Om du har ett HubSpot Enterprise-konto kan du konfigurera enkel inloggning med Active Directory Federation Services (AD FS).
Om du vill använda AD FS för att logga in på ditt HubSpot-konto måste du uppfylla följande krav:
- Alla användare i din Active Directory-instans måste ha ett e-postadressattribut.
- Du använder ett HubSpot Enterprise-konto.
- Du har en server som kör Windows Server 2008, 2012 eller 2019.
Observera: den här installationsprocessen bör utföras av en IT-administratör med erfarenhet av att skapa applikationer i ditt identitetsleverantörskonto. Läs mer om hur du konfigurerar SSO med HubSpot.
Innan du börjar
Innan du börjar bör du notera följande två värden från ditt HubSpot-konto för att konfigurera SSO med Microsoft AD FS:
- Logga in på ditt HubSpot-konto.
- Klicka på Kontostandarder i det vänstra sidofältet.
- Klicka på fliken Säkerhet.
- Klicka på Konfigurera enkel inloggning.
- Klicka på Microsoft AD FS i slide-in-panelen Konfigurera enkel inloggning .
- Notera värdena för både Audience URI (Service Provider Entity ID) och Sign on URL, ACS, Recipient eller Redirect eftersom du kommer att behöva lägga till dem i Microsoft AD FS under installationsprocessen.
1.Lägg till ett Relying Party Trust (RPT)
Öppna Active Directory Federation Services (AD FS)-hanteraren:
- Öppna mappen Relying Party Trusts (RPT) i AD FS-managern .
- I menyn till höger väljer du Lägg till Relying Party Trust....
- Klicka på Start i dialogrutan Lägg till Relying Party Trust Wizard för att lägga till en ny RPT.
- På skärmen Välj datakälla väljer du Ange data om den förlitande parten manuellt.
- Klicka på Nästa >.
- I fältet Display name anger du ett namn för din trust - detta är för interna ändamål, så se till att du ger den ett namn som du lätt kan känna igen.
- Klicka på Nästa >.
- På skärmen Konfigurera certifikat lämnar du standardinställningarna som de är och klickar sedan på Nästa >.
- Markera kryssrutan Aktivera stöd för SAML 2.0 WebSSO-protokollet . I fältet Relying party SAML 2.0 SSO service URL anger du Sign on URL, ACS, Recipient eller Redirect URL från ditt HubSpot-konto.
- Klicka på Nästa >.
- I fältet Relying party trust identifier :
- Ange värdet för Audience URI (Service Provider Entity ID) från ditt HubSpot-konto.
- Ange https://api.hubspot.com och klicka sedan på Lägg till.
- Klicka på Nästa >.
- I fönstret Välj en åtkomstkontrollpolicy väljer du Tillåt alla och klickar sedan på Nästa >.
- Granska dina inställningar och klicka sedan på Nästa >.
- Klicka på Stäng.
2. Skapa regler för anspråk
Innan du konfigurerar din anspråksregel, se till att dina användares e-postadresser matchar deras HubSpot-användares e-postadresser. Du kan använda andra identifierare, t.ex. UPN (User Principal Name), om dina UPN:er är i form av en e-postadress. För att enkel inloggning med AD FS ska fungera måste nameID vara i form av en e-postadress för att matcha med en HubSpot-användare.
- Klicka på Lägg till regel i fönstret Anspråksregel .
- Klicka på rullgardinsmenyn Regelmall för anspråk och välj Skicka LDAP-attribut som anspråk.
- Klicka på Nästa >.
- På skärmen Konfigurera skader egel:
- Ange ett regelnamn i fältet Anspråksregelns namn .
- Klicka på rullgardinsmenyn Attributlager och välj Active Directory.
- I tabellen Mappning av LDAP-attribut mappar du följande:
- I kolumnen LDAP-attribut klickar du på rullgardinsmenyn och väljer E-postadresser.
- I kolumnen Utgående anspråkstyp klickar du på rullgardinsmenyn och väljer E-postadress.
- Klicka på Slutför.
Ställ sedan in regeln Transformera ett inkommande krav:
- Klicka på Lägg till regel.
- Klicka på rullgardinsmenyn Regelmall för anspråk och välj Transformera ett inkommande anspråk.
- Klicka på Nästa >.
- På skärmen Konfigurera skader egel:
- Ange ett namn på skaderegeln.
- Klicka på rullgardinsmenyn Typ av inkommande krav och välj E-postadress.
- Klicka på rullgardinsmenyn Typ av utgående an språk och välj Namn-ID.
- Klicka på rullgardinsmenyn Format för utgående namn-ID och välj E-post.
- Klicka på Slutför för att lägga till den nya regeln.
- Klicka på OK för att lägga till båda de nya reglerna.
3. Justera förtroendeinställningarna
I mappen Replying Party Trusts väljer du Egenskaper i sidomenyn Åtgärder . Klicka på fliken Avancerat och kontrollera att SHA-256 är angiven som säker hash-algoritm. Även om både SHA-256 och SHA-1 stöds rekommenderas SHA-256.
4. Leta reda på ditt x509-certifikat i PEM-format
Så här kommer du åt ditt x509-certifikat i PEM-format:
- Navigera till AD FS-hanteringsfönstret . I menyn till vänster navigerar du till Tjänster > Certifikat.
- Leta reda på Tokensigneringscertifikatet . Högerklicka på certifikatet och välj Visa certifikat.
- Klicka på fliken Detaljer i dialogrutan.
- Klicka på Kopiera till fil.
- Klicka på Nästa i fönstret Exportera certifikat som öppnas.
- Välj Base-64-kodad X.509 (.CER) och klicka sedan på Nästa.
- Ge den exporterade filen ett namn och klicka sedan på Nästa.
- Klicka på Slutför för att slutföra exporten.
- Leta reda på filen du just exporterade och öppna den med en textredigerare, t.ex. Notepad.
- Kopiera innehållet i filen.
5. Slutför din uppsättning i HubSpot
- Logga in på ditt HubSpot-konto.
- Klicka på Kontostandarder i det vänstra sidofältet.
- Klicka på fliken Säkerhet.
- Klicka på Konfigurera enkel inloggning.
- Klicka på Microsoft AD FS i slide-in-panelen Konfigurera enkel inloggning .
- Klistra in innehållet i filen ifältet X.509-certifikat.
- Gå tillbaka till din AD FS-manager.
- Välj mappen Endpoints i den vänstra sidomenyn.
- Sök efter SSO-tjänstens slutpunkt och enhetens URL. SSO-tjänstens URL slutar vanligtvis på "adfs/services/ls" och entitetens URL slutar på "adfs/services/trust".
- Återgå till HubSpot. I fältet Identity provider Identifier or Issuer anger du enhetens URL.
- I fältet Identity Provider Single Sign-On URL anger du SSO-tjänstens URL.
- Klicka på Verifiera.
Observera: Om du får ett fel när du konfigurerar enkel inloggning i HubSpot, kontrollera loggarna i din händelsevisare på din enhet för felmeddelandet. Om du inte kan felsöka felmeddelandet, kontakta HubSpot Support.