HubSpot Baza wiedzy

Konfiguracja logowania jednokrotnego (SSO) przy użyciu usług federacyjnych w usłudze Active Directory (AD FS)

Autor: HubSpot Support | Oct 19, 2021 7:59:31 AM

Jeśli masz konto HubSpot Enterprise , możesz skonfigurować logowanie jednokrotne za pomocą usług federacyjnych w usłudze Active Directory (AD FS).

Aby używać AD FS do logowania się na konto HubSpot, musisz spełnić następujące wymagania:

  • Wszyscy użytkownicy w instancji Active Directory muszą mieć atrybut adresu e-mail.
  • Używane jest konto HubSpot Enterprise.
  • Posiadasz serwer z systemem Windows Server 2008, 2012 lub 2019.

Uwaga: ten proces konfiguracji powinien zostać przeprowadzony przez administratora IT z doświadczeniem w tworzeniu aplikacji na koncie dostawcy tożsamości. Dowiedz się więcej o konfigurowaniu SSO w HubSpot.

Zanim zaczniesz

Zanim zaczniesz, zwróć uwagę na następujące dwie wartości z konta HubSpot, aby skonfigurować SSO przy użyciu Microsoft AD FS:

  • Zaloguj się na swoje konto HubSpot.
  • .
  • Na lewym pasku bocznym kliknij Ustawienia domyślne konta.
  • Kliknij kartę Bezpieczeństwo.
  • Kliknij opcję Konfiguruj logowanie jednokrotne.
  • W panelu Set up Single sign-on kliknij Microsoft AD FS.
  • Zwróć uwagę na wartości Audience URI (identyfikator podmiotu usługodawcy) i Sign on URL, ACS, Recipient lub Redirect, ponieważ będziesz musiał dodać je do Microsoft AD FS w procesie konfiguracji.

1.Dodaj zaufanie strony polegającej (RPT)

Otwórz menedżera Active Directory Federation Services (AD FS):

  • W menedżerze AD FS otwórz folder Relying Party Trusts (RPT) .
  • W menu na prawym pasku bocznym wybierz opcję Dodaj zaufanie zaufanej strony....
  • W oknie dialogowym Add Relying Party Trust Wizard kliknij przycisk Start , aby dodać nowy RPT.
  • Na ekranie Wybierz źródło danych wybierz opcję Wprowadź ręcznie dane o stronie ufającej.
  • Kliknij Dalej >.
  • W polu Wyświetlana nazwa wprowadź nazwę swojego zaufania - jest to nazwa do celów wewnętrznych, więc upewnij się, że nazwa jest łatwa do rozpoznania.
  • Kliknij przycisk Dalej >.
  • Na ekranie Configure Certificate pozostaw ustawienia domyślne, a następnie kliknij Next >.
  • Zaznacz pole wyboru Enable Support for the SAML 2.0 WebSSO protocol (Włącz obsługę protokołu SAML 2.0 WebSSO ). W polu Relying party SAML 2.0 SSO service URL wprowadź adres URL logowania, ACS, odbiorcy lub przekierowania z konta HubSpot.

  • Kliknij przycisk Dalej >.
  • W polu Identyfikator zaufania strony uf ającej:
    • Wprowadź wartość Audience URI (Service Provider Entity ID) z konta HubSpot.
    • Wprowadź https://api.hubspot.com, a następnie kliknij Add ( Dodaj).
  • Kliknij przycisk Dalej >.
  • W oknie Wybierz zasady kontroli dostępu wybierz opcję Zezwalaj wszystkim, a następnie kliknij przycisk Dalej >.
  • Przejrzyj ustawienia, a następnie kliknij przycisk Next >.
  • Kliknij przycisk Zamknij.

2. Tworzenie reguł oświadczeń

Przed skonfigurowaniem reguły roszczeń upewnij się, że adresy e-mail użytkowników są zgodne z adresami e-mail użytkowników HubSpot. Możesz użyć innych identyfikatorów, takich jak User Principal Name (UPN), jeśli Twoje UPN mają postać adresu e-mail. Aby logowanie jednokrotne z AD FS działało, identyfikator nameID musi mieć postać adresu e-mail, aby pasował do użytkownika HubSpot.

  • W oknie Claims Rule kliknij przycisk Add Rule.
  • Kliknij menu rozwijane Claim rule template i wybierz opcję Send LDAP Attributes as Claims.
  • Kliknij przycisk Dalej >.
  • Na ekranie Configure Claim Rule (Skonfiguruj regułę roszczenia):
    • W polu Claim rule name wprowadź nazwę reguły.
    • Kliknij menu rozwijane Attribute store i wybierz Active Directory.
    • W tabeli Mapowanie atrybutów LDAP zamapuj następujące elementy:
      • W kolumnie Atrybut LDAP kliknij menu rozwijane i wybierz opcję Adresy e-mail.
      • W kolumnie Outgoing ClaimType kliknij menu rozwijane i wybierz opcję Email Address.
  • Kliknij przycisk Zakończ.

Następnie skonfiguruj regułę Przekształć przychodzące roszczenie:

  • Kliknij przycisk Dodaj regułę.
  • Kliknij menu rozwijane Szablon reguły roszczenia i wybierz opcję Przekształć przychodzące roszczenie.
  • Kliknij Dalej >.
  • Na ekranie Konfiguruj regułę roszczenia:
    • Wprowadź nazwę reguły roszczenia.
    • Kliknij menu rozwijane Typ roszczenia przychodzącego i wybierz Adres e-mail.
    • Kliknij menu rozwijane Outgoing claim type i wybierz opcję Name ID.
    • Kliknij menu rozwijane Format wychodz ącego identyfikatora nazwy i wybierz E-mail.
    • Kliknij przycisk Zakończ , aby dodać nową regułę.
  • Kliknij OK , aby dodać obie nowe reguły.

3. Dostosuj ustawienia zaufania

W folderze Zaufania strony odpowiadającej wybierz Właściwości z menu paska bocznego Akcje . Kliknij kartę Zaawansowane i upewnij się, że SHA-256 jest określony jako bezpieczny algorytm skrótu. Chociaż obsługiwane są zarówno SHA-256, jak i SHA-1, zalecane jest SHA-256.

4. Zlokalizuj certyfikat x509 w formacie PEM

Aby uzyskać dostęp do certyfikatu x509 w formacie PEM:

  • Przejdź do okna zarządzania programem AD FS . W menu na lewym pasku bocznym przejdź do pozycji Usługi > Certyfikaty.
  • Zlokalizuj certyfikat podpisywania tokenów . Kliknij certyfikat prawym przyciskiem myszy i wybierz opcję Wyświetl certyfikat.
  • W oknie dialogowym kliknij kartę Szczegóły .
  • Kliknij Kopiuj do pliku.
  • W otwartym oknie eksportu certyfik atu kliknij przycisk Dalej.
  • Wybierz opcję Base-64 encoded X.509 (.CER), a następnie kliknij Next.
  • Nadaj nazwę eksportowanemu plikowi, a następnie kliknij Dalej.
  • Kliknij Finish , aby zakończyć eksport.
  • Zlokalizuj wyeksportowany plik i otwórz go za pomocą edytora tekstu, takiego jak Notatnik.
  • Skopiuj zawartość pliku.

5. Zakończ konfigurację w HubSpot

  • Zaloguj się na swoje konto HubSpot.
  • Na lewym pasku bocznym kliknij Ustawienia domyślne konta.
  • Kliknij kartę Bezpieczeństwo.
  • Kliknij opcję Konfiguruj logowanie jednokrotne.
  • W panelu Set up Single sign-on kliknij Microsoft AD FS.
  • Wklej zawartość pliku wpolu Certyfikat X.509.
  • Wróć do menedżera AD FS.
  • W menu na lewym pasku bocznym wybierz folder Punkty końcowe .
  • Wyszukaj punkt końcowy usługi SSO i adres URL jednostki. Adres URL usługi SSO zwykle kończy się na "adfs/services/ls", a adres URL jednostki kończy się na "adfs/services/trust".
  • Wróć do HubSpot. W polu Identity provider Identifier or Issuer wprowadź adres URL jednostki.
  • W polu Identity Provider Single Sign-On URL wprowadź adres URL usługi SSO.
  • Kliknij przycisk Weryfikuj.

Uwaga: jeśli podczas konfigurowania logowania jednokrotnego w HubSpot wystąpi błąd, sprawdź komunikat o błędzie w dziennikach przeglądarki zdarzeń na urządzeniu. Jeśli nie możesz rozwiązać problemu z komunikatem o błędzie, skontaktuj się z pomocą techniczną HubSpot.