Plak de inhoud van het bestand in hetveld X.509-certificaat.
- Ga terug naar uw AD FS-beheerder.
- Selecteer in het linker zijbalkmenu de mapEndpoints.
- Zoek naar SSO service endpoint en de entiteit URL. De SSO service URL eindigt meestal op "adfs/services/ls" en de entiteit URL eindigt op "adfs/services/trust".
- Keer terug naar HubSpot. In hetIdentity provider Identifier or Issuerveld, vul de entiteit URL in.
- In hetIdentity Provider Single Sign-On URLveld, voer de SSO service URL in.
- Klik opVerifiëren.
Let op: als u een foutmelding krijgt bij het configureren van single sign-on in HubSpot, controleer dan de logboeken van uw event viewer op uw apparaat voor de foutmelding. Als u de foutmelding niet kunt oplossen, neem dan contact op met HubSpot Support.