Central de conhecimento HubSpot

Configurar o logon único (SSO) para acessar conteúdo privado

Written by HubSpot Support | 1/set/2020 20:58:26

O logon único (SSO) é uma maneira de fazer login em diferentes aplicativos com segurança usando um nome de usuário e senha.

Com o SSO para o conteúdo privado, o administrador de TI pode configurar um aplicativo da HubSpot na sua conta do provedor de identidade, como Google ou Okta. Os membros da organização com acesso ao app da HubSpot dentro da conta do provedor de identidade podem fazer login com SSO para exibir o conteúdo privado. 

Você pode refinar ainda mais quais indivíduos têm acesso ao conteúdo específico com base em suas assinaturas de lista na conta da HubSpot. Para acessar o conteúdo por associação de lista, esses membros da sua equipe devem ter registros de contato na sua conta HubSpot.

O SSO para conteúdo privado está disponível para as seguintes assinaturas:

Antes de começar

  • Este processo de configuração deve ser feito por um administrador de TI com experiência na criação de aplicativos em sua conta de provedor de identidade e permissão para editar as configurações do site no HubSpot. 
  • O SSO pode ser configurado para um subdomínio hospedado pela HubSpot na conta do provedor de identidade. Para obter os melhores resultados, recomendamos dedicar um subdomínio para a associação de SSO.
  • Os e-mails de notificação e as páginas de login para um conteúdo privado que exige SSO serão tratados pela conta do provedor de identidade, e não pelas configurações de conteúdo privado do HubSpot.
  • O conteúdo privado que exige SSO não será rastreado pelos mecanismos de busca e somente poderá ser exibido pelos contatos que têm acesso e que estão conectados.
  • Quaisquer recursos da página, como imagens e formulários, exigirão apenas o acesso SSO como parte da página. Se os URLs para os próprios ativos forem fornecidos separadamente, eles não precisarão de SSO para acessar. Saiba mais sobre como definir a visibilidade do URL para ativos na ferramenta de arquivos
  • Se você ativar o SSO para um domínio que anteriormente exigia registro de membro, o SSO usará as listas de participação originais. Se você desativar o SSO novamente, o conteúdo voltará a exigir registro de membro para as mesmas listas. 

Configure o SSO para conteúdo privado da HubSpot na sua conta do provedor de identidade

Para configurar o SSO para conteúdo privado hospedado no HubSpot, o administrador de TI criará um novo aplicativo para acesso ao conteúdo. Para concluir esse processo, o administrador de TI referenciará os valores das suas configurações de Conteúdo privado no HubSpot. 

Observe: se você precisar de SSO para um subdomínio que já hospeda conteúdo privado com registro de membro, esse conteúdo não estará mais acessível aos contatos registrados.

Os passos e campos necessários para adicionar um novo aplicativo no seu provedor de identidade podem variar. Instruções gerais para configurar o SSO para conteúdo privado são descritas abaixo.

Configurar SSO para um aplicativo baseado em SAML 

Para criar um novo aplicativo SAML para conteúdo privado da HubSpot na sua conta do provedor de identidade:

  • Faça login na sua conta do provedor de identidade.
  • Acesse seus aplicativos na sua conta do provedor de identidade.
  • Na sua conta da HubSpot, obtenha os valores necessários para o seu novo aplicativo HubSpot:
    • No menu lateral esquerdo, vá até Conteúdo > Conteúdo privado.
    • Na parte superior da página, clique no menu suspenso Escolher um domínio para editar e selecione um subdomínio.
    • Na seção de Logon único (SSO), clique em Configurar SSO.
    • No painel direito, clique no menu suspenso Formato do token de segurança e selecione SAML.
    • Copie o URL do público e o URL de logon.

  • Na sua conta do provedor de identidade:
    • Cole o URL do público e o URL de logon copiado do HubSpot nos campos correspondentes.
    • Copie os identificadores para o URL do emissor, URL de logon único e Certificado.
  • Na sua conta da HubSpot:
    • Cole os valores de URL do emissor, URL de logon único e Certificado nos campos correspondentes no painel Configurar o logon único.
    • Clique em Verificar.

Quando o processo de verificação for concluído, você verá uma confirmação de que o logon único foi ativado para o seu domínio nas configurações de conteúdo privado. 

Configurar SSO para um aplicativo baseado em JWT

  • Na sua conta do provedor de identidade: 
    • Acesse seus aplicativos na sua conta do provedor de identidade.
    • Copie os identificadores para o URL de login remoto e a Chave secreta. Localize o Algoritmo de assinatura
    • Para maior segurança, copie o Problema, Assunto Público
  • Na sua conta HubSpot, insira estes valores nas configurações de SSO:
    • No menu lateral esquerdo, vá até Conteúdo > Conteúdo privado.
    • Na parte superior da página, clique no menu suspenso Escolher um domínio para editar e selecione um subdomínio.
    • Na seção de Logon único (SSO), clique em Configurar SSO.
    • No painel direito, clique no menu suspenso Formato do token de segurança e selecione JWT.
    • Cole o URL de login remoto
    • Clique no menu suspenso Algoritmo de assinatura e selecione o valor na sua conta de provedor de identidade.
    • Cole a Chave secreta. Se estiver usando um algoritmo de assinatura assimétrica com chaves públicas e privadas, a Chave secreta será a chave pública.
Observação:
  • Ao usar uma chave pública, não é necessário incluir o cabeçalho e o rodapé.
  • Se você incluir o cabeçalho e o rodapé, copie e cole o texto a seguir e substitua o espaço reservado pela sua chave pública: 
    • -----BEGIN PUBLIC KEY-----

      [sua chave pública]

      -----END PUBLIC KEY-----

    • Para maior segurança, cole o Problema, Assunto Público. 
    • Clique em Verificar

Será aberta uma janela para o "URL de início de sessão remota" especificado nas configurações de SSO. O URL aberto na janela incluirá um parâmetro de consulta "redirect_url" com o valor de um URL no domínio que você está configurando e o caminho "_hcms/mem/jwt/verify".

Para verificação, uma solicitação precisa ser feita para o URL especificado no parâmetro "redirect_url" após as credenciais serem inseridas em "URL de login remoto". Esta solicitação deve incluir um parâmetro de consulta compatível para o qual o valor deve ser um JWT/hash que, uma vez descriptografado, contém um campo "email" em sua carga útil com um endereço de e-mail válido. Os parâmetros de consulta suportados são "jwt", "code", "id_token" e "access_token".

O JWT/hash será descriptografado pelo HubSpot usando o Algoritmo de assinatura e a Chave secreta fornecidos nas configurações de SSO. O envio desta solicitação subsequente, feito após a introdução de credenciais válidas na página "URL de login remoto", deve ser configurado na sua conta do provedor de identidade. 

Quando o processo de verificação for concluído, você verá uma confirmação de que o logon único foi ativado para o seu domínio nas configurações de conteúdo privado.

Assim que a verificação for concluída, os visitantes que passarem na verificação no "URL de login remoto" devem ser enviados para "_hcms/mem/jwt" com dois parâmetros de consulta:

  • Parâmetro de consulta "jwt", "code", "id_token" ou "access_token" com um hash que, uma vez descriptografado, contém o endereço de e-mail do visitante em um campo de e-mail. 
  • Parâmetro de consulta "redirect_url" que especifica a página para onde o visitante deve ser direcionado. Este URL deve ser o mesmo que o valor do parâmetro de consulta "redirect_url" na solicitação enviada para o "URL de login remoto".

Solucionar erros JWT comuns

Se tiver problemas ao configurar o SSO para um aplicativo baseado em JWT, é recomendado verificar seu token Web JSON utilizando o depurador JWT

Depois de verificar o JWT, resolva os seguintes erros: 

  • NO_SETTINGS: a combinação de portal e domínio não retorna nenhuma configuração JWT
  • COULD_NOT_PARSE_HEADER: o cabeçalho JWT deve estar presente e codificado em base64
  • WRONG_TYPE_IN_HEADER: o cabeçalho do token JWT tem um campo "typ" e não é igual a "jwt"
  • ALGORITHM_MISSING_IN_HEADER: o cabeçalho do token JWT não possui um campo "alg" para o algoritmo
  • NONE_ALGORITHM_PROVIDED: o campo "alg" é igual a "none", o que é inseguro e não é suportado
  • TOKEN_VERIFICATION_FAILED: o token pode estar vazio, incorreto, ser nulo ou o parâmetro de consulta não é suportado. Oferecemos suporte aos parâmetros de consulta "jwt", "code", "id_token" e "access_token".
  • MISSING_EMAIL_IN_TOKEN: o token decodificado está sem um campo de e-mail ou é nulo ou está vazio
  • INVALID_KEY: chave secreta ausente ou inválida
  • INVALID_KEY_LENGTH: o comprimento da chave secreta não corresponde aos requisitos do algoritmo de assinatura selecionado
  • PRIVATE_KEY_PROVIDED: o algoritmo de assinatura selecionado requer uma chave pública como chave secreta, mas uma chave privada foi fornecida
  • INVALID_LOGIN_URL: o URL de login remoto fornecido não é válido
  • JTI_CLAIM_INVALID: as verificações JWT não podem ser reproduzidas

Exigir SSO para o conteúdo

Há duas opções para exigir SSO para conteúdo privado:

  • Privado - O logon único (SSO) é obrigatório: todos os indivíduos na organização do provedor de identidade com acesso ao aplicativo HubSpot podem fazer login com SSO para exibir o conteúdo privado.
  • Privado - Logon único (SSO) obrigatório com filtragem de lista: os indivíduos na organização do provedor de identidade que também têm participações específicas na lista do HubSpot podem fazer login com SSO para exibir o conteúdo privado. Esses indivíduos devem ter acesso ao aplicativo HubSpot na sua conta do provedor de identidade (como Okta ou Google), mas não precisam ser usuários na sua conta da HubSpot.

Exigir SSO para um blog

Você pode exigir SSO para os blogs hospedados no subdomínio que você conectou na conta do provedor de identidade. Ativar o SSO para um blog específico afetará todos os post publicados nele. Não é possível exigir SSO para um post de blog específico.

Observe: se você precisar de SSO para um blog que já hospeda conteúdo privado com registro de membro, esse blog não estará mais acessível a esses contatos.

Para configurar o SSO para um blog:

  • No menu da barra lateral esquerda, navegue até Conteúdo > Blog.
  • No canto superior esquerdo, clique no menu suspenso Selecionar um blog para modificar e selecione um blog hospedado no subdomínio configurado com seu provedor de identidade.
  • Na seção Controlar o acesso do público, configure o SSO:
    • Selecione Privado - O logon único (SSO) é obrigatório para conceder a todos em seu provedor de identidade acesso ao aplicativo HubSpot.
    • Selecione Privado - Logon único necessário com filtragem de lista para conceder acesso a indivíduos em sua conta de provedor de identidade com acesso ao aplicativo HubSpot e associações de lista específicas. Em seguida, selecione as listas às quais pretende conceder acesso a este conteúdo.
  • No canto inferior esquerdo, clique em Salvar.

Exigir SSO para landing pages ou páginas do site

Você pode exigir SSO para as landing pages ou páginas do site hospedadas no subdomínio que você conectou na conta do provedor de identidade.

Observe: se você precisar de SSO para uma landing page ou página de site que já esteja definida como conteúdo privado com registro de membro, essa página não estará mais acessível para esses contatos.

Para configurar o SSO para páginas específicas:
  • Acesse seu conteúdo:

    • Páginas do site:
    • Landing pages:
  • Marque a caixa de seleção ao lado das páginas para as quais você deseja exigir SSO.
  • Na parte superior da tabela, clique no menu suspenso Mais e selecione Controlar o acesso do público.
  • No painel direito, configure o SSO para as páginas selecionadas e, em seguida, clique em Salvar:
    • Selecione Privado - O logon único (SSO) é obrigatório para conceder a todos em seu provedor de identidade acesso ao aplicativo HubSpot.
    • Selecione Privado - Logon único necessário com filtragem de lista para conceder acesso a indivíduos em sua conta de provedor de identidade com acesso ao aplicativo HubSpot e associações de lista específicas. Em seguida, selecione as listas específicas às quais pretende conceder acesso a este conteúdo.

Exigir SSO para artigos específicos da central de conhecimento

Você pode configurar o SSO para artigos específicos da central de conhecimento hospedados no subdomínio que associou na sua conta junto ao provedor de identidade.

Observe: se você precisar de SSO para um artigo da base de conhecimento que já está definido como conteúdo privado com registro de membro, esse artigo não estará mais acessível a esses contatos.

Para configurar o SSO para artigos específicos da central de conhecimento

  • Clique na guia Artigos.
  • Marque a caixa de seleção ao lado dos artigos para os quais deseja exigir SSO.
  • Na parte superior da tabela, clique em Controlar o acesso do público.
  • No painel direito, configure o SSO para estes artigos e clique em Salvar:
    • Selecione Privado - O logon único (SSO) é obrigatório para conceder a todos em seu provedor de identidade acesso ao aplicativo HubSpot.
    • Selecione Privado - Logon único necessário com filtragem de lista para conceder acesso a indivíduos em sua conta de provedor de identidade com acesso ao aplicativo HubSpot e associações de lista específicas. Em seguida, selecione as listas específicas às quais pretende conceder acesso a este conteúdo.

Você também pode controlar o acesso do público a um artigo específico na guia Configurações no editor de artigo.

Exigir SSO para todos os artigos da base de conhecimento

Você também pode configurar o SSO para todos os artigos da base de conhecimento de uma base de conhecimento específica hospedada no subdomínio que você conectou na sua conta de provedor de identidade.

  • No menu da barra lateral esquerda, navegue até Contente > Base de conhecimento.
  • Se você tiver várias bases de conhecimento, clique na primeira menu suspenso no Visão atual seção e selecione um base de conhecimento. Este será o segundo menu suspenso em contas com o complemento de unidades de negócios
  • No Controle de acesso seção, selecione É necessário um único login (SSO)
  • No canto inferior esquerdo, clique em Salvar

Desativar SSO para conteúdo privado

A desativação do SSO para conteúdo privado afetará o conteúdo de diferentes maneiras, dependendo da configuração selecionada.

  • Conteúdo definido como Privado - O logon único é obrigatório se tornará público.
  • Conteúdo definido como Privado - Logon único (SSO) obrigatório com filtragem de lista ficará inacessível.

Para manter o conteúdo privado depois de desativar o SSO, a HubSpot recomenda alterar o acesso do público ao conteúdo privado para Privado - Logon único (SSO) obrigatório com filtragem de lista. Você pode então alterar o acesso do público a esse conteúdo para exigir Registro de membro do CMS em vez de.

Para desativar o SSO para conteúdo privado:

  • No menu da barra lateral esquerda, navegue até Conteúdo > Conteúdo privado.
  • Na parte superior das configurações, clique no menu suspenso Escolher um domínio para editar e selecione um domínio.
  • Na seção Logon único (SSO), clique em Gerenciar SSO.
  • Na parte inferior do painel, clique para desativar o botão SSO ativado.