HubSpot Kunskapsbas

Konfigurera SSO (Single Sign-On) för åtkomst till privat innehåll

Skriven av HubSpot Support | Nov 2, 2021 4:33:13 PM

Single sign-on (SSO) är ett sätt att logga in i olika applikationer på ett säkert sätt med ett enda användarnamn och lösenord.

Med SSO för privat innehåll kan din IT-administratör konfigurera en HubSpot-applikation i ditt identitetsleverantörskonto, till exempel Google eller Okta. Medlemmar i din organisation med tillgång till HubSpot-applikationen i ditt identitetsleverantörskonto kan logga in med SSO för att visa privat innehåll.

Du kan ytterligare förfina vilka personer som har tillgång till specifikt innehåll baserat på deras listmedlemskap i ditt HubSpot-konto. För att få åtkomst till innehåll genom listmedlemskap måste dessa medlemmar i ditt team ha kontaktposter i ditt HubSpot-konto.

SSO för privat innehåll är tillgängligt för följande prenumerationer:

Innan du kommer igång

  • Den här installationsprocessen måste utföras av en IT-administratör med erfarenhet av att skapa applikationer i ditt identitetsleverantörskonto och behörighet att redigera webbplatsinställningar i HubSpot.
  • SSO kan konfigureras för en HubSpot-hostad underdomän per identitetsleverantörskonto. För bästa resultat rekommenderar vi att du dedikerar en subdomän för SSO-medlemskap.
  • Meddelandemail och inloggningssidor för privat innehåll som kräver SSO hanteras av ditt identitetsleverantörskonto, snarare än dina inställningar för privat innehåll i HubSpot.
  • Privat innehåll som kräver SSO kommer inte att genomsökas av sökmotorer och kan endast ses av kontakter som har åtkomst och är inloggade.
  • Alla sidtillgångar som bilder och formulär kräver endast SSO för åtkomst som en del av sidan. Om webbadresserna till själva tillgångarna tillhandahålls separat krävs inte SSO för åtkomst till dem. Läs mer om hur du ställer in URL-synlighet för tillgångar i filverktyget.
  • Om du aktiverar SSO för en domän som tidigare krävde medlemsregistrering kommer SSO att använda dina ursprungliga medlemslistor. Om du stänger av SSO igen kommer innehållet att återgå till att kräva medlemsregistrering för samma listor.

Konfigurera SSO för HubSpots privata innehåll i ditt konto hos identitetsleverantören

För att konfigurera SSO för privat innehåll som finns i HubSpot kommer din IT-administratör att skapa en ny applikation för åtkomst till HubSpot-innehåll. För att slutföra denna process kommer din IT-administratör att referera till värden från dina inställningar för privat innehåll i HubSpot.

Observera: om du kräver SSO för en underdomän som redan är värd för privat innehåll med medlemsregistrering, kommer det innehållet inte längre att vara tillgängligt för registrerade kontakter.

De steg och fält som krävs för att lägga till en ny applikation i din identitetsleverantör kan variera. Allmänna instruktioner för att konfigurera SSO för privat innehåll beskrivs nedan.

Konfigurera SSO för en SAML-baserad applikation

Så här skapar du en ny SAML-applikation för HubSpots privata innehåll i ditt identitetsleverantörskonto:

  • Logga in på ditt identitetsleverantörskonto.
  • Navigera till dina applikationer inom ditt identitetsleverantörskonto.
  • I ditt HubSpot-konto samlar du in de värden som krävs för din nya HubSpot-applikation:
    • Navigera till Innehåll > Privat innehåll i menyn till vänster i sidofältet.
    • Längst upp på sidan klickar du på rullgardinsmenyn Välj en domän att redigera och väljer en underdomän.
    • Klicka på Konfigurera SSO i avsnittet Enkel inloggning (SSO).
    • I den högra panelen klickar du på rullgardinsmenyn Security token format och väljer SAML.
    • Kopiera URL :en för målgruppen och URL:en för inloggning.

  • I ditt konto för identitetsleverantör:
    • Klistra in URL:en för målgruppen och URL: en för inloggning som kopierats från HubSpot i motsvarande fält.
    • Kopiera identifierarna förutfärdarens URL,URL förenkel inloggning och certifikat.
  • I ditt HubSpot-konto:
    • Klistra in värdena förIssuer URL,Single Sign-on URL och Certificate i motsvarande fält i panelen Set up Single Sign-on.
    • Klicka på Verifiera.

När verifieringsprocessen är klar ser du en bekräftelse på att enkel inloggning är aktiverad för din domän i dina privata innehållsinställningar.

Konfigurera SSO för en JWT-baserad applikation

  • I ditt konto för identitetsleverantör:
    • Navigera till dina applikationer inom ditt identitetsleverantörskonto.
    • Kopiera identifierarna för Remote Login URL och Secret Key. Leta reda på algoritmen Signing.
    • För ökad säkerhet kopierar du Issue ,Subject och Audience.
  • I ditt HubSpot-konto matar du in dessa värden i dina SSO-inställningar:
    • Navigera till Innehåll > Privat innehåll i menyn till vänster i sidofältet.
    • Längst upp på sidan klickar du på rullgardinsmenyn Välj en domän att redigera och väljer en underdomän.
    • Klicka på Konfigurera SSO i avsnittet Enkel inloggning (SSO).
    • I den högra panelen klickar du på rullgardinsmenyn Security token format och väljer JWT.
    • Klistra in URL:en för fjärrinloggning
    • Klicka på rullgardinsmenyn Signing algorithm och välj värdet i ditt konto hos din identitetsleverantör.
    • Klistra in den hemliga nyckeln. Om du använder en asymmetrisk signeringsalgoritm med både offentliga och privata nycklar kommer den hemliga nyckeln att vara den offentliga nyckeln.
Observera följande :
  • När du använder en publik nyckel är det inte nödvändigt att inkludera sidhuvud och sidfot.
  • Om du inkluderar sidhuvud och sidfot kopierar och klistrar du in följande text och ersätter sedan platshållaren med din publika nyckel:
    • -----BÖRJA OFFENTLIG NYCKEL-----

      [din publika nyckel]

      -----END PUBLIC KEY-----

    • För extra säkerhet kan du klistra in Issue ,Subject och Audience .
    • Klicka på Verifiera.

Ett fönster öppnas till den "URL för fjärrinloggning" som anges i SSO-inställningarna. URL:en som öppnas i fönstret innehåller en frågeparameter "redirect_url" med värdet en URL på den domän som du konfigurerar och sökvägen "_hcms/mem/jwt/verify".

För verifiering måste en begäran göras till den URL som anges i parametern 'redirect_url' efter att autentiseringsuppgifter har angetts på 'Remote Login URL'. Denna begäran måste innehålla en frågeparameter som stöds och vars värde måste vara en JWT/hash, som när den dekrypterats innehåller ett "email"-fält i nyttolasten med en giltig e-postadress. Frågeparamer som stöds är "jwt", "code", "id_token" och "access_token".

JWT/hash kommer att dekrypteras av HubSpot med hjälp av den signeringsalgoritm och hemliga nyckel som anges i SSO-inställningarna. Sändningen av denna efterföljande begäran, som görs efter att giltiga autentiseringsuppgifter har angetts på sidan "Remote Login URL", bör konfigureras inom ditt identitetsleverantörskonto.

När verifieringsprocessen är klar ser du en bekräftelse på att Single sign-on är aktiverat för din domän i dina privata innehållsinställningar.

När verifieringen är klar ska besökare som klarar verifieringen på "Remote login URL" skickas till "_hcms/mem/jwt" med två frågeparam:

  • "jwt", "code", "id_token" eller "access_token" frågeparameter med en hash som, när den dekrypterats, innehåller besökarens e-postadress i ett e-postfält.
  • "redirect_url" frågeparameter som anger den sida dit besökaren ska omdirigeras. Denna URL ska vara samma som värdet på frågeparametern "redirect_url" i den begäran som skickas till "Remote login URL".

Felsök vanliga JWT-fel

Om du har problem med att konfigurera SSO för en JWT-baserad applikation rekommenderas att du verifierar din JSON-webbtoken med hjälp av JWT: s felsökare.

När du har verifierat din JWT kan du åtgärda följande fel:

  • NO_SETTINGS: kombinationen av portal och domän returnerar inga JWT-inställningar
  • COULD_NOT_PARSE_HEADER: JWT-header måste finnas och vara base64-kodad
  • WRONG_TYPE_IN_HEADER: JWT-tokenhuvudet har ett fält "typ" och det är inte lika med "jwt"
  • ALGORITHM_MISSING_IN_HEADER: JWT-tokenhuvudet har inte ett "alg"-fält för algoritmen
  • NONE_ALGORITHM_PROVIDED: "alg"-fältet är lika med "none", vilket är osäkert och inte stöds
  • TOKEN_VERIFICATION_FAILED: token kan vara tom, null, felaktig eller så stöds inte frågeparametern. Vi stöder frågeparametrarna "jwt", "code", "id_token" och "access_token".
  • MISSING_EMAIL_IN_TOKEN: avkodad token saknar ett e-postfält eller så är det noll eller tomt
  • INVALID_KEY: hemlig nyckel saknas eller är ogiltig
  • INVALID_KEY_LENGTH: den hemliga nyckelns längd motsvarar inte den valda signeringsalgoritmens krav
  • PRIVATE_KEY_PROVIDED: vald signeringsalgoritm kräver en offentlig nyckel som hemlig nyckel, men en privat nyckel har tillhandahållits
  • INVALID_LOGIN_URL: den angivna URL:en för fjärrinloggning är inte giltig
  • JTI_CLAIM_INVALID: JWT-kontroller kan inte spelas upp igen

Kräv SSO för ditt innehåll

Det finns två alternativ för att kräva privat innehåll med SSO:

  • Privat - Single sign-on (SSO) krävs: alla i din identitetsleverantörsorganisation med åtkomst till HubSpot-applikationen kan logga in med SSO för att visa det privata innehållet.
  • Privat - Single sign-on (SSO) krävs med listfiltrering: individer i din identitetsleverantörsorganisation som också har specifika HubSpot-listmedlemskap kan logga in med SSO för att visa privat innehåll. Dessa personer måste ha tillgång till HubSpot-applikationen inom ditt identitetsleverantörskonto (t.ex. Okta eller Google), men de behöver inte vara användare i ditt HubSpot-konto.

Kräv SSO för en blogg

Du kan kräva SSO för bloggar som finns på den underdomän som du har anslutit i ditt identitetsleverantörskonto. Om du aktiverar SSO för en specifik blogg kommer det att påverka alla blogginlägg som publiceras på den bloggen. Det är inte möjligt att kräva SSO för ett specifikt blogginlägg.

Observera: om du kräver SSO för en blogg som redan är värd för privat innehåll med medlemsregistrering kommer den bloggen inte längre att vara tillgänglig för dessa kontakter.

Så här ställer du in SSO för en blogg:

  • Navigera till Innehåll > Blogg i menyn till vänster i sidofältet.
  • Klicka på rullgardinsmenyn Välj en blogg att ändra längst upp till vänster och välj en blogg som finns på den underdomän som du har konfigurerat med din identitetsleverantör.
  • Ställ in SSO i avsnittet Kontrollera åtkomst för målgruppen:
    • Välj Privat - Enkel inloggning (SSO) krävs för att ge åtkomst till alla i din identitetsleverantörs organisation som har åtkomst till HubSpot-programmet.
    • Välj Privat - Enkel inloggning krävs med listfiltrering för att ge åtkomst till personer i ditt identitetsleverantörskonto med åtkomst till HubSpot-applikationen och specifika listmedlemskap . Välj sedan de listor som du vill ska ha tillgång till detta innehåll.
  • Klicka på Spara längst ned till vänster.

Kräv SSO för målsidor eller webbplatssidor

Du kan kräva SSO för målsidor eller webbplatssidor som finns på den underdomän som du har anslutit i ditt konto för identitetsleverantör.

Observera: om du kräver SSO för en målsida eller webbplatssida som redan är inställd på privat innehåll med medlemsregistrering kommer den sidan inte längre att vara tillgänglig för dessa kontakter.

Så här ställer du in SSO för specifika sidor:
  • Navigera till ditt innehåll:

    • Webbplatssidor:
    • Landningssidor:
  • Markera kryssrutan bredvid varje sida som du vill ska kräva SSO.
  • Klicka på rullgardinsmenyn Mer högst upp i tabellen och välj Kontrollera åtkomst för målgruppen.
  • I den högra panelen konfigurerar du SSO för de sidor du har valt och klickar sedan på Spara:
    • Välj Privat - Enkel inloggning krävs för att ge åtkomst till alla i din identitetsleverantörsorganisation som har åtkomst till HubSpot-applikationen.
    • Välj Privat - Enkel inloggning krävs med listfiltrering för att ge åtkomst till personer i ditt identitetsleverantörskonto med åtkomst till HubSpot-applikationen och specifika listmedlemskap . Välj sedan de specifika listor som du vill ska ha åtkomst till detta innehåll.

Kräv SSO för specifika artiklar i kunskapsdatabasen

Du kan konfigurera SSO för specifika kunskapsdatabasartiklar som finns på den underdomän som du har anslutit i ditt konto för identitetsleverantör.

Observera: om du kräver SSO för en artikel i en kunskapsbas som redan är inställd på privat innehåll med medlemsregistrering kommer artikeln inte längre att vara tillgänglig för dessa kontakter.

Så här konfigurerar du SSO för specifika artiklar i kunskapsbanken:

  • Klicka på fliken Artiklar.
  • Markera kryssrutan bredvid varje artikel som du vill ska kräva SSO.
  • Klicka på Kontrollera publikens åtkomst högst upp i tabellen.
  • Ställ in SSO för dessa artiklar i den högra panelen och klicka sedan på Spara:
    • Välj Privat - Enkel inloggning krävs för att ge åtkomst till alla i din identitetsleverantörsorganisation som har åtkomst till HubSpot-applikationen.
    • Välj Privat - Enkel inloggning krävs med listfiltrering för att ge åtkomst till personer i ditt identitetsleverantörskonto med åtkomst till HubSpot-applikationen och specifika listmedlemskap . Välj sedan de specifika listor som du vill ska ha åtkomst till detta innehåll.

Du kan också kontrollera målgruppens åtkomst till en viss artikel på fliken Inställningar i artikelredigeraren.

Kräv SSO för alla artiklar i kunskapsdatabasen

Du kan också konfigurera SSO för alla artiklar i en viss kunskapsdatabas som finns på den underdomän som du har anslutit i ditt konto hos identitetsleverantören.

  • Navigera till Innehåll > Kunskapsbas i menyn till vänster i sidofältet.
  • Om du har flera kunskapsbaser klickar du på den första rullgardinsmenyn i avsnittet Aktuell vy och väljer en kunskapsbas. Detta kommer att vara den andra rullgardinsmenyn i konton med tillägget Affärsenheter.
  • I avsnittet Åtkomstkontroll väljer du Single sign on (SSO) required.
  • Klicka på Spara längst ned till vänster.

Stäng av SSO för privat innehåll

Om du stänger av SSO för privat innehåll påverkas ditt innehåll på olika sätt beroende på vilken inställning du har valt.

  • Innehåll som är inställt på Privat - Enkel inloggning krävs blir offentligt .
  • Innehåll som är inställt på Privat - Enkel inloggning krävs med listfiltrering blir otillgängligt .

För att hålla ditt privata innehåll privat när du stänger av SSO rekommenderar HubSpot att du ändrar publikåtkomst för ditt privata innehåll till Privat - Enkel inloggning krävs med listfiltrering. Du kan sedan ändra målgruppsåtkomst för detta innehåll så att det istället kräver registrering av CMS-medlemskap.

Så här stänger du av SSO för privat innehåll:

  • Navigera till Innehåll > Privat innehåll i menyn till vänster i sidofältet.
  • Klicka på rullgardinsmenyn Välj en domän att redigera högst upp i dina inställningar och välj en domän .
  • I avsnittet SSO (Single sign-on) klickar du på Hantera SSO .
  • Längst ner i panelen klickar du på för att avaktivera SSO aktiverat.