Konfigurera enkel inloggning (SSO) med hjälp av Active Directory Federation Services (AD FS)

Om du har ett HubSpot Enterprise-konto kan du konfigurera enkel inloggning med Active Directory Federation Services (AD FS).

Om du vill använda AD FS för att logga in på ditt HubSpot-konto måste du uppfylla följande krav:

• Alla användare i din Active Directory-instans måste ha ett e-postadressattribut.
• Du använder ett HubSpot Enterprise-konto.
• Du har en server som kör Windows Server 2008, 2012 eller 2019.

Observera: den här installationsprocessen bör utföras av en IT-administratör med erfarenhet av att skapa applikationer i ditt identitetsleverantörskonto. Läs mer om hur du konfigurerar SSO med HubSpot.

Innan du börjar

Innan du börjar bör du notera följande två värden från ditt HubSpot-konto för att konfigurera SSO med Microsoft AD FS:

• Logga in på ditt HubSpot-konto.
• I ditt HubSpot-konto klickar du på settings inställningsikonen i det övre navigeringsfältet.
• Klicka på Kontostandarder i det vänstra sidofältet.
• Klicka på fliken Säkerhet.
• Klicka på Konfigurera enkel inloggning.
• Klicka på Microsoft AD FS i slide-in-panelen Konfigurera enkel inloggning .
• Notera värdena för både Audience URI (Service Provider Entity ID) och Sign on URL, ACS, Recipient eller Redirect eftersom du kommer att behöva lägga till dem i Microsoft AD FS under installationsprocessen.

1.Lägg till ett Relying Party Trust (RPT)

Öppna Active Directory Federation Services (AD FS)-hanteraren:

• Öppna mappen Relying Party Trusts (RPT) i AD FS-managern .
• I menyn till höger väljer du Lägg till Relying Party Trust....
• Klicka på Start i dialogrutan Lägg till Relying Party Trust Wizard för att lägga till en ny RPT.
• På skärmen Välj datakälla väljer du Ange data om den förlitande parten manuellt.
• Klicka på Nästa >.
• I fältet Display name anger du ett namn för din trust - detta är för interna ändamål, så se till att du ger den ett namn som du lätt kan känna igen.
• Klicka på Nästa >.
• På skärmen Konfigurera certifikat lämnar du standardinställningarna som de är och klickar sedan på Nästa >.
• Markera kryssrutan Aktivera stöd för SAML 2.0 WebSSO-protokollet . I fältet Relying party SAML 2.0 SSO service URL anger du Sign on URL, ACS, Recipient eller Redirect URL från ditt HubSpot-konto.

• Klicka på Nästa >.
• I fältet Relying party trust identifier :
  • Ange värdet för Audience URI (Service Provider Entity ID) från ditt HubSpot-konto.
  • Ange https://api.hubspot.com och klicka sedan på Lägg till.
• Klicka på Nästa >.
• I fönstret Välj en åtkomstkontrollpolicy väljer du Tillåt alla och klickar sedan på Nästa >.
• Granska dina inställningar och klicka sedan på Nästa >.
• Klicka på Stäng.

2. Skapa regler för anspråk

Innan du konfigurerar din anspråksregel, se till att dina användares e-postadresser matchar deras HubSpot-användares e-postadresser. Du kan använda andra identifierare, t.ex. UPN (User Principal Name), om dina UPN:er är i form av en e-postadress. För att enkel inloggning med AD FS ska fungera måste nameID vara i form av en e-postadress för att matcha med en HubSpot-användare.

• Klicka på Lägg till regel i fönstret Anspråksregel .
• Klicka på rullgardinsmenyn Regelmall för anspråk och välj Skicka LDAP-attribut som anspråk.
• Klicka på Nästa >.
• På skärmen Konfigurera skader egel:
  • Ange ett regelnamn i fältet Anspråksregelns namn .
  • Klicka på rullgardinsmenyn Attributlager och välj Active Directory.
  • I tabellen Mappning av LDAP-attribut mappar du följande:
    • I kolumnen LDAP-attribut klickar du på rullgardinsmenyn och väljer E-postadresser.
    • I kolumnen Utgående anspråkstyp klickar du på rullgardinsmenyn och väljer E-postadress.
• Klicka på Slutför.

Ställ sedan in regeln Transformera ett inkommande krav:

• Klicka på Lägg till regel.
• Klicka på rullgardinsmenyn Regelmall för anspråk och välj Transformera ett inkommande anspråk.
• Klicka på Nästa >.
• På skärmen Konfigurera skader egel:
  • Ange ett namn på skaderegeln.
  • Klicka på rullgardinsmenyn Typ av inkommande krav och välj E-postadress.
  • Klicka på rullgardinsmenyn Typ av utgående an språk och välj Namn-ID.
  • Klicka på rullgardinsmenyn Format för utgående namn-ID och välj E-post.
  • Klicka på Slutför för att lägga till den nya regeln.
• Klicka på OK för att lägga till båda de nya reglerna.

3. Justera förtroendeinställningarna

I mappen Replying Party Trusts väljer du Egenskaper i sidomenyn Åtgärder . Klicka på fliken Avancerat och kontrollera att SHA-256 är angiven som säker hash-algoritm. Även om både SHA-256 och SHA-1 stöds rekommenderas SHA-256.

4. Leta reda på ditt x509-certifikat i PEM-format

Så här kommer du åt ditt x509-certifikat i PEM-format:

• Navigera till AD FS-hanteringsfönstret . I menyn till vänster navigerar du till Tjänster > Certifikat.
• Leta reda på Tokensigneringscertifikatet . Högerklicka på certifikatet och välj Visa certifikat.
• Klicka på fliken Detaljer i dialogrutan.
• Klicka på Kopiera till fil.
• Klicka på Nästa i fönstret Exportera certifikat som öppnas.
• Välj Base-64-kodad X.509 (.CER) och klicka sedan på Nästa.
• Ge den exporterade filen ett namn och klicka sedan på Nästa.
• Klicka på Slutför för att slutföra exporten.

• Leta reda på filen du just exporterade och öppna den med en textredigerare, t.ex. Notepad.
• Kopiera innehållet i filen.

5. Slutför din uppsättning i HubSpot

• Logga in på ditt HubSpot-konto.
• I ditt HubSpot-konto klickar du på settings inställningsikonen i det övre navigeringsfältet.
• Klicka på Kontostandarder i det vänstra sidofältet.
• Klicka på fliken Säkerhet.
• Klicka på Konfigurera enkel inloggning.
• Klicka på Microsoft AD FS i slide-in-panelen Konfigurera enkel inloggning .
• Klistra in innehållet i filen ifältet X.509-certifikat.
• Gå tillbaka till din AD FS-manager.

• Välj mappen Endpoints i den vänstra sidomenyn.
• Sök efter SSO-tjänstens slutpunkt och enhetens URL. SSO-tjänstens URL slutar vanligtvis på "adfs/services/ls" och entitetens URL slutar på "adfs/services/trust".
• Återgå till HubSpot. I fältet Identity provider Identifier or Issuer anger du enhetens URL.
• I fältet Identity Provider Single Sign-On URL anger du SSO-tjänstens URL.
• Klicka på Verifiera.

Observera: Om du får ett fel när du konfigurerar enkel inloggning i HubSpot, kontrollera loggarna i din händelsevisare på din enhet för felmeddelandet. Om du inte kan felsöka felmeddelandet, kontakta HubSpot Support.