Hvis du har en HubSpot Enterprise-konto , kan du konfigurere enkel pålogging ved hjelp av Active Directory Federation Services (AD FS).
Hvis du vil bruke AD FS til å logge på HubSpot-kontoen din, må du oppfylle følgende krav:
- Alle brukere i Active Directory-instansen din må ha en e-postadresse.
- Du bruker en HubSpot Enterprise-konto.
- Du har en server som kjører Windows Server 2008, 2012 eller 2019.
Merk: Denne konfigurasjonsprosessen bør utføres av en IT-administrator med erfaring i å opprette applikasjoner i identitetsleverandørkontoen din. Finn ut mer om hvordan du konfigurerer SSO med HubSpot.
Før du begynner
Før du begynner, må du merke deg følgende to verdier fra HubSpot-kontoen din for å konfigurere SSO ved hjelp av Microsoft AD FS:
- Logg på HubSpot-kontoen din.
- Klikk på Kontostandarder i venstre sidefelt.
- Klikk på fanen Sikkerhet.
- Klikk på Konfigurer enkel pålogging.
- Klikk på Microsoft AD FS i skjermbildet Konfigurer enkel pålogging.
- Legg merke til verdiene Audience URI (tjenesteleverandørens enhets-ID) og Sign on URL, ACS, Recipient eller Redirect, ettersom du må legge dem til i Microsoft AD FS i konfigurasjonsprosessen.
1.Legg til en RPT (Relying Party Trust)
Åpne Active Directory Federation Services (AD FS)-administratoren:
- Åpne RPT-mappen (RPT - Relying Party Trusts) i AD FS-administratoren .
- Velg Add Relying Party Trust.... i menyen på høyre sidefelt.
- Klikk på Start for å legge til en ny RPT i dialogboksen Veiviser for å legge til tillitspart.
- I skjermbildet Velg datakilde velger du Angi data om den avhengige parten manuelt.
- Klikk på Neste >.
- Skriv inn et navn på tilliten i feltet Visningsnavn - dette er for interne formål, så pass på at du gir den et navn som er lett å kjenne igjen.
- Klikk på Neste >.
- I skjermbildet Konfigurer sertifikat lar du standardinnstillingene være som de er, og klikker deretter på Neste >.
- Merk av for Aktiver støtte for SAML 2.0 WebSSO-protokollen . I feltet Relying party SAML 2.0 SSO service URL skriver du inn URL-adressen for pålogging, ACS, mottaker eller omdirigering fra HubSpot-kontoen din.
- Klikk på Neste >.
- I feltet Relying party trust identifier :
- Skriv inn Audience URI-verdien (Service Provider Entity ID) fra HubSpot-kontoen din.
- Skriv inn https://api.hubspot.com, og klikk deretter på Legg til.
- Klikk på Neste >.
- I vinduet Velg en policy for tilgangskontroll velger du Tillat alle og klikker deretter på Neste >.
- Gå gjennom innstillingene, og klikk deretter på Neste >.
- Klikk på Lukk.
2. Opprett regler for krav
Før du setter opp kravregelen, må du kontrollere at brukernes e-postadresser samsvarer med HubSpot-brukernes e-postadresser. Du kan bruke andre identifikatorer, for eksempel User Principal Name (UPN), hvis UPN-ene dine er i form av en e-postadresse. For at enkeltpålogging med AD FS skal fungere, må nameID være i form av en e-postadresse for å matche med en HubSpot-bruker.
- Klikk på Legg til regel i vinduet Kravregel .
- Klikk på rullegardinmenyen Kravregelmal og velg Send LDAP-attributter som krav.
- Klikk på Neste >.
- I skjermbildet Configure Cla im Rule:
- Skriv inn et regelnavn i feltet Kravregelnavn .
- Klikk på rullegardinmenyen Attributtlager og velg Active Directory.
- I tabellen Tilordning av LDAP-attributter tilordner du følgende:
- I kolonnen LDAP-attributt klikker du på rullegardinmenyen og velger E-postadresser.
- I kolonnen Utgående kravtype klikker du på rullegardinmenyen og velger E-postadresse.
- Klikk på Fullfør.
Deretter konfigurerer du regelen Transformer et innkommende krav:
- Klikk på Legg til regel.
- Klikk på rullegardinmenyen Kravregelmal og velg Transformer et innkommende krav.
- Klikk på Neste >.
- På skjermbildet Konfigurer regel for krav:
- Skriv inn et navn på fordringsregelen.
- Klikk på rullegardinmenyen Innkommende kravtype og velg E-postadresse.
- Klikk på rullegardinmenyen Utgående krav type og velg Navn-ID.
- Klikk på rullegardinmenyen Format for utgående navn-ID og velg E-post.
- Klikk på Fullfør for å legge til den nye regelen.
- Klikk på OK for å legge til begge de nye reglene.
3. Juster tillitsinnstillingene
I mappen Replying Party Trusts velger du Properties i sidemenyen Actions . Klikk på fanen Avansert og kontroller at SHA-256 er angitt som sikker hashalgoritme. Selv om både SHA-256 og SHA-1 støttes, anbefales SHA-256.
4. Finn x509-sertifikatet i PEM-format.
Slik får du tilgang til x509-sertifikatet i PEM-format:
- Gå til AD FS-administrasjonsvinduet . I menyen til venstre navigerer du til Tjenester > Sertifikater.
- Finn Token-signeringssertifikatet . Høyreklikk på sertifikatet og velg Vis sertifikat.
- Klikk på fanen Detaljer i dialogboksen.
- Klikk på Kopier til fil.
- Klikk på Neste i vinduet for sertifikateksport som åpnes.
- Velg Base-64-kodet X.509 (.CER), og klikk deretter på Neste.
- Gi fileksporten et navn, og klikk deretter på Neste.
- Klikk på Fullfør for å fullføre eksporten.
- Finn filen du nettopp eksporterte, og åpne den med et tekstredigeringsprogram, for eksempel Notisblokk.
- Kopier innholdet i filen.
5. Fullfør oppsettet i HubSpot
- Logg inn på HubSpot-kontoen din.
- Klikk på Kontostandarder i venstre sidefelt.
- Klikk på fanen Sikkerhet.
- Klikk på Konfigurer enkel pålogging.
- Klikk på Microsoft AD FS i skyvepanelet Konfigurer enkel pålogging.
- Lim inn innholdet i filen ifeltet X.509-sertifikat.
- Gå tilbake til AD FS-administratoren.
- Velg mappen Endepunkter i menyen til venstre.
- Søk etter SSO-tjenestens endepunkt og enhetens URL-adresse. URL-adressen til SSO-tjenesten ender vanligvis på "adfs/services/ls" og URL-adressen til enheten ender på "adfs/services/trust".
- Gå tilbake til HubSpot. Skriv inn enhetens URL-adresse i feltet Identity provider Identifier or Issuer .
- I feltet Identity Provider Single Sign-On URL skriver du inn SSO-tjenestens URL.
- Klikk på Bekreft.
Merk: Hvis du får en feilmelding når du konfigurerer enkel pålogging i HubSpot, må du se etter feilmeldingen i loggene for hendelsesvisning på enheten. Hvis du ikke klarer å feilsøke feilmeldingen, kan du kontakte HubSpot Support.