Konfigurowanie jednokrotnego logowania (SSO) przy użyciu usług Active Directory Federation Services (AD FS)
Data ostatniej aktualizacji: czerwca 28, 2023
Dostępne z każdą z następujących podpisów, z wyjątkiem miejsc, w których zaznaczono:
|
|
|
|
Jeśli masz konto HubSpotEnterprise, możesz skonfigurować pojedyncze logowanie przy użyciu Active Directory Federation Services (AD FS).
Aby używać AD FS do logowania się do konta HubSpot, należy spełnić następujące wymagania:
- Wszyscy użytkownicy w danej instancji Active Directory muszą mieć atrybut adresu e-mail.
- Użytkownik korzysta z konta HubSpot Enterprise.
- Posiadać serwer z systemem Windows Server 2008, 2012 lub 2019.
Uwaga:troces konfiguracji powinien zostać przeprowadzony przez administratora IT z doświadczeniem w tworzeniu aplikacji na koncie dostawcy tożsamości. Dowiedz się więcej okonfigurowaniuSSO w HubSpot.
Zanim zaczniesz
Zanim rozpoczniesz, zapoznaj się z poniższymi dwoma wartościami z konta HubSpot, aby skonfigurować SSO przy użyciu Microsoft AD FS:
- Zaloguj się na swoje konto HubSpot.
- Na koncie HubSpot kliknij settings ikonę ustawień w głównym pasku nawigacyjnym.
- Na lewym pasku bocznym kliknij opcjęDomyślne ustawienia konta.
- Kliknij kartęZabezpieczenia.
- Kliknij przycisk Konfigurujjednokrotne logowanie.
- W panelu wysuwanym Konfigurujjednokrotnelogowanie kliknij pozycjęMicrosoft AD FS.
- Zwróć uwagę na wartościAudience URI (Service Provider Entity ID)iSign on URL, ACS, Recipient lub Redirect, ponieważ trzeba będzie dodać je do Microsoft AD FS w procesie konfiguracji.
1.Dodanie zaufania strony ufającej (RPT)
Otworzyć menedżera usług federacyjnych w usłudze Active Directory (AD FS):
- W menedżerzeADFS otwórz folderRelying Party Trusts (RPT)(Zaufanie strony ufającej).
- W menu na prawym pasku bocznym wybierz opcjęAdd Relying Party Trust (Dodaj zaufanie strony ufającej)....
- W oknie dialogowymAdd Relying Party Trust Wizard (Kreator dodawania zaufania strony ufającej) kliknijStart, aby dodać nowy RPT.
- Na ekranieWybierz źródło danychzaznacz opcjęWprowadź dane dotyczące strony ufającej ręcznie.
- KliknijDalej >.
- W poluNazwa wyświetlanawpisz nazwę dla swojego zaufania - jest to nazwa do celów wewnętrznych, więc upewnij się, że jest to nazwa, którą można łatwo rozpoznać.
- KliknijDalej >.
- Na ekranieKonfiguruj certyfikatpozostaw ustawienia domyślne bez zmian, a następnie kliknij przycisk Dalej>.
- Zaznacz pole wyboruEnable Support for the SAML 2.0 WebSSO protocol (Włącz obsługę protokołu SAML 2.0 WebSSO). W poluRelying party SAML 2.0 SSO service URL wpisz adresURL Sign on, ACS, Recipient lub Redirect URL z konta HubSpot.

- Kliknij przyciskDalej >.
- W polu Relyingparty trust identifier (Identyfikator zaufania strony ufającej):
- Wprowadź wartośćAudience URI (Service Provider Entity ID) ze swojego konta HubSpot.
- Wprowadź adres https://api.hubspot.com, a następnie kliknij przyciskDodaj.
- Kliknij przyciskDalej >.
- W oknieChoose an access control policy (Wybierz zasady kontroli dostępu) wybierz opcjęPermit everyone (Zezwalaj wszystkim), a następnie kliknij przyciskNext >.
- Zapoznaj się z ustawieniami, a następnie kliknij przycisk Dalej>.
- Kliknij przyciskZamknij.
2. Tworzenie reguł reklamacji
Przed utworzeniem reguły roszczeń należy upewnić się, że adresy e-mail użytkowników są zgodne z adresami e-mail użytkowników HubSpot. Można użyć innych identyfikatorów, takich jak User Principal Name (UPN), jeśli UPN mają postać adresu e-mail. Aby pojedyncze logowanie za pomocą AD FS działało, identyfikator nameID musi mieć postać adresu e-mail, aby można go było dopasować do użytkownika HubSpot.
- W oknie Reguła roszczeńkliknij przyciskDodaj regułę.
- Kliknij menu rozwijane Szablon regułyroszczeń i wybierz opcję Wysyłaj atrybuty LDAP jako roszczenia.
- Kliknij przyciskDalej >.
- Na ekranieConfigure Claim Rule (Konfiguruj regułę roszczenia):
- W polu Nazwareguły roszczeń wpisz nazwę reguły.
- Kliknij menu rozwijaneMagazyn atrybutów i wybierz opcjęActive Directory.
- W tabeli Mapowanie atrybutów LDAPzmapuj następujące elementy:
- W kolumnie Atrybuty LDAP kliknijmenurozwijane i wybierz pozycjęAdresy e-mail.
- W kolumnie Typ roszczenia wychodzącegokliknijmenu rozwijane i wybierz opcjęAdres e-mail.
- Kliknij przyciskZakończ.
Następnie skonfiguruj regułę Przekształć roszczenie przychodzące:
- Kliknij przyciskDodaj regułę.
- Kliknij menu rozwijaneSzablon reguły roszczeń i wybierz opcję Przekształć roszczenieprzychodzące.
- KliknijDalej >.
- Na ekranie Konfiguruj regułęroszczeń:
- Wprowadź nazwę reguły dotyczącej roszczeń.
- Kliknij menu rozwijaneTyproszczenia przychodzącego i wybierz opcjęAdres e-mail.
- Kliknij menu rozwijaneTyp roszczenia wychodzącegoi wybierz Identyfikatornazwy.
- Kliknij menu rozwijaneFormat wychodzącego identyfikatora nazwyi wybierz opcjęE-mail.
- Kliknij przyciskZakończ, aby dodać nową regułę.
- Kliknij przyciskOK, aby dodać obie nowe reguły. 3.
3. Dostosuj ustawienia zaufania
W folderze Zaufanie strony odpowiadającej wybierz polecenie Właściwości z menu paska bocznegoAkcje. Kliknij kartęZaawansowanei upewnij się, że jako bezpieczny algorytm haszowania określonoSHA-256. Mimo że obsługiwane są zarówno SHA-256, jak i SHA-1, zalecany jest SHA-256.
4. Zlokalizuj certyfikat x509 w formacie PEM
Aby uzyskać dostęp do certyfikatu x509 w formacie PEM:
- Przejść do okna zarządzaniaAD FS. W menu lewego paska bocznego przejść do Services (Usługi) >Certificates (Certyfikaty).
- Zlokalizować certyfikatpodpisywania tokena. Kliknąć prawym przyciskiem myszy certyfikat i wybrać polecenieWyświetl certyfikat.
- W oknie dialogowym kliknąć zakładkęSzczegóły.
- Kliknij przyciskKopiuj do pliku.
- W otwartymoknie Eksport certyfikatu kliknij przyciskDalej.
- Wybierz opcjęKodowany Base-64 X.509 (.CER), a następnie kliknijDalej.
- Nadaj eksportowanemu plikowi nazwę, a następnie kliknijDalej.
- Kliknij przyciskZakończ, aby zakończyć eksport.
- Odszukaj wyeksportowany plik i otwórz go w edytorze tekstu, np. w Notatniku.
- Skopiuj zawartość pliku.
5. Zakończ konfigurację w HubSpot
- Zaloguj się do swojego konta HubSpot.
- Na koncie HubSpot kliknij settings ikonę ustawień w głównym pasku nawigacyjnym.
- Na lewym pasku bocznym kliknij opcjęDomyślne ustawienia konta.
- Kliknij kartęZabezpieczenia.
- Kliknij przycisk Konfigurujjednokrotne logowanie.
- W panelu wysuwanym Konfigurujjednokrotnelogowanie kliknij pozycjęMicrosoft AD FS.
- Wklej zawartość pliku dopola CertyfikatX.509.
- Wrócić do menedżera AD FS.
- W menu lewego paska bocznego wybierz folderEndpoints (Punktykońcowe).
- Wyszukać punkt końcowy usługi SSO i adres URL podmiotu. Adres URL usługi SSO zwykle kończy się na "adfs/services/ls", a adres URL podmiotu na "adfs/services/trust".
- Wróć do HubSpot. W poluIdentyfikator dostawcy tożsamości lub Emitentwpisz adres URL podmiotu.
- W poluIdentity Provider Single Sign-On URLwpisz adres URL usługi SSO.
- Kliknij przyciskZweryfikuj.
Uwaga: jeśli podczas konfigurowania usługi jednokrotnego logowania w HubSpot wystąpi błąd, należy sprawdzić logi przeglądarki zdarzeń w urządzeniu w poszukiwaniu komunikatu o błędzie. Jeśli nie jesteś w stanie rozwiązać problemu z komunikatem o błędzie, skontaktuj się z działem pomocy technicznej HubSpot.