Jeśli masz konto HubSpot Enterprise , możesz skonfigurować logowanie jednokrotne za pomocą usług federacyjnych w usłudze Active Directory (AD FS).
Aby używać AD FS do logowania się na konto HubSpot, musisz spełnić następujące wymagania:
- Wszyscy użytkownicy w instancji Active Directory muszą mieć atrybut adresu e-mail.
- Używane jest konto HubSpot Enterprise.
- Posiadasz serwer z systemem Windows Server 2008, 2012 lub 2019.
Uwaga: ten proces konfiguracji powinien zostać przeprowadzony przez administratora IT z doświadczeniem w tworzeniu aplikacji na koncie dostawcy tożsamości. Dowiedz się więcej o konfigurowaniu SSO w HubSpot.
Zanim zaczniesz
Zanim zaczniesz, zwróć uwagę na następujące dwie wartości z konta HubSpot, aby skonfigurować SSO przy użyciu Microsoft AD FS:
- Zaloguj się na swoje konto HubSpot.
- .
- Na lewym pasku bocznym kliknij Ustawienia domyślne konta.
- Kliknij kartę Bezpieczeństwo.
- Kliknij opcję Konfiguruj logowanie jednokrotne.
- W panelu Set up Single sign-on kliknij Microsoft AD FS.
- Zwróć uwagę na wartości Audience URI (identyfikator podmiotu usługodawcy) i Sign on URL, ACS, Recipient lub Redirect, ponieważ będziesz musiał dodać je do Microsoft AD FS w procesie konfiguracji.
1.Dodaj zaufanie strony polegającej (RPT)
Otwórz menedżera Active Directory Federation Services (AD FS):
- W menedżerze AD FS otwórz folder Relying Party Trusts (RPT) .
- W menu na prawym pasku bocznym wybierz opcję Dodaj zaufanie zaufanej strony....
- W oknie dialogowym Add Relying Party Trust Wizard kliknij przycisk Start , aby dodać nowy RPT.
- Na ekranie Wybierz źródło danych wybierz opcję Wprowadź ręcznie dane o stronie ufającej.
- Kliknij Dalej >.
- W polu Wyświetlana nazwa wprowadź nazwę swojego zaufania - jest to nazwa do celów wewnętrznych, więc upewnij się, że nazwa jest łatwa do rozpoznania.
- Kliknij przycisk Dalej >.
- Na ekranie Configure Certificate pozostaw ustawienia domyślne, a następnie kliknij Next >.
- Zaznacz pole wyboru Enable Support for the SAML 2.0 WebSSO protocol (Włącz obsługę protokołu SAML 2.0 WebSSO ). W polu Relying party SAML 2.0 SSO service URL wprowadź adres URL logowania, ACS, odbiorcy lub przekierowania z konta HubSpot.
- Kliknij przycisk Dalej >.
- W polu Identyfikator zaufania strony uf ającej:
- Wprowadź wartość Audience URI (Service Provider Entity ID) z konta HubSpot.
- Wprowadź https://api.hubspot.com, a następnie kliknij Add ( Dodaj).
- Kliknij przycisk Dalej >.
- W oknie Wybierz zasady kontroli dostępu wybierz opcję Zezwalaj wszystkim, a następnie kliknij przycisk Dalej >.
- Przejrzyj ustawienia, a następnie kliknij przycisk Next >.
- Kliknij przycisk Zamknij.
2. Tworzenie reguł oświadczeń
Przed skonfigurowaniem reguły roszczeń upewnij się, że adresy e-mail użytkowników są zgodne z adresami e-mail użytkowników HubSpot. Możesz użyć innych identyfikatorów, takich jak User Principal Name (UPN), jeśli Twoje UPN mają postać adresu e-mail. Aby logowanie jednokrotne z AD FS działało, identyfikator nameID musi mieć postać adresu e-mail, aby pasował do użytkownika HubSpot.
- W oknie Claims Rule kliknij przycisk Add Rule.
- Kliknij menu rozwijane Claim rule template i wybierz opcję Send LDAP Attributes as Claims.
- Kliknij przycisk Dalej >.
- Na ekranie Configure Claim Rule (Skonfiguruj regułę roszczenia):
- W polu Claim rule name wprowadź nazwę reguły.
- Kliknij menu rozwijane Attribute store i wybierz Active Directory.
- W tabeli Mapowanie atrybutów LDAP zamapuj następujące elementy:
- W kolumnie Atrybut LDAP kliknij menu rozwijane i wybierz opcję Adresy e-mail.
- W kolumnie Outgoing ClaimType kliknij menu rozwijane i wybierz opcję Email Address.
- Kliknij przycisk Zakończ.
Następnie skonfiguruj regułę Przekształć przychodzące roszczenie:
- Kliknij przycisk Dodaj regułę.
- Kliknij menu rozwijane Szablon reguły roszczenia i wybierz opcję Przekształć przychodzące roszczenie.
- Kliknij Dalej >.
- Na ekranie Konfiguruj regułę roszczenia:
- Wprowadź nazwę reguły roszczenia.
- Kliknij menu rozwijane Typ roszczenia przychodzącego i wybierz Adres e-mail.
- Kliknij menu rozwijane Outgoing claim type i wybierz opcję Name ID.
- Kliknij menu rozwijane Format wychodz ącego identyfikatora nazwy i wybierz E-mail.
- Kliknij przycisk Zakończ , aby dodać nową regułę.
- Kliknij OK , aby dodać obie nowe reguły.
3. Dostosuj ustawienia zaufania
W folderze Zaufania strony odpowiadającej wybierz Właściwości z menu paska bocznego Akcje . Kliknij kartę Zaawansowane i upewnij się, że SHA-256 jest określony jako bezpieczny algorytm skrótu. Chociaż obsługiwane są zarówno SHA-256, jak i SHA-1, zalecane jest SHA-256.
4. Zlokalizuj certyfikat x509 w formacie PEM
Aby uzyskać dostęp do certyfikatu x509 w formacie PEM:
- Przejdź do okna zarządzania programem AD FS . W menu na lewym pasku bocznym przejdź do pozycji Usługi > Certyfikaty.
- Zlokalizuj certyfikat podpisywania tokenów . Kliknij certyfikat prawym przyciskiem myszy i wybierz opcję Wyświetl certyfikat.
- W oknie dialogowym kliknij kartę Szczegóły .
- Kliknij Kopiuj do pliku.
- W otwartym oknie eksportu certyfik atu kliknij przycisk Dalej.
- Wybierz opcję Base-64 encoded X.509 (.CER), a następnie kliknij Next.
- Nadaj nazwę eksportowanemu plikowi, a następnie kliknij Dalej.
- Kliknij Finish , aby zakończyć eksport.
- Zlokalizuj wyeksportowany plik i otwórz go za pomocą edytora tekstu, takiego jak Notatnik.
- Skopiuj zawartość pliku.
5. Zakończ konfigurację w HubSpot
- Zaloguj się na swoje konto HubSpot.
- Na lewym pasku bocznym kliknij Ustawienia domyślne konta.
- Kliknij kartę Bezpieczeństwo.
- Kliknij opcję Konfiguruj logowanie jednokrotne.
- W panelu Set up Single sign-on kliknij Microsoft AD FS.
- Wklej zawartość pliku wpolu Certyfikat X.509.
- Wróć do menedżera AD FS.
- W menu na lewym pasku bocznym wybierz folder Punkty końcowe .
- Wyszukaj punkt końcowy usługi SSO i adres URL jednostki. Adres URL usługi SSO zwykle kończy się na "adfs/services/ls", a adres URL jednostki kończy się na "adfs/services/trust".
- Wróć do HubSpot. W polu Identity provider Identifier or Issuer wprowadź adres URL jednostki.
- W polu Identity Provider Single Sign-On URL wprowadź adres URL usługi SSO.
- Kliknij przycisk Weryfikuj.
Uwaga: jeśli podczas konfigurowania logowania jednokrotnego w HubSpot wystąpi błąd, sprawdź komunikat o błędzie w dziennikach przeglądarki zdarzeń na urządzeniu. Jeśli nie możesz rozwiązać problemu z komunikatem o błędzie, skontaktuj się z pomocą techniczną HubSpot.