HubSpot Kennisbank

Eenmalige aanmelding (SSO) instellen om toegang te krijgen tot privécontent

Geschreven door HubSpot Support | Feb 4, 2021 6:23:41 PM

Single sign-on (SSO) is een manier om veilig in te loggen op verschillende applicaties met één gebruikersnaam en wachtwoord.

Met SSO voor privécontent kan je IT-beheerder een HubSpot-applicatie instellen in je identity provider account, zoals Google of Okta. Leden van je organisatie met toegang tot de HubSpot applicatie binnen je identity provider account kunnen inloggen met SSO om privécontent te bekijken.

Je kunt verder verfijnen welke individuen toegang hebben tot specifieke content op basis van hun lijstlidmaatschappen in je HubSpot account. Om toegang te krijgen tot content op basis van lijstlidmaatschap, moeten deze leden van je team contactrecords hebben in je HubSpot account.

SSO voor privécontent is beschikbaar voor de volgende abonnementen:

Voordat u aan de slag gaat

  • Dit installatieproces moet worden uitgevoerd door een IT-beheerder met ervaring met het maken van applicaties in je identity provider account en toestemming om website-instellingen in HubSpot te bewerken.
  • SSO kan worden geconfigureerd voor één HubSpot gehost subdomein per identity provider account. Voor de beste resultaten is het aan te raden om één subdomein alleen voor SSO-lidmaatschap te gebruiken.
  • Kennisgevingse-mails en aanmeldpagina's voor privécontent waarvoor SSO is vereist, worden afgehandeld door je identity provider-account, in plaats van je instellingen voor privécontent in HubSpot.
  • Privécontent waarvoor SSO vereist is, wordt niet gecrawld door zoekmachines en kan alleen worden bekeken door contactpersonen die toegang hebben en zijn aangemeld.
  • Alle paginabestanddelen zoals afbeeldingen en formulieren vereisen alleen SSO voor toegang als onderdeel van de pagina. Als de URL's naar de onderdelen zelf apart worden geleverd, hebben deze geen SSO nodig voor toegang. Lees meer over het instellen van URL zichtbaarheid voor assets in de bestanden tool.
  • Als u SSO inschakelt voor een domein waarvoor voorheen ledenregistratie vereist was, gebruikt SSO uw oorspronkelijke ledenlijsten. Als je SSO weer uitschakelt, zal de inhoud weer ledenregistratie vereisen voor dezelfde lijsten.

SSO instellen voor HubSpot privécontent in je account voor identiteitsproviders

Om SSO in te stellen voor privécontent die wordt gehost in HubSpot, maakt je IT-beheerder een nieuwe toepassing voor toegang tot HubSpot-content. Om dit proces te voltooien, zal je IT-beheerder verwijzen naar waarden van je privécontentinstellingen in HubSpot.

Let op: als je SSO nodig hebt voor een subdomein dat al privécontent met ledenregistratie host, is die content niet langer toegankelijk voor geregistreerde contactpersonen.

De stappen en velden die nodig zijn om een nieuwe toepassing toe te voegen in je identity provider kunnen verschillen. Hieronder vindt u algemene instructies voor het instellen van SSO voor privécontent.

SSO instellen voor een SAML-gebaseerde toepassing

Om een nieuwe SAML-applicatie voor HubSpot private content te maken in je identity provider account:

  • Log in op je identity provider account.
  • Navigeer naar je applicaties binnen je identity provider account.
  • Verzamel in je HubSpot-account de vereiste waarden voor je nieuwe HubSpot-applicatie:
    • Navigeer in het linker zijbalkmenu naar Inhoud > Privé inhoud.
    • Klik boven aan de pagina op het vervolgkeuzemenu Kies een domein om te bewerken en selecteer een subdomein.
    • Klik in de sectie Single sign-on (SSO) op SSO instellen.
    • Klik in het rechterpaneel op het vervolgkeuzemenu Formaat beveiligingstoken en selecteer SAML.
    • Kopieer de URL Audience en de URL Aanmelden.

  • In je identity provider account:
    • Plak de Audience URL en Sign on URL die je hebt gekopieerd van HubSpot in de bijbehorende velden.
    • Kopieer de identifiers voor deIssuer URL,Single Sign-on URL en het Certificaat.
  • In je HubSpot-account:
    • Plak deIssuer URL,Single Sign-on URL, en Certificaat waarden in de overeenkomstige velden in het Set up Single Sign-on paneel.
    • Klik op Verifiëren.

Zodra het verificatieproces is voltooid, ziet u een bevestiging dat Single Sign-on is ingeschakeld voor uw domein in uw privé-inhoudsinstellingen.

SSO instellen voor een JWT-gebaseerde toepassing

  • In uw identity provider-account:
    • Navigeer naar je applicaties binnen je identity provider account.
    • Kopieer de identifiers voor Remote Login URL en Secret Key. Zoek het ondertekeningsalgoritme.
    • Kopieer voor extra beveiliging de Issue, Subject en Audience.
  • Voer deze waarden in je HubSpot-account in je SSO-instellingen in:
    • Navigeer in het linker zijbalkmenu naar Inhoud > Privé inhoud.
    • Klik boven aan de pagina op het vervolgkeuzemenu Kies een domein om te bewerken en selecteer een subdomein.
    • Klik in het gedeelte Single sign-on (SSO) op SSO instellen.
    • Klik in het rechterpaneel op het vervolgkeuzemenu Formaat beveiligingstoken en selecteer JWT.
    • Plak de URL voor Remote Login
    • Klik op het ondertekeningsalgoritme dropdown menu en selecteer de waarde in je identity provider account.
    • Plak de geheime sleutel. Als je een asymmetrisch ondertekenalgoritme gebruikt met zowel een openbare als een privésleutel, is de geheime sleutel de openbare sleutel.
Let op :
  • Als je een openbare sleutel gebruikt, is het niet nodig om de kop- en voettekst op te nemen.
  • Als je de kop- en voettekst wel toevoegt, kopieer en plak dan de volgende tekst en vervang de plaatshouder door je openbare sleutel:
    • -----BEGIN OPENBARE SLEUTEL-----

      [uw openbare sleutel]

      -----EINDE OPENBARE SLEUTEL-----

    • Plak voor extra beveiliging de Issue, Subject en Audience.
    • Klik op Verifiëren.

Er wordt een venster geopend met de 'URL voor inloggen op afstand' die is opgegeven in de SSO-instellingen. De URL die wordt geopend in het venster bevat een query parameter 'redirect_url' met als waarde een URL op het domein dat u configureert en het pad '_hcms/mem/jwt/verify'.

Voor verificatie moet een verzoek worden gedaan naar de URL die is gespecificeerd in de 'redirect_url' parameter nadat de inloggegevens zijn ingevoerd op de 'Remote Login URL'. Dit verzoek moet een ondersteunde queryparam bevatten waarvan de waarde een JWT/hash moet zijn, die na ontcijfering een 'e-mail'-veld in de payload bevat met een geldig e-mailadres. Ondersteunde queryparams zijn 'jwt', 'code', 'id_token' en 'access_token'.

De JWT/hash wordt door HubSpot gedecodeerd met behulp van het ondertekenalgoritme en de geheime sleutel die in de SSO-instellingen zijn opgegeven. Het verzenden van dit volgende verzoek, dat wordt gedaan nadat geldige credentials zijn ingevoerd op de 'Remote Login URL' pagina, moet worden geconfigureerd binnen je identity provider account.

Zodra het verificatieproces is voltooid, zie je een bevestiging dat Single sign-on is ingeschakeld voor je domein in je privé-inhoudsinstellingen.

Zodra de verificatie is voltooid, moeten bezoekers die de verificatie op de 'Remote login URL' hebben doorstaan naar '_hcms/mem/jwt' worden gestuurd met twee query params:

  • queryparam 'jwt', 'code', 'id_token' of 'access_token' met een hash die, eenmaal gedecodeerd, het e-mailadres van de bezoeker bevat in een e-mailveld.
  • 'redirect_url' queryparameter die de pagina specificeert waar de bezoeker naartoe moet worden geleid. Deze URL moet hetzelfde zijn als de waarde van de 'redirect_url' queryparam in het verzoek dat wordt verzonden naar de 'Remote login URL'.

Veelvoorkomende JWT-fouten oplossen

Als u problemen ondervindt bij het opzetten van SSO voor een JWT-gebaseerde toepassing, is het aan te raden om uw JSON webtoken te verifiëren met behulp van de debugger van JWT.

Zodra u uw JWT hebt geverifieerd, kunt u de volgende fouten oplossen:

  • NO_SETTINGS: de portaal- en domeincombinatie retourneert geen JWT-instellingen.
  • COULD_NOT_PARSE_HEADER: JWT-header moet aanwezig en base64-gecodeerd zijn.
  • WRONG_TYPE_IN_HEADER: JWT token header heeft een veld "typ" en het is niet gelijk aan "jwt".
  • ALGORITHM_MISSING_IN_HEADER: de tokenheader van JWT heeft geen veld "alg" voor het algoritme
  • NONE_ALGORITHM_PROVIDED: veld "alg" is gelijk aan "none", wat onveilig is en niet wordt ondersteund
  • TOKEN_VERIFICATION_FAILED: token is mogelijk leeg, null, onjuist of de queryparameter wordt niet ondersteund. We ondersteunen "jwt", "code", "id_token" en "access_token" queryparameters.
  • MISSING_EMAIL_IN_TOKEN: bij het gedecodeerde token ontbreekt een e-mailveld of het is ongeldig of leeg.
  • INVALID_KEY: geheime sleutel ontbreekt of is ongeldig
  • INVALID_KEY_LENGTH: de lengte van de geheime sleutel komt niet overeen met de vereisten van het geselecteerde ondertekeningsalgoritme
  • PRIVATE_KEY_PROVIDED: het geselecteerde ondertekenalgoritme vereist een openbare sleutel als geheime sleutel, maar er is een privésleutel verstrekt
  • INVALID_LOGIN_URL: de opgegeven externe aanmeldings-URL is ongeldig
  • JTI_CLAIM_INVALID: JWT-controles kunnen niet worden overgespeeld.

SSO vereisen voor uw inhoud

Er zijn twee opties voor het vereisen van privé-inhoud met SSO:

  • Private - Single sign-on (SSO) vereist: iedereen in je identity provider organisatie met toegang tot de HubSpot applicatie kan inloggen met SSO om de private content te bekijken.
  • Privé - Single sign-on (SSO) vereist met lijstfiltering: personen in je identity provider organisatie die ook specifieke HubSpot lijstlidmaatschappen hebben, kunnen inloggen met SSO om privécontent te bekijken. Deze personen moeten toegang hebben tot de HubSpot-applicatie binnen je identity provider-account (zoals Okta of Google), maar ze hoeven geen gebruikers te zijn in je HubSpot-account.

SSO vereisen voor een blog

Je kunt SSO verplicht stellen voor blogs die worden gehost op het subdomein dat je hebt gekoppeld in je identity provider account. Het inschakelen van SSO voor een specifieke blog heeft invloed op alle blogberichten die op die blog worden gepubliceerd. Het is niet mogelijk om SSO te vereisen voor een specifieke blogpost.

Let op: als u SSO verplicht stelt voor een blog die al privé-inhoud met ledenregistratie bevat, is die blog niet langer toegankelijk voor die contactpersonen.

SSO instellen voor een blog:

  • Navigeer in het linker zijbalkmenu naar Inhoud > Blog.
  • Klik linksboven op het vervolgkeuzemenu Selecteer een blog om te wijzigen en selecteer een blog die wordt gehost op het subdomein dat u hebt ingesteld bij uw identiteitsaanbieder.
  • Stel SSO in in de sectie Toegang van publiek beheren:
    • Selecteer Private (Particulier) - Single sign-on (SSO) vereist om toegang te verlenen aan iedereen in je identity provider-organisatie met toegang tot de HubSpot-applicatie.
    • Selecteer Privé - Single sign-on vereist met lijstfiltering om toegang te verlenen aan personen in je identity provider account met toegang tot de HubSpot applicatie en specifieke lijstlidmaatschappen. Selecteer vervolgens de lijsten die je toegang wilt geven tot deze inhoud.
  • Klik linksonder op Opslaan.

SSO vereisen voor landingspagina's of websitepagina's

Je kunt SSO verplicht stellen voor landingspagina's of websitepagina's die gehost worden op het subdomein dat je hebt verbonden in je identity provider account.

Let op: als je SSO verplicht stelt voor een landingspagina of websitepagina die al is ingesteld op privé-inhoud met ledenregistratie, is die pagina niet langer toegankelijk voor die contactpersonen.

Om SSO in te stellen voor specifieke pagina's:
  • Navigeer naar je content:

    • Website Pagina's:
    • Landingspagina's:
  • Schakel het selectievakje in naast elke pagina waarvoor SSO vereist is.
  • Klik boven in de tabel op het vervolgkeuzemenu Meer en selecteer Toegang van publiek beheren.
  • Stel in het rechterpaneel SSO in voor de pagina's die u hebt geselecteerd en klik op Opslaan:
    • Selecteer Privé - Single sign-on vereist om toegang te verlenen aan iedereen in je identity provider-organisatie met toegang tot de HubSpot-applicatie.
    • Selecteer Privé - Single sign-on vereist met lijstfiltering om toegang te verlenen aan personen in je identity provider account met toegang tot de HubSpot applicatie en specifieke lijstlidmaatschappen. Selecteer vervolgens de specifieke lijsten die je toegang wilt geven tot deze inhoud.

SSO vereisen voor specifieke kennisbankartikelen

Je kunt SSO instellen voor specifieke kennisbankartikelen die worden gehost op het subdomein dat je hebt gekoppeld in je identity provider-account.

Let op: als je SSO vereist voor een kennisbankartikel dat al is ingesteld op privécontent met ledenregistratie, zal dat artikel niet langer toegankelijk zijn voor die contactpersonen.

Om SSO in te stellen voor specifieke kennisbankartikelen:

  • Klik op het tabblad Artikelen.
  • Schakel het selectievakje in naast elk artikel waarvoor SSO vereist is.
  • Klik boven in de tabel op Toegang van publiek beheren.
  • Stel in het rechterpaneel SSO in voor deze artikelen en klik op Opslaan:
    • Selecteer Privé - Single sign-on vereist om toegang te verlenen aan iedereen in je identity provider-organisatie met toegang tot de HubSpot-applicatie.
    • Selecteer Privé - Single sign-on vereist met lijstfiltering om toegang te verlenen aan personen in je identity provider account met toegang tot de HubSpot applicatie en specifieke lijstlidmaatschappen. Selecteer vervolgens de specifieke lijsten die je toegang wilt geven tot deze inhoud.

Je kunt ook de toegang van het publiek tot een specifiek artikel regelen op het tabblad Instellingen van de artikeleditor.

SSO verplichten voor alle kennisbankartikelen

U kunt ook SSO instellen voor alle kennisbankartikelen voor een bepaalde kennisbank die wordt gehost op het subdomein dat u hebt gekoppeld in uw identity provider-account.

  • Navigeer in het linker zijbalkmenu naar Inhoud > Kennisbank.
  • Als u meerdere kennisbanken hebt, klikt u op het eerste dropdown menu in de sectie Huidige weergave en selecteert u een kennisbank. Dit wordt het tweede dropdown menu in accounts met de business units add-on.
  • Selecteer in de sectie Toegangsbeheer Single sign on (SSO) vereist.
  • Klik linksonder op Opslaan.

SSO uitschakelen voor privé-inhoud

Het uitschakelen van SSO voor privécontent heeft verschillende gevolgen voor je content, afhankelijk van de instelling die je hebt geselecteerd.

  • Inhoud die is ingesteld op Privé - Single sign-on vereist wordt openbaar.
  • Inhoud die is ingesteld op Besloten - Eenmalige aanmelding vereist met lijstfiltering wordt ontoegankelijk.

Om je privécontent privé te houden wanneer je SSO uitschakelt, raadt HubSpot aan om de publiekstoegang voor je privécontent te wijzigen in Privé - Enkelvoudige aanmelding vereist met lijstfiltering. Je kunt dan de publiekstoegang voor deze content wijzigen in CMS lidmaatschap registratie.

SSO uitschakelen voor privécontent:

  • Navigeer in het linker zijbalkmenu naar Inhoud > Privé inhoud.
  • Klik boven aan uw instellingen op het vervolgkeuzemenu Kies een domein om te bewerken en selecteer een domein.
  • Klik in de sectie Eenmalige aanmelding (SSO) op SSO beheren.
  • Klik onder in het paneel op om de schakelaar SSO Enabled (SSO ingeschakeld) uit te schakelen.