Skonfiguruj logowanie jednokrotne (SSO), aby uzyskać dostęp do treści prywatnych
Data ostatniej aktualizacji: sierpnia 22, 2024
Dostępne z każdą z następujących podpisów, z wyjątkiem miejsc, w których zaznaczono:
Service Hub Professional , Enterprise |
Content Hub Professional , Enterprise |
Pojedyncze logowanie (SSO) to sposób na bezpieczne logowanie się do różnych aplikacji za pomocą jednej nazwy użytkownika i hasła.
Dzięki SSO dla treści prywatnych administrator IT może skonfigurować aplikację HubSpot na koncie dostawcy tożsamości, takim jak Google lub Okta. Członkowie organizacji z dostępem do aplikacji HubSpot na koncie dostawcy tożsamości mogą logować się za pomocą SSO, aby wyświetlać prywatne treści.
Możesz dalej doprecyzować, które osoby mają dostęp do określonych treści na podstawie ich członkostwa w liście na koncie HubSpot. Aby uzyskać dostęp do treści na podstawie członkostwa w liście, członkowie zespołu muszą mieć rekordy kontaktów na koncie HubSpot.
SSO dla treści prywatnych jest dostępne dla następujących subskrypcji:
- KontaContent Hub Professional i Enterprise mogą skonfigurować SSO dla blogów, stron docelowych i stron internetowych.
- KontaService Hub Professional i Enterprise mogą skonfigurować SSO dla artykułów bazy wiedzy i portali klientów.
Przed rozpoczęciem
- Ten proces konfiguracji musi zostać przeprowadzony przez administratora IT z doświadczeniem w tworzeniu aplikacji na koncie dostawcy tożsamości i uprawnieniami do edycji ustawień witryny w HubSpot.
- SSO można skonfigurować dla jednej subdomeny hostowanej przez HubSpot na konto dostawcy tożsamości. Aby uzyskać najlepsze wyniki, zaleca się dedykowanie jednej subdomeny tylko dla członkostwa SSO.
- Wiadomości e-mail z powiadomieniami i strony logowania dla treści prywatnych wymagających SSO będą obsługiwane przez konto dostawcy tożsamości, a nie przez ustawienia treści prywatnych w HubSpot.
- Treści prywatne wymagające logowania SSO nie będą indeksowane przez wyszukiwarki i mogą być wyświetlane tylko przez osoby, które mają dostęp i są zalogowane.
- Wszelkie zasoby strony, takie jak obrazy i formularze, będą wymagały dostępu SSO tylko jako część strony. Jeśli adresy URL samych zasobów są dostarczane osobno, dostęp do nich nie będzie wymagał logowania SSO. Dowiedz się więcej o ustawianiu widoczności adresów URL dla zasobów w narzędziu plików.
- Po włączeniu logowania jednokrotnego dla domeny, która wcześniej wymagała rejestracji członków, logowanie jednokrotne będzie korzystać z oryginalnych list członków. Jeśli ponownie wyłączysz SSO, zawartość powróci do wymagania rejestracji członków dla tych samych list.
Skonfiguruj SSO dla treści prywatnych HubSpot na koncie dostawcy tożsamości
Aby skonfigurować SSO dla prywatnych treści hostowanych w HubSpot, administrator IT utworzy nową aplikację dla dostępu do treści HubSpot. Aby ukończyć ten proces, administrator IT odwoła się do wartości z ustawień treści prywatnych w HubSpot.
Uwaga: jeśli wymagane jest SSO dla subdomeny, która już obsługuje treści prywatne z rejestracją członków, treści te nie będą już dostępne dla zarejestrowanych kontaktów.
Kroki i pola wymagane do dodania nowej aplikacji u dostawcy tożsamości mogą się różnić. Ogólne instrukcje dotyczące konfigurowania logowania jednokrotnego dla treści prywatnych przedstawiono poniżej.
Konfigurowanie logowania jednokrotnego dla aplikacji opartej na SAML
Aby utworzyć nową aplikację SAML dla treści prywatnych HubSpot na koncie dostawcy tożsamości:
- Zaloguj się na konto dostawcy tożsamości.
- Przejdź do aplikacji na koncie dostawcy tożsamości.
- Na koncie HubSpot zbierz wymagane wartości dla nowej aplikacji HubSpot:
- Na koncie HubSpot kliknij settings ikonę ustawień w górnym pasku nawigacyjnym..
- W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Zawartość prywatna.
- W górnej części strony kliknij menu rozwijane Wybierz domenę do edycji i wybierz subdomenę.
- W sekcji Logowanie jednokrotne (SSO) kliknij Skonfiguruj SSO.
- W prawym panelu kliknij menu rozwijane Security token format i wybierz SAML.
- Skopiuj adres URL odbiorców i adres URL logowania.
- Na koncie dostawcy tożsamości:
- Wklej adres URL odbiorców i adres URL logowania skopiowane z HubSpot do odpowiednich pól.
-
- Skopiuj identyfikatory dlaIssuer URL,Single Sign-on URL i Certificate.
- Na koncie HubSpot:
- Wklej wartościIssuer URL,Single Sign-on URL i Certificate do odpowiednich pól w panelu Set up Single Sign-on.
- Kliknij przycisk Weryfikuj.
Po zakończeniu procesu weryfikacji zobaczysz potwierdzenie, że logowanie jednokrotne jest włączone dla Twojej domeny w ustawieniach zawartości prywatnej.
Konfigurowanie logowania jednokrotnego dla aplikacji opartej na JWT
- Na koncie dostawcy tożsamości:
- Przejdź do aplikacji na koncie dostawcy tożsamości.
- Skopiuj identyfikatory Remote Login URL i Secret Key. Zlokalizuj algorytm podpisywania.
- Aby zwiększyć bezpieczeństwo, skopiuj Issue, Subject i Audience.
- Na koncie HubSpot wprowadź te wartości w ustawieniach SSO:
- Na koncie HubSpot kliknij settings ikonę ustawień w górnym pasku nawigacyjnym..
- W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Zawartość prywatna.
- W górnej części strony kliknij menu rozwijane Wybierz domenę do edycji i wybierz subdomenę.
- W sekcji Logowanie jednokrotne (SSO) kliknij Skonfiguruj SSO.
- W prawym panelu kliknij menu rozwijane Security token format i wybierz JWT.
- Wklej adres URL zdalnego logowania
- Kliknij menu rozwijane Signing algorithm i wybierz wartość na koncie dostawcy tożsamości.
- Wklej tajny klucz. W przypadku korzystania z asymetrycznego algorytmu podpisywania z kluczem publicznym i prywatnym, Secret Key będzie kluczem publicznym.
- W przypadku korzystania z klucza publicznego dołączanie nagłówka i stopki nie jest wymagane.
- Jeśli dołączasz nagłówek i stopkę, skopiuj i wklej poniższy tekst, a następnie zastąp symbol zastępczy swoim kluczem publicznym:
-
-----BEGIN PUBLIC KEY-----
[twój klucz publiczny]
-----END PUBLIC KEY-----
-
-
- Aby zwiększyć bezpieczeństwo, wklej Issue, Subject i Audience.
- Kliknij przycisk Weryfikuj.
Otworzy się okno "Adres URL zdalnego logowania" określony w ustawieniach SSO. Adres URL otwarty w oknie będzie zawierał parametr zapytania "redirect_url" z wartością adresu URL w konfigurowanej domenie i ścieżką "_hcms/mem/jwt/verify".
W celu weryfikacji należy wysłać żądanie do adresu URL określonego w parametrze "redirect_url" po wprowadzeniu poświadczeń w "Remote Login URL". Żądanie to musi zawierać obsługiwany parametr zapytania, którego wartością musi być JWT/hash, który po odszyfrowaniu zawiera w swoim ładunku pole "email" z prawidłowym adresem e-mail. Obsługiwane parametry zapytania to "jwt", "code", "id_token" i "access_token".
JWT/hash zostanie odszyfrowany przez HubSpot przy użyciu algorytmu podpisywania i tajnego klucza podanego w ustawieniach SSO. Wysyłanie tego kolejnego żądania, wykonanego po wprowadzeniu prawidłowych danych uwierzytelniających na stronie "Remote Login URL", powinno być skonfigurowane na koncie dostawcy tożsamości.
Po zakończeniu procesu weryfikacji zobaczysz potwierdzenie, że logowanie jednokrotne jest włączone dla Twojej domeny w ustawieniach zawartości prywatnej.
Po zakończeniu weryfikacji odwiedzający, którzy pomyślnie przejdą weryfikację na stronie "Remote login URL", powinni zostać wysłani do "_hcms/mem/jwt" z dwoma parametrami zapytania:
- 'jwt', 'code', 'id_token' lub 'access_token' z hashem, który po odszyfrowaniu zawiera adres e-mail odwiedzającego w polu e-mail.
- "redirect_url" - parametr zapytania określający stronę, na którą powinien zostać przekierowany odwiedzający. Ten adres URL powinien być taki sam jak wartość parametru zapytania "redirect_url" w żądaniu wysłanym do "Remote login URL".
Rozwiązywanie typowych błędów JWT
Jeśli masz problemy z konfiguracją SSO dla aplikacji opartej na JWT, zaleca się zweryfikowanie tokena JSON za pomocą debuggera JWT.
Po zweryfikowaniu JWT można rozwiązać następujące błędy:
- NO_SETTINGS: kombinacja portalu i domeny nie zwraca żadnych ustawień JWT.
- COULD_NOT_PARSE_HEADER: Nagłówek JWT musi być obecny i zakodowany base64.
- WRONG_TYPE_IN_HEADER: nagłówek tokenu JWT ma pole "typ", które nie jest równe "jwt".
- ALGORITHM_MISSING_IN_HEADER: Nagłówek tokena JWT nie zawiera pola "alg" dla algorytmu.
- NONE_ALGORITHM_PROVIDED: pole "alg" jest równe "none", co jest niebezpieczne i nieobsługiwane.
- TOKEN_VERIFICATION_FAILED: token może być pusty, zerowy, nieprawidłowy lub parametr zapytania jest nieobsługiwany. Obsługujemy parametry zapytań "jwt", "code", "id_token" i "access_token".
- MISSING_EMAIL_IN_TOKEN: w zdekodowanym tokenie brakuje pola adresu e-mail lub jest ono puste bądź puste.
- INVALID_KEY: brakuje tajnego klucza lub jest on nieprawidłowy.
- INVALID_KEY_LENGTH: długość klucza tajnego nie spełnia wymagań wybranego algorytmu podpisywania.
- PRIVATE_KEY_PROVIDED: wybrany algorytm podpisywania wymaga klucza publicznego jako klucza tajnego, ale dostarczono klucz prywatny.
- INVALID_LOGIN_URL: podany adres URL zdalnego logowania jest nieprawidłowy.
- JTI_CLAIM_INVALID: kontrole JWT nie mogą zostać odtworzone.
Wymagaj SSO dla swojej zawartości
Istnieją dwie opcje wymagania prywatnej zawartości z SSO:
- Prywatne - wymagane logowanie jednokrotne (SSO): każdy w organizacji dostawcy tożsamości z dostępem do aplikacji HubSpot może zalogować się za pomocą SSO, aby wyświetlić zawartość prywatną.
- Prywatne - wymagane logowanie jednokrotne (SSO) z filtrowaniem list: osoby w organizacji dostawcy tożsamości, które mają również określone członkostwo na liście HubSpot , mogą zalogować się za pomocą SSO, aby wyświetlić zawartość prywatną. Osoby te muszą mieć dostęp do aplikacji HubSpot na koncie dostawcy tożsamości (np. Okta lub Google), ale nie muszą być użytkownikami na koncie HubSpot.
Wymaganie SSO dla bloga
Możesz wymagać SSO dla blogów hostowanych w subdomenie, którą podłączyłeś na koncie dostawcy tożsamości. Włączenie SSO dla konkretnego bloga będzie miało wpływ na wszystkie publikowane na nim posty. Nie można wymagać logowania jednokrotnego dla konkretnego wpisu na blogu.
Uwaga: jeśli wymagasz logowania jednokrotnego dla bloga, który już zawiera prywatne treści z rejestracją członków, blog ten nie będzie już dostępny dla tych kontaktów.
Aby skonfigurować SSO dla bloga:
- Na koncie HubSpot kliknij settings ikonę ustawień w górnym pasku nawigacyjnym..
- W menu po lewej stronie paska bocznego przejdź do sekcji Zawartość > Blog.
- W lewym górnym rogu kliknij menu rozwijane Wybierz blog do modyfikacji i wybierz blog hostowany w subdomenie skonfigurowanej u dostawcy tożsamości.
- W sekcji Kontrola dostępu odbiorców skonfiguruj SSO:
- Wybierz Private - Single sign-on (SSO) required to grant access to everyone in your identity provider organization with access to the HubSpot application.
- Wybierz Private - Single sign-on required with list filtering, aby przyznać dostęp osobom na koncie dostawcy tożsamości z dostępem do aplikacji HubSpot i określonymi członkostwami na listach. Następnie wybierz listy, które mają mieć dostęp do tej zawartości.
- W lewym dolnym rogu kliknij przycisk Zapisz.
Wymaganie SSO dla stron docelowych lub stron internetowych
Możesz wymagać logowania jednokrotnego dla stron docelowych lub stron witryny hostowanych w subdomenie połączonej na koncie dostawcy tożsamości.
Uwaga: jeśli wymagasz logowania SSO dla strony docelowej lub strony internetowej, która jest już ustawiona jako zawartość prywatna z rejestracją członków, strona ta nie będzie już dostępna dla tych kontaktów.
Aby skonfigurować SSO dla określonych stron:-
Przejdź do swojej zawartości:
- Strony witryny: Na swoim koncie HubSpot przejdź do Treści > Strony witryny.
- Strony docelowe: Na swoim koncie HubSpot przejdź do Treści > Strony docelowe.
- Zaznacz pole wyboru obok dowolnej strony, która ma wymagać logowania SSO.
- W górnej części tabeli kliknij menu rozwijane Więcej i wybierz opcję Kontroluj dostęp odbiorców.
- W prawym panelu skonfiguruj SSO dla wybranych stron, a następnie kliknij Zapisz:
- Wybierz Private - Single sign-on required, aby przyznać dostęp wszystkim osobom w organizacji dostawcy tożsamości z dostępem do aplikacji HubSpot.
- Wybierz Private - Single sign-on required with list filtering, aby przyznać dostęp osobom na koncie dostawcy tożsamości z dostępem do aplikacji HubSpot i określonych list członkowskich. Następnie wybierz określone listy, które mają mieć dostęp do tej zawartości.
Wymagaj SSO dla określonych artykułów bazy wiedzy
Możesz skonfigurować SSO dla określonych artykułów bazy wiedzy hostowanych w subdomenie połączonej na koncie dostawcy tożsamości.
Uwaga: jeśli wymagasz logowania jednokrotnego dla artykułu bazy wiedzy, który jest już ustawiony jako zawartość prywatna z rejestracją członków, artykuł ten nie będzie już dostępny dla tych kontaktów.
Aby skonfigurować SSO dla określonych artykułów bazy wiedzy:
- Na swoim koncie HubSpot przejdź do Treści > Baza wiedzy..
- Kliknij kartę Artykuły.
- Zaznacz pole wyboru obok dowolnego artykułu, który ma wymagać logowania jednokrotnego.
- W górnej części tabeli kliknij opcję Kontroluj dostęp odbiorców.
- W prawym panelu skonfiguruj logowanie jednokrotne dla tych artykułów, a następnie kliknij przycisk Zapisz:
- Wybierz Private - Single sign-on required, aby przyznać dostęp wszystkim osobom w organizacji dostawcy tożsamości z dostępem do aplikacji HubSpot.
- Wybierz Private - Single sign-on required with list filtering, aby przyznać dostęp osobom na koncie dostawcy tożsamości z dostępem do aplikacji HubSpot i określonych list członkowskich. Następnie wybierz określone listy, które mają mieć dostęp do tej zawartości.
Możesz także kontrolować dostęp odbiorców do określonego artykułu w zakładce Ustawienia edytora artykułów.
Wymagaj SSO dla wszystkich artykułów bazy wiedzy
Możesz także skonfigurować SSO dla wszystkich artykułów bazy wiedzy dla określonej bazy wiedzy hostowanej w subdomenie, którą podłączyłeś na swoim koncie dostawcy tożsamości.
- Na koncie HubSpot kliknij settings ikonę ustawień w górnym pasku nawigacyjnym.
- W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Baza wiedzy.
- Jeśli masz wiele baz wiedzy, kliknij pierwsze menu rozwijane w sekcji Bieżący widok i wybierz bazę wiedzy. Będzie to drugie menu rozwijane na kontach z dodatkiem jednostek biznesowych.
- W sekcji Kontrola dostępu wybierz opcję Wymagane logowanie jednokrotne (SSO).
- W lewym dolnym rogu kliknij przycisk Zapisz.
Wyłącz SSO dla treści prywatnych
Wyłączenie logowania jednokrotnego dla zawartości prywatnej będzie miało różny wpływ na zawartość w zależności od wybranego ustawienia.
- Zawartość ustawiona na Prywatne - Wymagane logowanie jednokrotne stanie się publiczna.
- Zawartość ustawiona na Prywatne - Wymagane logowanie jednokrotne z filtrowaniem list stanie się niedostępna.
Aby zachować prywatność treści prywatnych po wyłączeniu SSO, HubSpot zaleca zmianę dostępu odbiorców do treści prywatnych na Prywatne - Wymagane logowanie jednokrotne z filtrowaniem list. Następnie można zmienić dostęp odbiorców do tych treści, aby zamiast tego wymagana była rejestracja członkostwa w CMS.
Aby wyłączyć SSO dla treści prywatnych:
- Na koncie HubSpot kliknij settings ikonę ustawień w górnym pasku nawigacyjnym..
- W menu na lewym pasku bocznym przejdź do sekcji Zawartość > Zawartość prywatna.
- W górnej części ustawień kliknij menu rozwijane Wybierz domenę do edycji i wybierz domenę.
- W sekcji Logowanie jednokrotne (SSO) kliknij Zarządzaj SSO.
- W dolnej części panelu kliknij, aby wyłączyć przełącznik SSO Enabled.