Konfigurer enkel pålogging (SSO)

Skrevet av HubSpot Support | Jun 28, 2023 9:38:30 AM

Single sign-on (SSO) lar deg gi teammedlemmene dine én konto for alle systemene bedriften din bruker . Security Assertion Markup Language, eller SAML, er en åpen standard som brukes for autentisering. Basert på XML-formatet (Extensible Markup Language), bruker nettapplikasjoner SAML til å overføre autentiseringsdata mellom to parter - identitetsleverandøren (IdP) og tjenesteleverandøren (SP). Hvis du har en HubSpot Enterprise- konto og har SAML-basert SSO konfigurert, kan du kreve at brukere logger på HubSpot med SSO-legitimasjonen.

Merk: denne oppsettprosessen bør gjøres av en IT-administrator med erfaring med å lage applikasjoner på din identitetsleverandørkonto. Bare superadministratorer kan konfigurere SSO for kontoen din.

Generelt oppsett

Logg inn på din identitetsleverandørkonto.
Naviger til applikasjonene dine.
Opprett en ny applikasjon for HubSpot. Slik får du verdiene for målgruppe-URI og påloggings-URL, ACS, mottaker eller omdirigering :
- I menyen til venstre i sidefeltet velger du Sikkerhet > Innstillinger og aktivitet .

- Under Pålogging klikker du på Konfigurer enkel pålogging . I høyre panel:
  - XML-opplasting er tilgjengelig for alle SSO-oppsett. Dra og slipp eller klikk Velg en fil for å laste opp føderasjonsmetadataene dine. Klikk deretter på Bekreft .
  - Hvis du vil legge inn dataene fra identitetsleverandøren din manuelt, klikker du på Kopier ved siden av verdiene under kategorien Alle andre identitetsleverandører . Deretter limer du inn verdiene fra identitetsleverandøren din nedenfor. Klikk på Bekreft .
  - Hvis du bruker Microsoft AD FS, klikker du på Kopier ved siden av verdiene under kategorien Microsoft AD FS . Deretter limer du inn verdiene fra identitetsleverandøren din nedenfor. Klikk på Bekreft .

Merk: Hvis du bruker Microsoft Entra (tidligere Azure), vennligst bruk kategorien Alle andre identitetsleverandører for å konfigurere SSO.

Navigasjonsinstruksjonene og feltnavnene ovenfor kan variere mellom identitetsleverandører. Du kan finne mer spesifikke instruksjoner for å sette opp applikasjoner i ofte brukte identitetsleverandører nedenfor:

Okta
OneLogin
Azure Active Directory
Google

Hvis du bruker Active Directory Federation Services, kan du finne ut mer om hvordan du konfigurerer enkel pålogging med AD FS .

Krev SSO for alle brukere

Etter å ha satt opp SSO, kan du kreve at alle brukere bruker SSO for å logge på HubSpot.

Merk: fra og med 31. juli 2024 vil denne innstillingen være slått på som standard.

Klikk på Sikkerhet > Innstillinger og aktivitet i menyen til venstre i sidefeltet.
Under Pålogging merker du av for Krev enkel pålogging .

Ekskluder spesifikke brukere fra SSO-kravet

Etter å ha satt opp SSO, kan du ekskludere spesifikke brukere fra SSO-kravet for å la dem også logge på med HubSpot-brukerkontoen sin.

Klikk på Sikkerhet > Innstillinger og aktivitet i menyen til venstre i sidefeltet.
Under Pålogging klikker du på Administrer ekskluderte brukere .

I dialogboksen klikker du på rullegardinmenyen Velg brukere og velger brukerne som skal kunne logge på med HubSpot-kontoene sine. Du kan for eksempel velge partnere og kontraktører hvis de mangler SSO-pålogging.
Klikk Lagre .

Merk: brukeren som merker av for Krev enkel pålogging vil automatisk bli lagt til de ekskluderte brukerne. Det anbefales å ekskludere minst én bruker med Super Admin-tillatelser . I tilfelle identitetsleverandøren din er nede, kan de logge på og fjerne merket for Krev enkel pålogging for å la alle brukere logge på med HubSpot-kontoene sine.

Instruksjoner for spesifikke identitetsleverandører

Okta

Vennligst merk: du trenger administrativ tilgang i din Okta-instans. Denne prosessen er kun tilgjengelig i det klassiske brukergrensesnittet i Okta.

Logg inn på Okta. Sørg for at du er i den administrative forekomsten av Okta-utviklerkontoen din.
Klikk på Programmer i den øverste navigasjonslinjen.
Klikk på Legg til applikasjon .
Søk etter HubSpot SAML , og klikk deretter på Legg til .
Klikk på Ferdig på skjermbildet Generelle innstillinger .
Klikk på Logg på -fanen på applikasjonens detaljside.
Under meldingen " SAML 2.0 er ikke konfigurert før du fullfører installasjonsinstruksjonene ", klikker du på Vis oppsettinstruksjoner . Dette åpner en ny fane. Hold den åpen, og gå deretter tilbake til den opprinnelige fanen i Okta.
I samme fane, bla ned til Avanserte påloggingsinnstillinger og legg til Hub-ID-en din i Portal-ID- feltet. Finn ut hvordan du får tilgang til Hub-ID-en din .
Naviger til brukerinnstillingene dine. Tilordne den nye appen til alle brukere som også er på HubSpot-kontoen din, inkludert deg selv.
Gå tilbake til fanen Vis oppsettinstruksjoner . Kopier hver av nettadressene og sertifikatet, og lim dem inn i HubSpot i feltet Identitetsleverandøridentifikator eller utsteder-URL , feltet Identitetsleverandørs Single Sign-On URL og X.509 Certificate- feltet.
Klikk på Bekreft . Du vil bli bedt om å logge på med Okta-kontoen din for å fullføre konfigurasjonen og lagre innstillingene.

Når SSO-oppsettet ditt er bekreftet, naviger til https://app.hubspot.com/login/sso og skriv inn e-postadressen din. HubSpot vil slå opp portalens enkeltpåloggingskonfigurasjon og sende deg til identitetsleverandøren din for å logge på. Du vil også se en Logg på med SSO- knapp når du besøker en direktekobling til kontoen din.

OneLogin

Merk: du trenger administrativ tilgang i OneLogin-forekomsten for å opprette en ny SAML 2.0-applikasjon i OneLogin, etter behov.

Logg inn på OneLogin .
Naviger til Apps .
Søk etter HubSpot .
Klikk på appen som sier «SAML2.0».
Klikk på Lagre øverst til høyre.
Klikk på fanen Konfigurasjon .
I HubSpot Account ID- feltet legger du til Hub ID. Finn ut hvordan du får tilgang til Hub-ID-en din .
Klikk på SSO- fanen.
Kopier følgende felt fra OneLogin og lim dem inn i de tilsvarende feltene i SSO-oppsettpanelet i HubSpot:
- Kopier verdien under Utsteder-URL og lim den inn i Identitetsleverandør-ID eller Utsteder-URL .
- Kopier verdien under SAML 2.0-endepunkt (HTTP) og lim den inn i URL-adressen for enkeltpålogging for identitetsleverandør .
- Under X.509-sertifikat klikker du på Vis detaljer , kopierer deretter sertifikatet og limer det inn i X.509-sertifikatet .

Øverst til høyre på OneLogin-kontoen din klikker du på Lagre .

Microsoft Entra ID

For brukere av Microsoft Entra ID (tidligere Azure Active Directory), installer HubSpot-appen i Microsoft Azure Marketplace og følg Microsofts instruksjoner for å sette opp integrasjonen. Dette lar deg bruke Microsoft Entra ID for å administrere brukertilgang og slå på enkeltpålogging med HubSpot.

Når SSO-oppsettet ditt er bekreftet, naviger til https://app.hubspot.com/login/sso og skriv inn e-postadressen din. HubSpot vil slå opp portalens enkeltpåloggingskonfigurasjon og sende deg til SSO-leverandøren din for å logge på. Du vil også se en Logg på med SSO- knapp når du besøker en direktekobling til kontoen din.

Google

Sjekk ut Googles instruksjoner om hvordan du kan konfigurere HubSpot enkeltpålogging med G-Suite som identitetsleverandør.

Når SSO-oppsettet ditt er bekreftet, naviger til https://app.hubspot.com/login/sso og skriv inn e-postadressen din. HubSpot vil slå opp portalens enkeltpåloggingskonfigurasjon og sende deg til SSO-leverandøren din for å logge på. Du vil også se en Logg på med SSO- knapp når du besøker en direktekobling til kontoen din.

Vanlige spørsmål

Hvilken binding bruker HubSpot som SAML-tjenesteleverandør?

HubSpot bruker HTTP Post.

Jeg bruker Active Directory Federation Services. Hva bør jeg bruke som min tillitsfulle part (RPT)?

Finn ut mer om hvordan du konfigurerer enkel pålogging med ADFS .

Hvilket brukernavnformat bør jeg angi i SAML-applikasjonen min?

HubSpot-brukere identifiseres med e-postadresse. Sørg for at din IDP sender en navne-ID i e-postformat som samsvarer med HubSpot-brukerens e-postadresse.

Hvilken signeringsalgoritme støtter HubSpot?

Merk: Etter 31. mars 2023 slutter HubSpot å støtte SHA-1 for nye SSO-tilkoblinger. Eventuelle eksisterende SSO-tilkoblinger som bruker SHA-1 kan fortsatt fungere til HubSpot slutter å støtte SHA-1 for alle SSO-tilkoblinger 30. juni 2023. Hvis du bruker SHA-1, må du migrere til SHA-256 innen 30. juni, 2023.

HubSpot støtter kun SHA-256 som signeringsalgoritmer. Du må signere forespørslene dine med SHA-256.

Hvilket format skal jeg gi x509-sertifikatet mitt i?

HubSpot krever et PEM-format x509-sertifikat. Du bør kopiere tekstinnholdet i PEM-filen til x509-sertifikatfeltet i HubSpot. Verdien bør også inkludere -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.

Kan jeg slå på tofaktorautentisering, nødvendig tofaktorautentisering, SSO og obligatorisk SSO samtidig?

Ja. Når du har slått på tofaktorautentisering , er den aktiv ved enhver pålogging med HubSpot-brukernavnet og passordet ditt. Aktivering av 2FA i HubSpot hindrer deg ikke i å logge på med Googles 2FA eller SSO. Derfor, hvis brukere er ekskludert fra SSO-kravet , kan du kreve at HubSpots 2FA sikrer at alle pålogginger som omgår SSO går gjennom 2FA eller Google.

Hvis du aktiverer 2FA for Google-kontoen din , er dette atskilt fra HubSpot-oppsettet. Men når du logger på HubSpot med Google-kontoen din, vil Googles 2FA beskytte HubSpot-kontoen din.

Hvis du har tofaktorautentisering og SSO nødvendig eller aktivert på kontoen din samtidig, vil følgende skje:

Hvis du må logge på kontoen din med SSO, vil ikke 2FA for HubSpot bli spurt.
Hvis kontoen din krever SSO, men du er ekskludert, kan du logge på med enten 2FA eller Logg inn med Google eller Logg inn med Microsoft .
Hvis du må logge på med 2FA og ingen SSO er konfigurert, kan du logge på med enten 2FA eller Logg inn med Google eller Logg inn med Microsoft .
Hvis kontoen din ikke har noen krav, men har aktivert SSO, kan du logge på med hvilken som helst metode, inkludert SSO.

Vis hele posten