Konfigurowanie jednokrotnego logowania (SSO) przy użyciu usług Active Directory Federation Services (AD FS)

Jeśli masz konto HubSpotEnterprise, możesz skonfigurować pojedyncze logowanie przy użyciu Active Directory Federation Services (AD FS).

Aby używać AD FS do logowania się do konta HubSpot, należy spełnić następujące wymagania:

• Wszyscy użytkownicy w danej instancji Active Directory muszą mieć atrybut adresu e-mail.
• Użytkownik korzysta z konta HubSpot Enterprise.
• Posiadać serwer z systemem Windows Server 2008, 2012 lub 2019.

Uwaga:troces konfiguracji powinien zostać przeprowadzony przez administratora IT z doświadczeniem w tworzeniu aplikacji na koncie dostawcy tożsamości. Dowiedz się więcej okonfigurowaniuSSO w HubSpot.

Zanim zaczniesz

Zanim rozpoczniesz, zapoznaj się z poniższymi dwoma wartościami z konta HubSpot, aby skonfigurować SSO przy użyciu Microsoft AD FS:

• Zaloguj się na swoje konto HubSpot.
• W koncie HubSpot kliknij ikonę ustawień ustawienia w głównym panelu nawigacyjnym.
• Na lewym pasku bocznym kliknij opcjęDomyślne ustawienia konta.
• Kliknij kartęZabezpieczenia.
• Kliknij przycisk Konfigurujjednokrotne logowanie.
• W panelu wysuwanym Konfigurujjednokrotnelogowanie kliknij pozycjęMicrosoft AD FS.
• Zwróć uwagę na wartościAudience URI (Service Provider Entity ID)iSign on URL, ACS, Recipient lub Redirect, ponieważ trzeba będzie dodać je do Microsoft AD FS w procesie konfiguracji.

1.Dodanie zaufania strony ufającej (RPT)

Otworzyć menedżera usług federacyjnych w usłudze Active Directory (AD FS):

• W menedżerzeADFS otwórz folderRelying Party Trusts (RPT)(Zaufanie strony ufającej).
• W menu na prawym pasku bocznym wybierz opcjęAdd Relying Party Trust (Dodaj zaufanie strony ufającej)....
• W oknie dialogowymAdd Relying Party Trust Wizard (Kreator dodawania zaufania strony ufającej) kliknijStart, aby dodać nowy RPT.
• Na ekranieWybierz źródło danychzaznacz opcjęWprowadź dane dotyczące strony ufającej ręcznie.
• KliknijDalej >.
• W poluNazwa wyświetlanawpisz nazwę dla swojego zaufania - jest to nazwa do celów wewnętrznych, więc upewnij się, że jest to nazwa, którą można łatwo rozpoznać.
• KliknijDalej >.
• Na ekranieKonfiguruj certyfikatpozostaw ustawienia domyślne bez zmian, a następnie kliknij przycisk Dalej>.
• Zaznacz pole wyboruEnable Support for the SAML 2.0 WebSSO protocol (Włącz obsługę protokołu SAML 2.0 WebSSO). W poluRelying party SAML 2.0 SSO service URL wpisz adresURL Sign on, ACS, Recipient lub Redirect URL z konta HubSpot.

• Kliknij przyciskDalej >.
• W polu Relyingparty trust identifier (Identyfikator zaufania strony ufającej):
  • Wprowadź wartośćAudience URI (Service Provider Entity ID) ze swojego konta HubSpot.
  • Wprowadź adres https://api.hubspot.com, a następnie kliknij przyciskDodaj.
• Kliknij przyciskDalej >.
• W oknieChoose an access control policy (Wybierz zasady kontroli dostępu) wybierz opcjęPermit everyone (Zezwalaj wszystkim), a następnie kliknij przyciskNext >.
• Zapoznaj się z ustawieniami, a następnie kliknij przycisk Dalej>.
• Kliknij przyciskZamknij.

2. Tworzenie reguł reklamacji

Przed utworzeniem reguły roszczeń należy upewnić się, że adresy e-mail użytkowników są zgodne z adresami e-mail użytkowników HubSpot. Można użyć innych identyfikatorów, takich jak User Principal Name (UPN), jeśli UPN mają postać adresu e-mail. Aby pojedyncze logowanie za pomocą AD FS działało, identyfikator nameID musi mieć postać adresu e-mail, aby można go było dopasować do użytkownika HubSpot.

• W oknie Reguła roszczeńkliknij przyciskDodaj regułę.
• Kliknij menu rozwijane Szablon regułyroszczeń i wybierz opcję Wysyłaj atrybuty LDAP jako roszczenia.
• Kliknij przyciskDalej >.
• Na ekranieConfigure Claim Rule (Konfiguruj regułę roszczenia):
  • W polu Nazwareguły roszczeń wpisz nazwę reguły.
  • Kliknij menu rozwijaneMagazyn atrybutów i wybierz opcjęActive Directory.
  • W tabeli Mapowanie atrybutów LDAPzmapuj następujące elementy:
    • W kolumnie Atrybuty LDAP kliknijmenurozwijane i wybierz pozycjęAdresy e-mail.
    • W kolumnie Typ roszczenia wychodzącegokliknijmenu rozwijane i wybierz opcjęAdres e-mail.
• Kliknij przyciskZakończ.

Następnie skonfiguruj regułę Przekształć roszczenie przychodzące:

• Kliknij przyciskDodaj regułę.
• Kliknij menu rozwijaneSzablon reguły roszczeń i wybierz opcję Przekształć roszczenieprzychodzące.
• KliknijDalej >.
• Na ekranie Konfiguruj regułęroszczeń:
  • Wprowadź nazwę reguły dotyczącej roszczeń.
  • Kliknij menu rozwijaneTyproszczenia przychodzącego i wybierz opcjęAdres e-mail.
  • Kliknij menu rozwijaneTyp roszczenia wychodzącegoi wybierz Identyfikatornazwy.
  • Kliknij menu rozwijaneFormat wychodzącego identyfikatora nazwyi wybierz opcjęE-mail.
  • Kliknij przyciskZakończ, aby dodać nową regułę.
• Kliknij przyciskOK, aby dodać obie nowe reguły. 3.

3. Dostosuj ustawienia zaufania

W folderze Zaufanie strony odpowiadającej wybierz polecenie Właściwości z menu paska bocznegoAkcje. Kliknij kartęZaawansowanei upewnij się, że jako bezpieczny algorytm haszowania określonoSHA-256. Mimo że obsługiwane są zarówno SHA-256, jak i SHA-1, zalecany jest SHA-256.

4. Zlokalizuj certyfikat x509 w formacie PEM

Aby uzyskać dostęp do certyfikatu x509 w formacie PEM:

• Przejść do okna zarządzaniaAD FS. W menu lewego paska bocznego przejść do Services (Usługi) >Certificates (Certyfikaty).
• Zlokalizować certyfikatpodpisywania tokena. Kliknąć prawym przyciskiem myszy certyfikat i wybrać polecenieWyświetl certyfikat.
• W oknie dialogowym kliknąć zakładkęSzczegóły.
• Kliknij przyciskKopiuj do pliku.
• W otwartymoknie Eksport certyfikatu kliknij przyciskDalej.
• Wybierz opcjęKodowany Base-64 X.509 (.CER), a następnie kliknijDalej.
• Nadaj eksportowanemu plikowi nazwę, a następnie kliknijDalej.
• Kliknij przyciskZakończ, aby zakończyć eksport.

• Odszukaj wyeksportowany plik i otwórz go w edytorze tekstu, np. w Notatniku.
• Skopiuj zawartość pliku.

5. Zakończ konfigurację w HubSpot

• Zaloguj się do swojego konta HubSpot.
• W koncie HubSpot kliknij ikonę ustawień ustawienia w głównym panelu nawigacyjnym.
• Na lewym pasku bocznym kliknij opcjęDomyślne ustawienia konta.
• Kliknij kartęZabezpieczenia.
• Kliknij przycisk Konfigurujjednokrotne logowanie.
• W panelu wysuwanym Konfigurujjednokrotnelogowanie kliknij pozycjęMicrosoft AD FS.
• Wklej zawartość pliku dopola CertyfikatX.509.
• Wrócić do menedżera AD FS.

• W menu lewego paska bocznego wybierz folderEndpoints (Punktykońcowe).
• Wyszukać punkt końcowy usługi SSO i adres URL podmiotu. Adres URL usługi SSO zwykle kończy się na "adfs/services/ls", a adres URL podmiotu na "adfs/services/trust".
• Wróć do HubSpot. W poluIdentyfikator dostawcy tożsamości lub Emitentwpisz adres URL podmiotu.
• W poluIdentity Provider Single Sign-On URLwpisz adres URL usługi SSO.
• Kliknij przyciskZweryfikuj.

Uwaga: jeśli podczas konfigurowania usługi jednokrotnego logowania w HubSpot wystąpi błąd, należy sprawdzić logi przeglądarki zdarzeń w urządzeniu w poszukiwaniu komunikatu o błędzie. Jeśli nie jesteś w stanie rozwiązać problemu z komunikatem o błędzie, skontaktuj się z działem pomocy technicznej HubSpot.