Configure o Logon único (SSO) usando Active Directory Federation Services (ADFS).

Se você tiver uma conta HubSpot Professional ou Enterprise , poderá configurar o logon único usando o AD FS (Serviços de Federação do Ative Diretory). 

Antes de começar

Para usar o AD FS para entrar na sua conta da HubSpot, você deve atender aos seguintes requisitos:

• Todos os usuários na sua instância do Active Directory devem ter um atributo de endereço de e-mail.
• Você está usando uma conta HubSpot Professional ou Enterprise.
• Você tem um servidor que executa o Windows Server 2008, 2012 ou 2019. 

Observação: este processo de configuração deve ser feito por um administrador de TI com experiência para criar aplicativos na sua conta do provedor de identidade. Saiba mais sobre como configurar o SSO com a HubSpot. 

Configurar o SSO usando o Microsoft AD FS

1. Na sua conta HubSpot, clique no ícone de settings icon na barra de navegação superior.
2. No menu da barra lateral esquerda, navegue até Segurança. 
3. Na guia Login , se você não tiver definido as configurações de login do portal, clique em Configurar configurações de login do portal. Ou, na seção Logon único (SSO), clique em Configurar.
4. No painel direito, ative a opção Estou usando o Microsoft AD FS (antigo no local). 
5. Copie os valores de URI do público (ID de entidade do provedor de serviços) e URL de login, ACS, Destinatário ou Redirecionar . Você precisará adicionar os dois valores ao Microsoft AD FS durante o processo de instalação. 

Adicionar a Relying Party Trust (RPT)

Abra o gerenciador do AD FS:

1. No gerenciador do AD FS, abra a pasta Terceiras partes confiáveis (RPT) . 
2. No menu da barra lateral à direita, selecione Adicionar uma terceira parte confiável. 
3. Na caixa de diálogo Assistente para Adicionar uma terceira parte confiável, clique em Iniciar para adicionar uma nova RPT. 
4. Na tela Selecionar fonte de dados, selecione Inserir dados sobre a parte confiável manualmente. Em seguida, clique em Próximo.
5. No campo Nome de exibição, insira um nome para sua confiança - isso é para fins internos, portanto, certifique-se de nomeá-lo com algo que possa reconhecer facilmente. Em seguida, clique em Próximo.
6. Na tela Configurar Certificado, deixe as configurações padrão como estão e clique em Avançar.
7. Marque a caixa de seleção Ativar suporte para o protocolo SAML 2.0 WebSSO.
8. No campo URL do serviço SSO SAML 2.0 da terceira parte confiável, insira a URL de login, ACS, Destinatário ou URL de Redirecionamento da sua conta da HubSpot. Em seguida, clique em Próximo.

9. No campo Identificador de confiança da terceira parte confiável:
   • Insira o valor de URI do público (ID de entidade do provedor de serviços) da sua conta da HubSpot. 
   • Insira https://api.hubspot.com e clique em Adicionar. 
10. Clique em Próximo.
11. Na janela Escolher uma política de controle de acesso, selecione Permitir todos e clique em Próximo.
12. Revise as configurações e clique em Avançar.
13. Clique em Fechar. 

Criar regras de solicitações 

Antes de configurar sua regra de reclamações, certifique-se de que os endereços de e-mail de seus usuários correspondam aos endereços de e-mail de usuários do HubSpot. Você pode usar outros identificadores, como o User Principal Name (UPN), se seus UPNs estiverem na forma de um endereço de e-mail. Para que o logon único com o AD FS funcione, o nameID precisa estar na forma de um endereço de email para corresponder a um usuário do HubSpot. 

1. Na janela Regra de Reivindicações, clique em Adicionar Regra. 
2. Clique no menu suspenso Modelo de regra de declaração e selecione Enviar atributos LDAP como declaração. Em seguida, clique em Próximo.
3. Na tela Configurar regra de solicitação:
   • No campo Nome da regra de reivindicação, insira um nome de regra. 
   • Clique no menu suspenso Loja de atribuição e selecione Active Directory. 
   • Na tabela Mapeamento de atributos de LDAP, mapeie o seguinte:
     • Na coluna Atributo de LDAP, clique no menu suspenso e selecione Endereços de e-mail. 
     • Na coluna ClaimType de saída, clique no menu suspenso e selecione Endereço de e-mail. 
4. Clique em Concluir. 

Em seguida, configure a regra Converter uma solicitação de recebida: 

1. Clique em Adicionar regra. 
2. Clique no menu suspenso Modelo de regra de solicitação e selecione Transformar uma solicitação de entrada. Em seguida, clique em Próximo.
3. Na tela Configurar Regra de Declaração:
   • Insira um nome da regra de solicitação. 
   • Clique no menu suspenso Tipo de solicitação de entrada e selecione Endereço de e-mail. 
   • Clique no menu suspenso Tipo de solicitação de saída e selecione ID do nome. 
   • Clique no menu suspenso Formato de ID do nome de saída e selecione E-mail. 
   • Clique em Concluir para adicionar a nova regra. 
4. Clique em OK para adicionar as duas novas regras. 

Ajuste as configurações de confiança

1. Na pasta Resposta às partes confiáveis, selecione Propriedades no menu da barra lateral Ações.
2. Clique na guia Avançado e certifique-se de que o SHA-256 esteja especificado como o algoritmo de hash seguro.

Embora ambos os SPIA-256 e SA-1 sejam compatíveis, SA-256 é recomendado. 

Localize seu certificado x509 no formato PEM

Para acessar seu formato do PEM x509 certifique-se:

1. Acesse a janela de gerenciamento do AD FS. No menu da barra lateral esquerda, acesse Serviços > Certificados. 
2. Localize o certificado de Assinatura do token. Clique com o botão direito do mouse no certificado e selecione Exibir Certificado. 

3. Na caixa de diálogo, clique na guia Detalhes. 
4. Clique em Copiar para arquivo. 
5. Na janela Exportação de certificado exibida, clique em Avançar. 
6. Selecione X.509 codificado na base 64 (.CER), em seguida, clique em Próximo. 
7. Nomeie a exportação do arquivo e clique em Próximo. 
8. Clique em Concluir para concluir a exportação. 
9. Localize o arquivo que você acabou de exportar e abrir usando um editor de texto, como o Bloco de Notas. 
10. Copiar o conteúdo do arquivo.

Conclua sua configuração no HubSpot

1. Entre em sua conta da HubSpot. 
2. Na sua conta HubSpot, clique no ícone de settings icon na barra de navegação superior.
3. No menu da barra lateral esquerda, navegue até Segurança.
4. Na guia Login , na seção Logon único (SSO), clique em Configurar.
5. Cole o conteúdo do arquivo no campo Certificado X.509. 
6. Retornar ao seu gerenciador do AD FS 
7. No menu da barra lateral esquerda, selecione a pasta Endpoints. 
8. Procure o ponto final do serviço SSO e a URL da entidade. A URL do serviço SSO geralmente termina em "adfs/services/ls" e a URL da entidade termina em "adfs/services/trust".
9. Retorne ao HubSpot. No campo Identificador do provedor de identidade ou URL do emissor, insira o URL da entidade.
10. No campo URL  de logon único do provedor de identidade, informe a URL do serviço de SSO. 
11. Clique em Verificar. 

Observação: se você receber um erro ao configurar o logon único no HubSpot, verifique os registros do visualizador de eventos no seu dispositivo para ver a mensagem de erro. Se você não conseguir solucionar o problema da mensagem de erro, consulte o Suporte a HubSpot de contato .