Skonfigurowanie jednokrotnego logowania (SSO) przy użyciu Usług federacyjnych w usłudze Active Directory (AD FS)

Jeśli masz konto HubSpot Professional lub Enterprise , możesz skonfigurować logowanie jednokrotne za pomocą Active Directory Federation Services (AD FS).

Aby używać AD FS do logowania się na konto HubSpot, należy spełnić następujące wymagania:

• Wszyscy użytkownicy w instancji Active Directory muszą mieć atrybucję adresu e-mail.
• Korzystasz z konta HubSpot Professional lub Enterprise.
• Masz serwer z systemem Windows Server 2008, 2012 lub 2019.

Uwaga: ten proces konfiguracji powinien zostać przeprowadzony przez administratora IT z doświadczeniem w tworzeniu aplikacji na koncie dostawcy tożsamości. Dowiedz się więcej o konfigurowaniu SSO w HubSpot.

Przed rozpoczęciem

Zanim zaczniesz, zwróć uwagę na dwie poniższe wartości z konta HubSpot, aby skonfigurować SSO przy użyciu Microsoft AD FS:

1. Na lewym pasku bocznym kliknij Bezpieczeństwo.
2. Na karcie Logowanie, w sekcji Konfigurowanie jednokrotnego logowania (SSO ) kliknij przycisk Konfiguruj.
3. W panelu slajdów Konfigurowanie jednokrotnego log owania kliknij kartę Microsoft AD FS .
4. Zwróć uwagę zarówno na wartości Odbiorcy URI (Service Provider Entity ID) , jak i Sign on URL, ACS, Recipient lub Przekierowanie, ponieważ będziesz musiał dodać je do Microsoft AD FS w procesie konfiguracji.

1.Dodawanie zaufania strony ufającej (RPT)

Otwórz menedżera usług federacyjnych w usłudze Active Directory (AD FS):

1. W menedżerze AD FS otwórz folder Relying Party Trusts (RPT) .
2. Z menu na prawym pasku bocznym wybierz opcję Add Relying Party Trust....
3. W oknie dialogowym Add R elying Party Trust Wizard kliknij przycisk Start , aby dodać nowy RPT.
4. Na ekranie Wybierz źródło danych wybierz opcję Wprowadź dane o stronie ufającej ręcznie.
5. Kliknij Dalej >.
6. W polu Wyświetlana nazwa wprowadź nazwę swojego zaufania - jest to nazwa do celów wewnętrznych, więc upewnij się, że jest to nazwa, którą można łatwo rozpoznać.
7. Kliknij przycisk Dalej >.
8. Na ekranie Configure Certificate pozostaw ustawienia domyślne, a następnie kliknij Next >.
9. Zaznacz pole wyboru Enable Support for the SAML 2.0 WebSSO protocol (Włącz obsługę protokołu SAML 2.0 WebSSO ). W polu Relying party SAML 2.0 SSO service URL wprowadź adres URL logowania, ACS, odbiorcy lub przekierowania z konta HubSpot.

10. Kliknij przycisk Dalej >.
11. W polu Identyfikator zaufania strony ufającej :

• • Wprowadź wartość URI Odbiorcy (Service Provider Entity ID) z konta HubSpot.
  • Wprowadź https://api.hubspot.com, a następnie kliknij Add.

12. Kliknij przycisk Dalej >.
13. W oknie Choose an access control policy wybierz opcję Permit everyone, a następnie kliknij przycisk Next >.
14. Dokonaj oceny ustawień, a następnie kliknij Dalej >.
15. Kliknij Finalizacja.

2. Tworzenie reguł oświadczeń

Przed skonfigurowaniem reguły oświadczeń upewnij się, że adresy e-mail użytkowników są zgodne z adresami e-mail użytkowników HubSpot. Możesz użyć innych identyfikatorów, takich jak User Principal Name (UPN), jeśli Twoje UPN mają formę adresu e-mail. Aby logowanie jednokrotne z AD FS działało, identyfikator nameID musi mieć formę adresu e-mail, aby pasował do użytkownika HubSpot.

1. W oknie Claims Rule kliknij przycisk Add Rule.
2. Kliknij menu rozwijane Szablon reguły roszczeń i wybierz opcję Wyślij atrybucje LDAP jako roszczenia.
3. Kliknij przycisk Dalej >.
4. Na ekranie Konfiguruj regułę roszczenia :

• • W polu Claim rule name wprowadź nazwę reguły.
  • Kliknij menu rozwijane Atrybucja i wybierz Active Directory.
  • W tabeli Mapowanie atrybutów LDAP zamapuj następujące elementy:
    • W kolumnie Atrybucja LDAP kliknij menu rozwij ane i wybierz Adresy e-mail.
    • W kolumnie Outgoing ClaimType kliknij menu rozwijane i wybierz opcję Email Address.

5. Kliknij przycisk Zakończ.

Następnie skonfiguruj regułę Przekształć przychodzące roszczenie:

1. Kliknij przycisk Dodaj regułę.
2. Kliknij menu rozwijane Szablon reguły roszczenia i wybierz opcję Przekształć przychodzące roszczenie.
3. Kliknij przycisk Dalej >.
4. Na ekranie Konfiguruj regułę roszczenia :

• • Wprowadź nazwę reguły oświadczenia.
  • Kliknij menu rozwijane Typ oświadczenia przychodzącego i wybierz Adres e-mail.
  • Kliknij menu rozwijane Typ oświadczenia wychodzącego i wybierz ID nazwy.
  • Kliknij menu rozwijane Format wychodzącego identyfikatora nazwy i wybierz E-mail.
  • Kliknij przycisk Zakończ , aby dodać nową regułę.

5. Kliknij OK , aby dodać obie nowe reguły.

3. Dostosuj ustawienia zaufania

1. W folderze Replying Party Trusts wybierz Właściwość z menu paska bocznego Akcje .
2. Kliknij kartę Zaawansowane i upewnij się, że jako bezpieczny algorytm skrótu wybrano SHA-256 .

Chociaż obsługiwane są zarówno SHA-256, jak i SHA-1, zalecane jest SHA-256.

4. Zlokalizuj swój certyfikat x509 w formacie PEM

Aby uzyskać dostęp do certyfikatu x509 w formacie PEM:

1. Przejdź do okna zarządzania programem AD FS . W menu na lewym pasku bocznym przejdź do pozycji Usługi > Certyfikaty.
2. Zlokalizuj certyfikat podpisywania Token . Kliknij certyfikat prawym przyciskiem myszy i wybierz opcję Wyświetl certyfikat.

3. W oknie dialogowym kliknij kartę Szczegóły .
4. Kliknij Kopiuj do pliku.
5. W otwartym oknie Eksport certyfikatu kliknij przycisk Dalej.
6. Wybierz opcję Base-64 encoded X.509 (.CER), a następnie kliknij przycisk Next.
7. Nadaj eksportowanemu plikowi nazwę, a następnie kliknij Dalej.
8. Kliknij Finish , aby zakończyć eksport.
9. Zlokalizuj właśnie wyeksportowany plik i otwórz go za pomocą edytora tekstu, takiego jak Notatnik.
10. Skopiuj zawartość pliku.

5. Zakończ konfigurację w HubSpot

1. Zaloguj się na swoje konto HubSpot.
2. Na lewym pasku bocznym kliknij Bezpieczeństwo.
3. Na karcie Logowanie, w sekcji Konfigurowanie jednokrotnego logowania (SSO ) kliknij przycisk Konfiguruj.
4. W panelu slajdów Konfigurowanie jednokrotnego logowania kliknij kartę Microsoft AD FS .
5. Wklej zawartość pliku dopola X.509 Certificate .
6. Wróć do menedżera AD FS.
7. W menu na lewym pasku bocznym wybierz folder Punkty końcowe .
8. Wyszukaj punkt końcowy usługi SSO i adres URL podmiotu. Adres URL usługi SSO zwykle kończy się na "adfs/services/ls", a adres URL podmiotu kończy się na "adfs/services/trust".
9. Wróć do HubSpot. W polu Identity provider Identifier or Issuer wprowadź adres URL jednostki.
10. W polu Identity Provider Single Sign-On URL wprowadź adres URL usługi SSO.
11. Kliknij przycisk Weryfikuj.

Uwaga: jeśli podczas konfigurowania jednokrotnego logowania w HubSpot wystąpi błąd, sprawdź komunikat o błędzie w dziennikach przeglądarki zdarzeń na urządzeniu. Jeśli nie jesteś w stanie rozwiązać problemu z komunikatem o błędzie, skontaktuj się z pomocą techniczną HubSpot.