HubSpot Baza wiedzy

Konfiguracja logowania jednokrotnego (SSO)

Autor: HubSpot Support | Oct 18, 2021 4:30:48 PM

Pojedyncze logowanie (SSO) umożliwia udostępnienie członkom zespołu jednego konta dla wszystkich systemów używanych przez firmę. Znacznik Security Assertion Znacznik Language (SAML) jest otwartym standardem używanym do uwierzytelniania. W oparciu o format Extensible Znacznik Language (XML), aplikacje internetowe wykorzystują SAML do przesyłania danych uwierzytelniających między dwiema stronami - dostawcą tożsamości (IdP) i dostawcą usług (SP). Jeśli posiadasz konto HubSpot Enterprise i masz skonfigurowane SSO oparte na SAML, możesz wymagać od użytkowników logowania się do HubSpot przy użyciu poświadczeń SSO.

Uwaga: ten proces konfiguracji powinien zostać przeprowadzony przez administratora IT z doświadczeniem w tworzeniu aplikacji na koncie dostawcy tożsamości. Tylko administratorzy o rozszerzonych uprawnieniach mogą skonfigurować SSO dla swojego konta.

Konfiguracja ogólna

  • Zaloguj się na konto dostawcy tożsamości.
  • Przejdź do aplikacji.
  • Utwórz nową aplikację dla HubSpot. Aby uzyskać wartości Audience URI i Sign on URL, ACS, Recipient lub Redirect :
    • W menu na lewym pasku bocznym wybierz Bezpieczeństwo > Ustawienia i aktywność.
    • W sekcji Logowanie kliknij opcję Konfiguruj logowanie jednokrotne. W prawym panelu:
      • Przesyłanie XML jest dostępne dla wszystkich konfiguracji SSO. Przeciągnij i upuść lub kliknij Wybierz plik, aby przesłać metadane federacji. Następnie kliknij Weryfikuj.
      • Jeśli chcesz ręcznie wprowadzić dane od swojego dostawcy tożsamości, na karcie Wszyscy inni dostawcy tożsamości kliknij Kopiuj obok wartości w razie potrzeby. Następnie wklej wartości od dostawcy tożsamości poniżej. Kliknij Weryfikuj.
      • Jeśli korzystasz z Microsoft AD FS, na karcie Microsoft AD FS kliknij Kopiuj obok wartości w razie potrzeby. Następnie wklej wartości od dostawcy tożsamości poniżej. Kliknij Weryfikuj.

Uwaga: Jeśli korzystasz z Microsoft Entra (dawniej Azure), użyj karty Wszyscy inni dostawcy tożsamości , aby skonfigurować SSO.

Powyższe instrukcje nawigacji i nazwy pól mogą się różnić w zależności od dostawcy tożsamości. Bardziej szczegółowe instrukcje dotyczące konfigurowania aplikacji u powszechnie używanych dostawców tożsamości można znaleźć poniżej:

Jeśli korzystasz z Active Directory Federation Services, dowiedz się więcej o konfigurowaniu logowania jednokrotnego przy użyciu AD FS.

Wymaganie SSO dla wszystkich użytkowników

Po skonfigurowaniu SSO możesz wymagać od wszystkich użytkowników korzystania z SSO do logowania się do HubSpot.

Uwaga: od 31 lipca 2024 r. to ustawienie będzie domyślnie włączone.

  • W menu na lewym pasku bocznym kliknij Zabezpieczenia > Ustawienia i aktywność.
  • W sekcji Logowanie zaznacz pole wyboru Wymagaj jednokrotnego logowania .

Wykluczenie określonych użytkowników z wymogu SSO

Po skonfigurowaniu SSO można wykluczyć określonych użytkowników z wymogu SSO, aby umożliwić im również logowanie się za pomocą konta użytkownika HubSpot.

  • W menu na lewym pasku bocznym kliknij Bezpieczeństwo > Ustawienia i aktywność.
  • W sekcji Logowanie kliknij opcję Zarządzaj wykluczonymi użytkownikami.

  • W oknie dialogowym kliknij menu rozwijane Wybierz użytkowników i wybierz użytkowników, którzy będą mogli logować się za pomocą swoich kont HubSpot. Możesz na przykład wybrać partnerów i kontrahentów, jeśli nie mają oni loginu SSO.
  • Kliknij przycisk Zapisz.

Uwaga: użytkownik, który zaznaczy pole wyboru Wymagaj jednokrotnego logowania , zostanie automatycznie dodany do wykluczonych użytkowników. Zaleca się wykluczenie co najmniej jednego użytkownika z uprawnieniami Administratora o rozszerzonych uprawnieniach. W przypadku awarii dostawcy tożsamości może on zalogować się i usunąć zaznaczenie pola wyboru Require Single Sign-on, aby umożliwić wszystkim użytkownikom logowanie się za pomocą ich kont HubSpot.

Instrukcje dla określonych dostawców tożsamości

Okta

Uwaga: wymagany jest dostęp administracyjny do instancji Okta. Ten proces jest dostępny tylko w klasycznym interfejsie użytkownika Okta.

  • Zaloguj się do Okta. Upewnij się, że jesteś w instancji administracyjnej swojego konta deweloperskiego Okta.
  • Kliknij Aplikacje na górnym pasku nawigacyjnym.
  • Kliknij Dodaj aplikację.
  • Wyszukaj HubSpot SAML, a następnie kliknij Dodaj.
  • Na ekranie ustawień ogólnych kliknij przycisk Gotowe.
  • Na stronie szczegółów aplikacji kliknij kartę Sign On.
  • Pod komunikatem "SAML 2.0 nie jest skonfigurowany, dopóki nie ukończysz instrukcji konfiguracji" kliknij Wyświetl instrukcje konfiguracji. Spowoduje to otwarcie nowej karty. Pozostaw ją otwartą, a następniewróć do oryginalnej karty w aplikacji Okta.
  • Na tej samej karcie przewiń w dół do Zaawansowane ustawienia logowania i dodaj swój Hub ID w polu Portal Id. Dowiedz się, jak uzyskać dostęp do Hub ID.
  • Przejdź do ustawień użytkownika. Przypisz nową aplikację do wszystkich użytkowników, którzy są również na Twoim koncie HubSpot, w tym do siebie.
  • Wróć do karty Wyświetl instrukcje konfiguracji . Skopiuj każdy z adresów URL i certyfikat, a następnie wklej je w HubSpot w polu Identity Provider Identifier or Issuer URL, Identity Provider Single Sign-On URL i X.509 Certificate .
  • Kliknij przycisk Weryfikuj. Zostaniesz poproszony o zalogowanie się na swoje konto Okta, aby zakończyć konfigurację i zapisać ustawienia.

Po zweryfikowaniu konfiguracji SSO przejdź na stronę https://app.hubspot.com/login/sso i wprowadź swój adres e-mail. Portal HubSpot sprawdzi konfigurację jednokrotnego logowania Twojego portalu i prześle Cię do dostawcy tożsamości w celu zalogowania się. Zobaczysz również przycisk Zaloguj się za pomocą SSO, gdy odwiedzisz bezpośredni link do swojego konta.

OneLogin

Uwaga: do utworzenia nowej aplikacji SAML 2.0 w OneLogin wymagany jest dostęp administracyjny w instancji OneLogin.

  • Zaloguj się do OneLogin.

  • Przejdź do aplikacji.

  • Wyszukaj HubSpot.

  • Kliknij aplikację z napisem "SAML2.0".

  • W prawym górnym rogu kliknij Zapisz.

  • Kliknij kartę Konfiguracja.

  • W polu HubSpot Account ID dodaj swój Hub ID. Dowiedz się, jak uzyskać dostęp do Hub ID.

  • Kliknij kartę SSO .
  • Skopiuj poniższe pola z OneLogin i wklej je do odpowiednich pól panelu konfiguracji SSO w HubSpot:
    • Skopiuj wartość w polu Issuer URL i wklej ją do Identity Provider Identifier lub Issuer URL.
    • Skopiuj wartość w SAML 2.0 Endpoint (HTTP) i wklej ją do Identity Provider Single Sign-on URL.
    • W obszarze Certyfikat X .509 kliknij opcję Wyświetl szczegóły, a następnie skopiuj certyfikat i wklej go w obszarze Certyfikat X.509.

  • W prawym górnym rogu konta OneLogin kliknij przycisk Zapisz.

Po zweryfikowaniu konfiguracji SSO przejdź na stronę https://app.hubspot.com/login/sso i wprowadź swój adres e-mail. Portal HubSpot sprawdzi konfigurację jednokrotnego logowania Twojego portalu i prześle Cię do dostawcy tożsamości w celu zalogowania się. Zobaczysz również przycisk Zaloguj się za pomocą SSO, gdy odwiedzisz bezpośredni link do swojego konta.

Microsoft Entra ID

W przypadku użytkowników Microsoft Entra ID (dawniej Azure Active Directory) należy zainstalować aplikację HubSpot w Microsoft Azure Marketplace i obserwując instrukcje Microsoftu skonfigurować integrację. Umożliwi to korzystanie z Microsoft Entra ID do zarządzania dostępem użytkowników i włączania pojedynczego logowania w HubSpot.

Po zweryfikowaniu konfiguracji SSO przejdź na stronę https://app.hubspot.com/login/sso i wprowadź swój adres e-mail. Portal HubSpot sprawdzi konfigurację pojedynczego logowania w portalu i prześle użytkownika do dostawcy SSO w celu zalogowania się. Zobaczysz również przycisk Zaloguj się za pomocą SSO, gdy odwiedzisz bezpośredni link do swojego konta.

Google

Zapoznaj się z instrukcjami Google, jak skonfigurować pojedyncze logowanie HubSpot z G-Suite jako dostawcą tożsamości.

Po zweryfikowaniu konfiguracji SSO przejdź na stronę https://app.hubspot.com/login/sso i wprowadź swój adres e-mail. Portal HubSpot wyszuka konfigurację pojedynczego logowania Twojego portalu i prześle Cię do dostawcy SSO w celu zalogowania się. Zobaczysz również przycisk Zaloguj się za pomocą SSO, gdy odwiedzisz bezpośredni link do swojego konta.

Najczęściej zadawane pytania

Którego wiązania używa HubSpot jako dostawca usług SAML?

HubSpot używa HTTP Post.

Korzystam z usług federacyjnych Active Directory. Czego powinienem użyć jako strony ufającej (RPT)?

Dowiedz się więcej o konfigurowania logowania jednokrotnego przy użyciu ADFS.

Jaki format nazwy użytkownika powinienem ustawić w mojej aplikacji SAML?

Użytkownicy HubSpot są identyfikowani na podstawie adresu e-mail. Upewnij się, że Twój IDP wysyła nameID w formacie e-mail, który odpowiada adresowi e-mail użytkownika HubSpot.

Jaki algorytm podpisywania obsługuje HubSpot?

Uwaga: Po 31 marca 2023 r. HubSpot przestanie obsługiwać SHA-1 dla nowych połączeń SSO. Wszelkie istniejące połączenia SSO, które używają SHA-1, mogą nadal działać, dopóki HubSpot nie przestanie obsługiwać SHA-1 dla wszystkich połączeń SSO w dniu 30 czerwca 2023 r. Jeśli korzystasz z SHA-1, musisz przejść na SHA-256 do 30 czerwca 2023 roku.

HubSpot obsługuje tylko SHA-256 jako algorytm podpisywania. Żądania należy podpisywać algorytmem SHA-256.

W jakim formacie należy dostarczyć certyfikat x509?

HubSpot wymaga certyfikatu x509 w formacie PEM. Należy skopiować zawartość tekstową pliku PEM do pola certyfikatu x509 w HubSpot. Wartość powinna również zawierać -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.

Czy mogę jednocześnie włączyć uwierzytelnianie dwuskładnikowe, wymagane uwierzytelnianie dwuskładnikowe, SSO i wymagane SSO?

Tak. Po włączeniu uwierzytelniania dwuskładnikowego jest ono aktywne przy każdym logowaniu przy użyciu nazwy użytkownika i hasła HubSpot. Włączenie 2FA w HubSpot nie uniemożliwia logowania przy użyciu 2FA Google lub SSO. W związku z tym, jeśli użytkownicy są wyłączeni z wymogu SSO, można wymagać 2FA w HubSpot, aby zapewnić, że wszelkie logowania, które omijają SSO, przechodzą przez 2FA lub Google.

Jeśli włączysz 2FA dla swojego konta Google, jest to niezależne od konfiguracji HubSpot. Jednak po zalogowaniu się do HubSpot za pomocą konta Google, 2FA Google będzie chronić konto HubSpot.

Jeśli uwierzytelnianie dwuskładnikowe i SSO są wymagane lub włączone na koncie w tym samym czasie, wystąpią następujące zdarzenia:

  • Jeśli wymagane jest zalogowanie się do konta za pomocą SSO, uwierzytelnianie dwuskładnikowe dla HubSpot nie zostanie wyświetlone.
  • Jeśli Twoje konto wymaga SSO, ale jesteś wykluczony, możesz zalogować się za pomocą 2FA lub opcji Zaloguj się przez Google lub Zaloguj się przez Microsoft.
  • Jeśli wymagane jest logowanie za pomocą 2FA i nie skonfigurowano SSO, możesz zalogować się za pomocą 2FA lub opcji Zaloguj się za pomocą Google lub Zaloguj się za pomocą Microsoft .
  • Jeśli twoje konto nie ma żadnych wymagań, ale ma włączone SSO, możesz zalogować się dowolną metodą, w tym SSO.
Wyświetl kompletny wpis