HubSpot Kunskapsbas

Konfigurera enkel inloggning (SSO) med hjälp av Active Directory Federation Services (AD FS)

Skriven av HubSpot Support | Nov 2, 2021 3:56:04 PM

Om du har ett HubSpot Enterprise-konto kan du konfigurera enkel inloggning med Active Directory Federation Services (AD FS).

Om du vill använda AD FS för att logga in på ditt HubSpot-konto måste du uppfylla följande krav:

  • Alla användare i din Active Directory-instans måste ha ett e-postadressattribut.
  • Du använder ett HubSpot Enterprise-konto.
  • Du har en server som kör Windows Server 2008, 2012 eller 2019.

Observera: den här installationsprocessen bör utföras av en IT-administratör med erfarenhet av att skapa applikationer i ditt identitetsleverantörskonto. Läs mer om hur du konfigurerar SSO med HubSpot.

Innan du börjar

Innan du börjar bör du notera följande två värden från ditt HubSpot-konto för att konfigurera SSO med Microsoft AD FS:

  • Logga in på ditt HubSpot-konto.
  • Klicka på Kontostandarder i det vänstra sidofältet.
  • Klicka på fliken Säkerhet.
  • Klicka på Konfigurera enkel inloggning.
  • Klicka på Microsoft AD FS i slide-in-panelen Konfigurera enkel inloggning .
  • Notera värdena för både Audience URI (Service Provider Entity ID) och Sign on URL, ACS, Recipient eller Redirect eftersom du kommer att behöva lägga till dem i Microsoft AD FS under installationsprocessen.

1.Lägg till ett Relying Party Trust (RPT)

Öppna Active Directory Federation Services (AD FS)-hanteraren:

  • Öppna mappen Relying Party Trusts (RPT) i AD FS-managern .
  • I menyn till höger väljer du Lägg till Relying Party Trust....
  • Klicka på Start i dialogrutan Lägg till Relying Party Trust Wizard för att lägga till en ny RPT.
  • På skärmen Välj datakälla väljer du Ange data om den förlitande parten manuellt.
  • Klicka på Nästa >.
  • I fältet Display name anger du ett namn för din trust - detta är för interna ändamål, så se till att du ger den ett namn som du lätt kan känna igen.
  • Klicka på Nästa >.
  • På skärmen Konfigurera certifikat lämnar du standardinställningarna som de är och klickar sedan på Nästa >.
  • Markera kryssrutan Aktivera stöd för SAML 2.0 WebSSO-protokollet . I fältet Relying party SAML 2.0 SSO service URL anger du Sign on URL, ACS, Recipient eller Redirect URL från ditt HubSpot-konto.

  • Klicka på Nästa >.
  • I fältet Relying party trust identifier :
    • Ange värdet för Audience URI (Service Provider Entity ID) från ditt HubSpot-konto.
    • Ange https://api.hubspot.com och klicka sedan på Lägg till.
  • Klicka på Nästa >.
  • I fönstret Välj en åtkomstkontrollpolicy väljer du Tillåt alla och klickar sedan på Nästa >.
  • Granska dina inställningar och klicka sedan på Nästa >.
  • Klicka på Stäng.

2. Skapa regler för anspråk

Innan du konfigurerar din anspråksregel, se till att dina användares e-postadresser matchar deras HubSpot-användares e-postadresser. Du kan använda andra identifierare, t.ex. UPN (User Principal Name), om dina UPN:er är i form av en e-postadress. För att enkel inloggning med AD FS ska fungera måste nameID vara i form av en e-postadress för att matcha med en HubSpot-användare.

  • Klicka på Lägg till regel i fönstret Anspråksregel .
  • Klicka på rullgardinsmenyn Regelmall för anspråk och välj Skicka LDAP-attribut som anspråk.
  • Klicka på Nästa >.
  • På skärmen Konfigurera skader egel:
    • Ange ett regelnamn i fältet Anspråksregelns namn .
    • Klicka på rullgardinsmenyn Attributlager och välj Active Directory.
    • I tabellen Mappning av LDAP-attribut mappar du följande:
      • I kolumnen LDAP-attribut klickar du på rullgardinsmenyn och väljer E-postadresser.
      • I kolumnen Utgående anspråkstyp klickar du på rullgardinsmenyn och väljer E-postadress.
  • Klicka på Slutför.

Ställ sedan in regeln Transformera ett inkommande krav:

  • Klicka på Lägg till regel.
  • Klicka på rullgardinsmenyn Regelmall för anspråk och välj Transformera ett inkommande anspråk.
  • Klicka på Nästa >.
  • På skärmen Konfigurera skader egel:
    • Ange ett namn på skaderegeln.
    • Klicka på rullgardinsmenyn Typ av inkommande krav och välj E-postadress.
    • Klicka på rullgardinsmenyn Typ av utgående an språk och välj Namn-ID.
    • Klicka på rullgardinsmenyn Format för utgående namn-ID och välj E-post.
    • Klicka på Slutför för att lägga till den nya regeln.
  • Klicka på OK för att lägga till båda de nya reglerna.

3. Justera förtroendeinställningarna

I mappen Replying Party Trusts väljer du Egenskaper i sidomenyn Åtgärder . Klicka på fliken Avancerat och kontrollera att SHA-256 är angiven som säker hash-algoritm. Även om både SHA-256 och SHA-1 stöds rekommenderas SHA-256.

4. Leta reda på ditt x509-certifikat i PEM-format

Så här kommer du åt ditt x509-certifikat i PEM-format:

  • Navigera till AD FS-hanteringsfönstret . I menyn till vänster navigerar du till Tjänster > Certifikat.
  • Leta reda på Tokensigneringscertifikatet . Högerklicka på certifikatet och välj Visa certifikat.
  • Klicka på fliken Detaljer i dialogrutan.
  • Klicka på Kopiera till fil.
  • Klicka på Nästa i fönstret Exportera certifikat som öppnas.
  • Välj Base-64-kodad X.509 (.CER) och klicka sedan på Nästa.
  • Ge den exporterade filen ett namn och klicka sedan på Nästa.
  • Klicka på Slutför för att slutföra exporten.
  • Leta reda på filen du just exporterade och öppna den med en textredigerare, t.ex. Notepad.
  • Kopiera innehållet i filen.

5. Slutför din uppsättning i HubSpot

  • Logga in på ditt HubSpot-konto.
  • Klicka på Kontostandarder i det vänstra sidofältet.
  • Klicka på fliken Säkerhet.
  • Klicka på Konfigurera enkel inloggning.
  • Klicka på Microsoft AD FS i slide-in-panelen Konfigurera enkel inloggning .
  • Klistra in innehållet i filen ifältet X.509-certifikat.
  • Gå tillbaka till din AD FS-manager.
  • Välj mappen Endpoints i den vänstra sidomenyn.
  • Sök efter SSO-tjänstens slutpunkt och enhetens URL. SSO-tjänstens URL slutar vanligtvis på "adfs/services/ls" och entitetens URL slutar på "adfs/services/trust".
  • Återgå till HubSpot. I fältet Identity provider Identifier or Issuer anger du enhetens URL.
  • I fältet Identity Provider Single Sign-On URL anger du SSO-tjänstens URL.
  • Klicka på Verifiera.

Observera: Om du får ett fel när du konfigurerar enkel inloggning i HubSpot, kontrollera loggarna i din händelsevisare på din enhet för felmeddelandet. Om du inte kan felsöka felmeddelandet, kontakta HubSpot Support.