Ställ in enkel inloggning (SSO) för åtkomst till privat innehåll

Single sign-on (SSO) är ett sätt att logga in säkert i olika applikationer med ett enda användarnamn och lösenord.

Med SSO för privat innehåll kan din IT-administratör konfigurera en HubSpot-applikation i ditt identitetsleverantörskonto, t.ex. Google eller Okta. Medlemmar i din organisation som har åtkomst till HubSpot-applikationen i ditt identitetsleverantörskonto kan logga in med SSO för att visa privat innehåll.

Du kan ytterligare förfina vilka personer som har tillgång till specifikt innehåll baserat på deras listmedlemskap i ditt HubSpot-konto. För att få tillgång till innehåll genom listmedlemskap måste dessa medlemmar i ditt team ha kontaktposter i ditt HubSpot-konto.

SSO för privat innehåll är tillgängligt för följande prenumerationer:

• Marketing Hub - och CMS Hub Enterprise-konton kan konfigurera SSO för bloggar, målsidor och webbplatssidor.
• Service HubProfessional- och Enterprise-konton kan konfigurera SSO för artiklar i kunskapsbaser och kundportaler.

Innan du kommer igång

• Den här installationsprocessen måste utföras av en IT-administratör med erfarenhet av att skapa applikationer i ditt identitetsleverantörskonto och behörighet att redigera webbplatsinställningar i HubSpot.
• SSO kan konfigureras för en HubSpot-hostad underdomän per identitetsleverantörskonto. För bästa resultat rekommenderas att du dedikerar en underdomän endast för SSO-medlemskap.
• E-postmeddelanden och inloggningssidor för privat innehåll som kräver SSO hanteras av ditt identitetsleverantörskonto, snarare än dina inställningar för privat innehåll i HubSpot.
• Privat innehåll som kräver SSO kommer inte att genomsökas av sökmotorer och kan endast ses av kontakter som har åtkomst och är inloggade.
• Alla sidtillgångar som bilder och formulär kräver endast SSO för åtkomst som en del av sidan. Om URL:erna till själva tillgångarna tillhandahålls separat krävs inte SSO för att komma åt dem. Läs mer om att ställa in URL-synlighet för tillgångar i filverktyget.
• Om du aktiverar SSO för en domän som tidigare krävde medlemsregistrering, kommer SSO att använda dina ursprungliga medlemslistor. Om du stänger av SSO igen kommer innehållet att återgå till att kräva medlemsregistrering för samma listor.

Konfigurera SSO för HubSpot privat innehåll i ditt identitetsleverantörskonto

För att konfigurera SSO för privat innehåll som finns i HubSpot skapar din IT-administratör en ny applikation för åtkomst till HubSpot-innehåll. För att slutföra denna process kommer din IT-administratör att referera till värden från dina inställningar för privat innehåll i HubSpot.

Observera: Om du kräver SSO för en underdomän som redan har privat innehåll med medlemsregistrering, kommer det innehållet inte längre att vara tillgängligt för registrerade kontakter.

De steg och fält som krävs för att lägga till en ny applikation i din identitetsleverantör kan variera. Allmänna instruktioner för att konfigurera SSO för privat innehåll beskrivs nedan.

Konfigurera SSO för en SAML-baserad applikation

För att skapa en ny SAML-applikation för HubSpot privat innehåll i ditt identitetsleverantörskonto:

• Logga in på ditt identitetsleverantörskonto.
• Navigera till dina applikationer inom ditt identitetsleverantörskonto.
• I ditt HubSpot-konto samlar du in de värden som krävs för din nya HubSpot-applikation:
  • I ditt HubSpot-konto, klicka på settings inställningsikonen i huvudnavigationsfältet.
  • I den vänstra sidomenyn navigerar du till Webbplats > Privat innehåll.
  • Överst på sidan klickar du på rullgardinsmenyn Välj en domän att redigera och väljer en underdomän.
  • I avsnittet SSO (Single sign-on) klickar du på Konfigurera SSO.
  • I den högra panelen klickar du på rullgardinsmenyn Format för säkerhetstoken och väljer SAML.
  • Kopiera URL för målgrupp och URL för inloggning.

• I ditt identitetsleverantörskonto:
  • Klistra in Audience URL och Sign on URL som kopierats från HubSpot i motsvarande fält.

• • Kopiera identifierarna förutfärdarens URL,URL förenkel inloggning och certifikat.
• I ditt HubSpot-konto:
  • Klistra in värdena förIssuer URL,Single Sign-on URL och Certificate i motsvarande fält i panelen Set up Single Sign-on.
  • Klicka på Verifiera.

När verifieringsprocessen är klar ser du en bekräftelse på att enkel inloggning är aktiverat för din domän i dina privata innehållsinställningar.

Konfigurera SSO för en JWT-baserad applikation

• I ditt identitetsleverantörskonto:
  
  • Navigera till dina applikationer i ditt identitetsleverantörskonto.
  • Kopiera identifierarna för Remote Login URL och Secret Key. Leta reda på Signeringsalgoritmen.
  • För ökad säkerhet kopierar du Issue, Subject och Audience.
• Ange dessa värden i dina SSO-inställningar i ditt HubSpot-konto:
  
  • I ditt HubSpot-konto, klicka på settings inställningsikonen i huvudnavigationsfältet.
  • I den vänstra sidomenyn navigerar du till Webbplats > Privat innehåll.
  • Överst på sidan klickar du på rullgardinsmenyn Välj en domän att redigera och väljer en underdomän.
  • I avsnittet SSO (Single sign-on) klickar du på Konfigurera SSO.
  • I den högra panelen klickar du på rullgardinsmenyn Format för säkerhetstoken och väljer JWT.
  • Klistra in URL-adressen för fjärrinloggning
  • Klicka på rullgardinsmenyn Signeringsalgoritm och välj värdet i ditt identitetsleverantörskonto.
  • Klistra in den hemliga nyckeln. Om du använder en asymmetrisk signeringsalgoritm med både offentliga och privata nycklar kommer den hemliga nyckeln att vara den offentliga nyckeln.

• • För ökad säkerhet klistrar du in Issue, Subject och Audience.
  • Klicka på Verifiera.

Ett fönster öppnas med den "URL för fjärrinloggning" som angetts i SSO-inställningarna. Den URL som öppnas i fönstret kommer att innehålla en frågeparameter 'redirect_url' med ett värde av en URL på den domän du konfigurerar och sökvägen '_hcms/mem/jwt/verify'.

För verifiering måste en begäran göras till den URL som anges i parametern "redirect_url" efter att autentiseringsuppgifter har angetts på "Remote Login URL". Denna begäran måste innehålla en frågeparameter som stöds för vilken värdet måste vara en JWT/hash, som efter dekryptering innehåller ett "email"-fält i sin nyttolast med en giltig e-postadress. Frågeparametrar som stöds är "jwt", "code", "id_token" och "access_token".

JWT/hash dekrypteras av HubSpot med hjälp av den signeringsalgoritm och hemliga nyckel som angetts i SSO-inställningarna. Sändningen av denna efterföljande begäran, som görs efter att giltiga autentiseringsuppgifter har angetts på sidan "Remote Login URL", bör konfigureras inom ditt identitetsleverantörskonto.

När verifieringsprocessen är klar ser du en bekräftelse på att enkel inloggning är aktiverad för din domän i dina privata innehållsinställningar.

När verifieringen är klar ska besökare som klarar verifieringen på "Remote login URL" skickas till "_hcms/mem/jwt" med två query params:

• 'jwt', 'code', 'id_token', eller 'access_token' query param med en hash som, när den dekrypterats, innehåller besökarens e-postadress i ett e-postfält.
• "redirect_url" frågeparameter som anger den sida dit besökaren ska skickas. Denna URL bör vara densamma som värdet på frågeparametern "redirect_url" i den begäran som skickas till "Remote login URL".

Felsöka vanliga JWT-fel

Om du har problem med att konfigurera SSO för en JWT-baserad applikation rekommenderar vi att du verifierar din JSON-webbtoken med JWT:s felsökare.

När du har verifierat din JWT kan du åtgärda följande fel:

• NO_SETTINGS: kombinationen av portal och domän returnerar inga JWT-inställningar
• COULD_NOT_PARSE_HEADER: JWT-headern måste finnas och vara base64-kodad
• WRONG_TYPE_IN_HEADER: JWT token header har ett fält "typ" och det är inte lika med "jwt"
• ALGORITHM_MISSING_IN_HEADER: JWT-tokenhuvudet har inte ett "alg"-fält för algoritmen
• NONE_ALGORITHM_PROVIDED: fältet "alg" är lika med "none", vilket är osäkert och inte stöds
• TOKEN_VERIFICATION_FAILED: token kan vara tom, null, felaktig eller så stöds inte frågeparametern. Vi stöder frågeparametrarna "jwt", "code", "id_token" och "access_token".
• MISSING_EMAIL_IN_TOKEN: avkodad token saknar ett e-postfält eller så är det null eller tomt
• INVALID_KEY: hemlig nyckel saknas eller är ogiltig
• INVALID_KEY_LENGTH: längden på den hemliga nyckeln matchar inte kraven för den valda signeringsalgoritmen
• PRIVATE_KEY_PROVIDED: den valda signeringsalgoritmen kräver en offentlig nyckel som hemlig nyckel, men en privat nyckel har angetts
• INVALID_LOGIN_URL: angiven URL för fjärrinloggning är inte giltig
• JTI_CLAIM_INVALID: JWT-kontroller kan inte spelas upp igen

Kräv SSO för ditt innehåll

Det finns två alternativ för att kräva privat innehåll med SSO:

• Privat - Enkel inloggning (SSO) krävs: alla i din identitetsleverantörsorganisation som har åtkomst till HubSpot-applikationen kan logga in med SSO för att visa det privata innehållet.
• Privat - Enkel inloggning (SSO) krävs med listfiltrering: personer i din identitetsleverantörsorganisation som också har specifika HubSpot-listmedlemskap kan logga in med SSO för att visa privat innehåll. Dessa personer måste ha åtkomst till HubSpot-applikationen inom ditt identitetsleverantörskonto (t.ex. Okta eller Google), men de behöver inte vara användare i ditt HubSpot-konto.

Kräv SSO för en blogg

Du kan kräva SSO för bloggar som finns på den underdomän som du har anslutit till i ditt identitetsleverantörskonto. Om du aktiverar SSO för en specifik blogg kommer det att påverka alla blogginlägg som publiceras på den bloggen. Det är inte möjligt att kräva SSO för ett specifikt blogginlägg.

Observera: Om du kräver SSO för en blogg som redan innehåller privat innehåll med medlemsregistrering kommer den bloggen inte längre att vara tillgänglig för dessa kontakter.

Så här konfigurerar du SSO för en blogg:

• I ditt HubSpot-konto, klicka på settings inställningsikonen i huvudnavigationsfältet.
• I den vänstra sidomenyn navigerar du till Webbplats > Blogg.
• Klicka på rullgardinsmenyn Välj en blogg att ändra längst upp till vänster och välj en blogg som finns på den underdomän som du har konfigurerat med din identitetsleverantör.
• Ställ in SSO i avsnittet Kontrollera målgruppsåtkomst:
  • Välj Privat - Enkel inloggning (SSO) krävs för att ge åtkomst till alla i din identitetsleverantörs organisation som har åtkomst till HubSpot-applikationen.
  • Välj Privat - Enkel inloggning krävs med listfiltrering för att ge åtkomst till personer i ditt identitetsleverantörskonto med åtkomst till HubSpot-applikationen och specifika listmedlemskap. Välj sedan de listor som du vill ska ha åtkomst till detta innehåll.
• Klicka på Spara längst ned till vänster.

Kräv SSO för landningssidor eller webbplatssidor

Du kan kräva SSO för målsidor eller webbplatssidor som finns på den underdomän som du har anslutit till i ditt identitetsleverantörskonto.

Observera: Om du kräver SSO för en målsida eller webbplats som redan är inställd på privat innehåll med medlemsregistrering, kommer den sidan inte längre att vara tillgänglig för dessa kontakter.

• Navigera till ditt innehåll:

  • Webbplatssidor: I ditt HubSpot-konto, navigera till Marknadsföring > Webbsida > Sidor på webbplatsen.
  • Landningssidor: I ditt HubSpot-konto, navigera till Marknadsföring > Landningssidor.

• Markera kryssrutan bredvid varje sida som du vill ska kräva SSO.
• Överst i tabellen klickar du på rullgardinsmenyn Mer och väljer Kontrollera målgruppsåtkomst.
• Ställ in SSO för de sidor du har valt i den högra panelen och klicka sedan på Spara:
  • Välj Privat - Enkel inloggning krävs för att ge åtkomst till alla i din identitetsleverantörsorganisation som har åtkomst till HubSpot-applikationen.
  • Välj Privat - Enkel inloggning krävs med listfiltrering för att ge åtkomst till personer i ditt identitetsleverantörskonto med åtkomst till HubSpot-applikationen och specifika listmedlemskap. Välj sedan de specifika listor som du vill ska ha åtkomst till detta innehåll.
• Du kan också styra publikens åtkomst till en viss sida på fliken Inställningar i innehållsredigeraren.

Kräv SSO för specifika artiklar i kunskapsdatabasen

Du kan ställa in SSO för specifika kunskapsdatabasartiklar som finns på den underdomän som du har anslutit till i ditt identitetsleverantörskonto. Det är för närvarande inte möjligt att kräva SSO för en hel kunskapsdatabas.

Observera: Om du kräver SSO för en kunskapsdatabasartikel som redan är inställd på privat innehåll med medlemsregistrering, kommer artikeln inte längre att vara tillgänglig för dessa kontakter.

Så här ställer du in SSO för specifika artiklar i kunskapsdatabasen:

• I ditt HubSpot-konto, navigera till Service > Kunskapsbas.
• Klicka på fliken Artiklar.
• Markera kryssrutan bredvid den artikel som du vill ska kräva SSO.
• Klicka på Kontrollera målgruppsåtkomst högst upp i tabellen.
• Ställ in SSO för dessa artiklar i den högra panelen och klicka sedan på Spara:
  • Välj Privat - Enkel inloggning krävs för att ge åtkomst till alla i din identitetsleverantörsorganisation som har åtkomst till HubSpot-applikationen.
  • Välj Privat - Enkel inloggning krävs med listfiltrering för att ge åtkomst till personer i ditt identitetsleverantörskonto med åtkomst till HubSpot-applikationen och specifika listmedlemskap. Välj sedan de specifika listor som du vill ska ha åtkomst till detta innehåll.

Du kan också styra målgruppsåtkomst till en specifik artikel på fliken Inställningar i artikelredigeraren.

Stäng av SSO för privat innehåll

Om du stänger av SSO för privat innehåll påverkas ditt innehåll olika beroende på vilken inställning du har valt.

• Innehåll som är inställt på Privat - Enkel inloggning krävs blir offentligt.
• Innehåll som är inställt på Privat - Enkel inloggning krävs med listfiltrering blir otillgängligt.

För att hålla ditt privata innehåll privat när du stänger av SSO rekommenderar HubSpot att du ändrar målgruppsåtkomst för ditt privata innehåll till Privat - Enkel inloggning krävs med listfiltrering. Du kan sedan ändra målgruppsåtkomst för detta innehåll till att kräva CMS-medlemsregistrering istället.

Så här stänger du av SSO för privat innehåll:

• I ditt HubSpot-konto, klicka på settings inställningsikonen i huvudnavigationsfältet.
• I den vänstra sidomenyn navigerar du till Webbplats > Privat innehåll.
• Överst i dina inställningar klickar du på rullgardinsmenyn Välj en domän att redigera och väljer en domän.
• I avsnittet SSO (Single sign-on) klickar du på Hantera SSO.
• Längst ner i panelen klickar du för att stänga av knappen SSO aktiverad.