Eenmalige aanmelding (SSO) instellen om toegang te krijgen tot privécontent

Single sign-on (SSO) is een manier om veilig in te loggen op verschillende applicaties met één gebruikersnaam en wachtwoord.

Met SSO voor privécontent kan je IT-beheerder een HubSpot-applicatie instellen in je identity provider account, zoals Google of Okta. Leden van je organisatie met toegang tot de HubSpot applicatie binnen je identity provider account kunnen inloggen met SSO om privécontent te bekijken.

Je kunt verder verfijnen welke individuen toegang hebben tot specifieke content op basis van hun lijstlidmaatschappen in je HubSpot account. Om toegang te krijgen tot content op basis van lijstlidmaatschap, moeten deze leden van je team contactrecords hebben in je HubSpot account.

SSO voor privécontent is beschikbaar voor de volgende abonnementen:

• Marketing Hub en CMS Hub Enterprise accounts kunnen SSO instellen voor blogs, landingspagina's en websitepagina's.
• Service Hub Professional en Enterprise accounts kunnen SSO instellen voor kennisbankartikelen en klantportalen.

Voordat u aan de slag gaat

• Dit installatieproces moet worden uitgevoerd door een IT-beheerder met ervaring met het maken van applicaties in je identity provider account en toestemming om website-instellingen in HubSpot te bewerken.
• SSO kan worden geconfigureerd voor één HubSpot gehost subdomein per identity provider account. Voor de beste resultaten is het aan te raden om één subdomein alleen voor SSO-lidmaatschap te gebruiken.
• Kennisgevingse-mails en aanmeldpagina's voor privécontent waarvoor SSO is vereist, worden afgehandeld door je identity provider-account, in plaats van je instellingen voor privécontent in HubSpot.
• Privécontent waarvoor SSO vereist is, wordt niet gecrawld door zoekmachines en kan alleen worden bekeken door contactpersonen die toegang hebben en zijn aangemeld.
• Alle paginabestanddelen zoals afbeeldingen en formulieren vereisen alleen SSO voor toegang als onderdeel van de pagina. Als de URL's naar de onderdelen zelf apart worden geleverd, hebben deze geen SSO nodig voor toegang. Lees meer over het instellen van URL zichtbaarheid voor assets in de bestanden tool.
• Als u SSO inschakelt voor een domein waarvoor voorheen ledenregistratie vereist was, gebruikt SSO uw oorspronkelijke ledenlijsten. Als je SSO weer uitschakelt, zal de inhoud weer ledenregistratie vereisen voor dezelfde lijsten.

SSO instellen voor HubSpot privécontent in je account voor identiteitsproviders

Om SSO in te stellen voor privécontent die wordt gehost in HubSpot, maakt je IT-beheerder een nieuwe toepassing voor toegang tot HubSpot-content. Om dit proces te voltooien, zal je IT-beheerder verwijzen naar waarden van je privécontentinstellingen in HubSpot.

Let op: als je SSO nodig hebt voor een subdomein dat al privécontent met ledenregistratie host, is die content niet langer toegankelijk voor geregistreerde contactpersonen.

De stappen en velden die nodig zijn om een nieuwe toepassing toe te voegen in je identity provider kunnen verschillen. Hieronder vindt u algemene instructies voor het instellen van SSO voor privécontent.

SSO instellen voor een SAML-gebaseerde toepassing

Om een nieuwe SAML-applicatie voor HubSpot private content te maken in je identity provider account:

• Log in op je identity provider account.
• Navigeer naar je applicaties binnen je identity provider account.
• Verzamel in je HubSpot-account de vereiste waarden voor je nieuwe HubSpot-applicatie:
  • Klik in je HubSpot account op het settings instellingen-pictogram in de hoofdnavigatiebalk.
  • Navigeer in het linker zijbalkmenu naar Website > Privé inhoud.
  • Klik boven aan de pagina op het vervolgkeuzemenu Kies een domein om te bewerken en selecteer een subdomein.
  • Klik in het gedeelte Single sign-on (SSO) op SSO instellen.
  • Klik in het rechterpaneel op het vervolgkeuzemenu Formaat beveiligingstoken en selecteer SAML.
  • Kopieer de URL Audience en de URL Aanmelden.

• In je identity provider account:
  • Plak de Audience URL en Sign on URL die je hebt gekopieerd van HubSpot in de bijbehorende velden.

• • Kopieer de identifiers voor deIssuer URL,Single Sign-on URL en het Certificaat.
• In je HubSpot-account:
  • Plak deIssuer URL,Single Sign-on URL, en Certificaat waarden in de overeenkomstige velden in het Set up Single Sign-on paneel.
  • Klik op Verifiëren.

Zodra het verificatieproces is voltooid, ziet u een bevestiging dat Single Sign-on is ingeschakeld voor uw domein in uw privé-inhoudsinstellingen.

SSO instellen voor een JWT-gebaseerde toepassing

• In uw identity provider-account:
  
  • Navigeer naar je applicaties binnen je identity provider account.
  • Kopieer de identifiers voor Remote Login URL en Secret Key. Zoek het ondertekeningsalgoritme.
  • Kopieer voor extra beveiliging de Issue, Subject en Audience.
• Voer deze waarden in je HubSpot-account in je SSO-instellingen in:
  
  • Klik in je HubSpot account op het settings instellingen-pictogram in de hoofdnavigatiebalk.
  • Navigeer in het linker zijbalkmenu naar Website > Privé inhoud.
  • Klik boven aan de pagina op het vervolgkeuzemenu Kies een domein om te bewerken en selecteer een subdomein.
  • Klik in het gedeelte Single sign-on (SSO) op SSO instellen.
  • Klik in het rechterpaneel op het vervolgkeuzemenu Formaat beveiligingstoken en selecteer JWT.
  • Plak de URL voor Remote Login
  • Klik op het ondertekeningsalgoritme dropdown menu en selecteer de waarde in je identity provider account.
  • Plak de geheime sleutel. Als je een asymmetrisch ondertekenalgoritme gebruikt met zowel een openbare als een privésleutel, is de geheime sleutel de openbare sleutel.

• • Plak voor extra beveiliging de Issue, Subject en Audience.
  • Klik op Verifiëren.

Er wordt een venster geopend met de 'URL voor inloggen op afstand' die is opgegeven in de SSO-instellingen. De URL die wordt geopend in het venster bevat een query parameter 'redirect_url' met als waarde een URL op het domein dat u configureert en het pad '_hcms/mem/jwt/verify'.

Voor verificatie moet een verzoek worden gedaan naar de URL die is gespecificeerd in de 'redirect_url' parameter nadat de inloggegevens zijn ingevoerd op de 'Remote Login URL'. Dit verzoek moet een ondersteunde queryparam bevatten waarvan de waarde een JWT/hash moet zijn, die na ontcijfering een 'e-mail'-veld in de payload bevat met een geldig e-mailadres. Ondersteunde queryparams zijn 'jwt', 'code', 'id_token' en 'access_token'.

De JWT/hash wordt door HubSpot gedecodeerd met behulp van het ondertekenalgoritme en de geheime sleutel die in de SSO-instellingen zijn opgegeven. Het verzenden van dit volgende verzoek, dat wordt gedaan nadat geldige credentials zijn ingevoerd op de 'Remote Login URL' pagina, moet worden geconfigureerd binnen je identity provider account.

Zodra het verificatieproces is voltooid, zie je een bevestiging dat Single sign-on is ingeschakeld voor je domein in je privé-inhoudsinstellingen.

Zodra de verificatie is voltooid, moeten bezoekers die de verificatie op de 'Remote login URL' hebben doorstaan naar '_hcms/mem/jwt' worden gestuurd met twee query params:

• queryparam 'jwt', 'code', 'id_token' of 'access_token' met een hash die, eenmaal gedecodeerd, het e-mailadres van de bezoeker bevat in een e-mailveld.
• 'redirect_url' queryparameter die de pagina specificeert waar de bezoeker naartoe moet worden geleid. Deze URL moet hetzelfde zijn als de waarde van de 'redirect_url' queryparam in het verzoek dat wordt verzonden naar de 'Remote login URL'.

Veelvoorkomende JWT-fouten oplossen

Als u problemen ondervindt bij het opzetten van SSO voor een JWT-gebaseerde toepassing, is het aan te raden om uw JSON webtoken te verifiëren met behulp van de debugger van JWT.

Zodra u uw JWT hebt geverifieerd, kunt u de volgende fouten oplossen:

• NO_SETTINGS: de portaal- en domeincombinatie retourneert geen JWT-instellingen.
• COULD_NOT_PARSE_HEADER: JWT-header moet aanwezig en base64-gecodeerd zijn.
• WRONG_TYPE_IN_HEADER: JWT token header heeft een veld "typ" en het is niet gelijk aan "jwt".
• ALGORITHM_MISSING_IN_HEADER: de tokenheader van JWT heeft geen veld "alg" voor het algoritme
• NONE_ALGORITHM_PROVIDED: veld "alg" is gelijk aan "none", wat onveilig is en niet wordt ondersteund
• TOKEN_VERIFICATION_FAILED: token is mogelijk leeg, null, onjuist of de queryparameter wordt niet ondersteund. We ondersteunen "jwt", "code", "id_token" en "access_token" queryparameters.
• MISSING_EMAIL_IN_TOKEN: bij het gedecodeerde token ontbreekt een e-mailveld of het is ongeldig of leeg.
• INVALID_KEY: geheime sleutel ontbreekt of is ongeldig
• INVALID_KEY_LENGTH: de lengte van de geheime sleutel komt niet overeen met de vereisten van het geselecteerde ondertekeningsalgoritme
• PRIVATE_KEY_PROVIDED: het geselecteerde ondertekenalgoritme vereist een openbare sleutel als geheime sleutel, maar er is een privésleutel verstrekt
• INVALID_LOGIN_URL: de opgegeven externe aanmeldings-URL is ongeldig
• JTI_CLAIM_INVALID: JWT-controles kunnen niet worden overgespeeld.

SSO vereisen voor uw inhoud

Er zijn twee opties voor het vereisen van privé-inhoud met SSO:

• Private - Single sign-on (SSO) vereist: iedereen in je identity provider organisatie met toegang tot de HubSpot applicatie kan inloggen met SSO om de private content te bekijken.
• Privé - Single sign-on (SSO) vereist met lijstfiltering: personen in je identity provider organisatie die ook specifieke HubSpot lijstlidmaatschappen hebben, kunnen inloggen met SSO om privécontent te bekijken. Deze personen moeten toegang hebben tot de HubSpot-applicatie binnen je identity provider-account (zoals Okta of Google), maar ze hoeven geen gebruikers te zijn in je HubSpot-account.

SSO vereisen voor een blog

Je kunt SSO verplicht stellen voor blogs die worden gehost op het subdomein dat je hebt gekoppeld in je identity provider account. Het inschakelen van SSO voor een specifieke blog heeft invloed op alle blogberichten die op die blog worden gepubliceerd. Het is niet mogelijk om SSO te vereisen voor een specifieke blogpost.

Let op: als u SSO verplicht stelt voor een blog die al privé-inhoud met ledenregistratie bevat, is die blog niet langer toegankelijk voor die contactpersonen.

SSO instellen voor een blog:

• Klik in je HubSpot account op het settings instellingen-pictogram in de hoofdnavigatiebalk.
• Navigeer in het linker zijbalkmenu naar Website > Blog.
• Klik linksboven op het vervolgkeuzemenu Selecteer een blog om te wijzigen en selecteer een blog die wordt gehost op het subdomein dat u hebt ingesteld bij uw identiteitsaanbieder.
• Stel SSO in in de sectie Toegang van publiek beheren:
  • Selecteer Private (Particulier) - Single sign-on (SSO) vereist om toegang te verlenen aan iedereen in je identity provider-organisatie met toegang tot de HubSpot-applicatie.
  • Selecteer Privé - Single sign-on vereist met lijstfiltering om toegang te verlenen aan personen in je identity provider account met toegang tot de HubSpot applicatie en specifieke lijstlidmaatschappen. Selecteer vervolgens de lijsten die je toegang wilt geven tot deze inhoud.
• Klik linksonder op Opslaan.

SSO vereisen voor landingspagina's of websitepagina's

Je kunt SSO verplicht stellen voor landingspagina's of websitepagina's die worden gehost op het subdomein dat je hebt gekoppeld in je identity provider account.

Let op: als je SSO verplicht stelt voor een landingspagina of websitepagina die al is ingesteld op privé-inhoud met ledenregistratie, is die pagina niet langer toegankelijk voor die contactpersonen.

• Navigeer naar je content:

  • Website Pagina's: Ga in je HubSpot account naar Marketing > Website > Website pagina's.
  • Landingspagina's: Ga in je HubSpot account naar Marketing > Landingspagina's.

• Schakel het selectievakje in naast elke pagina waarvoor SSO vereist is.
• Klik boven in de tabel op het vervolgkeuzemenu Meer en selecteer Toegang van publiek beheren.
• Stel in het rechterpaneel SSO in voor de pagina's die u hebt geselecteerd en klik op Opslaan:
  • Selecteer Privé - Single sign-on vereist om toegang te verlenen aan iedereen in je identity provider-organisatie met toegang tot de HubSpot-applicatie.
  • Selecteer Privé - Single sign-on vereist met lijstfiltering om toegang te verlenen aan personen in je identity provider account met toegang tot de HubSpot applicatie en specifieke lijstlidmaatschappen. Selecteer vervolgens de specifieke lijsten die je toegang wilt geven tot deze inhoud.
• Je kunt ook de toegang van het publiek tot een specifieke pagina regelen op het tabblad Instellingen van de inhoudseditor.

SSO vereisen voor specifieke kennisbankartikelen

U kunt SSO instellen voor specifieke kennisbankartikelen die worden gehost op het subdomein dat u hebt gekoppeld in uw identity provider-account. Het is momenteel niet mogelijk om SSO te vereisen voor een hele kennisbank.

Let op: als je SSO verplicht stelt voor een kennisbankartikel dat al is ingesteld op privé-inhoud met ledenregistratie, is dat artikel niet langer toegankelijk voor die contactpersonen.

Om SSO in te stellen voor specifieke kennisbankartikelen:

• Ga in je HubSpot account naar Service > Kennisbank.
• Klik op het tabblad Artikelen.
• Schakel het selectievakje in naast elk artikel waarvoor SSO vereist is.
• Klik boven in de tabel op Toegang van publiek beheren.
• Stel in het rechterpaneel SSO in voor deze artikelen en klik op Opslaan:
  • Selecteer Privé - Single sign-on vereist om toegang te verlenen aan iedereen in je identity provider-organisatie met toegang tot de HubSpot-applicatie.
  • Selecteer Privé - Single sign-on vereist met lijstfiltering om toegang te verlenen aan personen in je identity provider account met toegang tot de HubSpot applicatie en specifieke lijstlidmaatschappen. Selecteer vervolgens de specifieke lijsten die je toegang wilt geven tot deze inhoud.

Je kunt ook de toegang van het publiek tot een specifiek artikel regelen op het tabblad Instellingen van de artikeleditor.

SSO uitschakelen voor privécontent

Het uitschakelen van SSO voor privécontent heeft verschillende gevolgen voor uw content, afhankelijk van de instelling die u hebt geselecteerd.

• Inhoud die is ingesteld op Privé - Single sign-on vereist wordt openbaar.
• Inhoud die is ingesteld op Besloten - Eenmalige aanmelding vereist met lijstfiltering wordt ontoegankelijk.

Om je privécontent privé te houden wanneer je SSO uitschakelt, raadt HubSpot aan om de publiekstoegang voor je privécontent te wijzigen in Privé - Enkelvoudige aanmelding vereist met lijstfiltering. Je kunt dan de publiekstoegang voor deze content wijzigen in CMS lidmaatschap registratie.

SSO uitschakelen voor privécontent:

• Klik in je HubSpot account op het settings instellingen-pictogram in de hoofdnavigatiebalk.
• Navigeer in het linker zijbalkmenu naar Website > Privé inhoud.
• Klik boven aan uw instellingen op het vervolgkeuzemenu Kies een domein om te bewerken en selecteer een domein.
• Klik in de sectie Eenmalige aanmelding (SSO) op SSO beheren.
• Klik onder in het paneel op om de schakelaar SSO Enabled (SSO ingeschakeld) uit te schakelen.