ตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) โดยใช้ Active Directory Federation Services (AD FS)

หากคุณมีบัญชี HubSpot Enterprise คุณสามารถตั้งค่าการลงชื่อเพียงครั้งเดียวโดยใช้ Active Directory Federation Services (AD FS) 

ในการใช้ AD FS เพื่อเข้าสู่ระบบบัญชี HubSpot ของคุณคุณต้องมีคุณสมบัติตามข้อกำหนดต่อไปนี้:

• ผู้ใช้ทั้งหมดในอินสแตนซ์ Active Directory ของคุณต้องมีแอตทริบิวต์ที่อยู่อีเมล
• คุณกำลังใช้บัญชี HubSpot Enterprise
• คุณมีเซิร์ฟเวอร์ที่ใช้ Windows Server 2008, 2012 หรือ 2019 

โปรดทราบ: ขั้นตอนการตั้งค่าควรทำโดยผู้ดูแลระบบไอทีที่มีประสบการณ์ในการสร้างแอปพลิเคชันในบัญชีผู้ให้บริการข้อมูลประจำตัวของคุณ ดูข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า SSO กับ HubSpot 

ก่อนที่คุณจะเริ่ม

ก่อนที่คุณจะเริ่มต้นให้สังเกตค่าสองค่าต่อไปนี้จากบัญชี HubSpot ของคุณเพื่อตั้งค่า SSO โดยใช้ Microsoft AD FS:

• เข้าสู่ระบบบัญชี HubSpot ของคุณ 
• ในบัญชี HubSpot ของคุณ คลิก settings ไอคอนการตั้งค่า ในแถบนำทางด้านบน
• ที่แถบด้านซ้ายให้คลิกค่าเริ่มต้นของบัญชี 
• คลิกแท็บความปลอดภัย
• คลิกตั้งค่าการลงชื่อเพียงครั้งเดียว
• ในแผงสไลด์การลงชื่อเข้าใช้แบบครั้งเดียวให้คลิก Microsoft AD FS
• จดบันทึกทั้ง URI ผู้ชม (ID เอนทิตีผู้ให้บริการ) และค่าลงชื่อเข้าใช้ URL, ACS, ผู้รับหรือการเปลี่ยนเส้นทางเนื่องจากคุณจะต้องเพิ่มลงใน Microsoft AD FS ในขั้นตอนการตั้งค่า 

1. เพิ่มทรัสต์ของพรรคที่เชื่อถือได้ (RPT)

เปิดตัวจัดการ Active Directory Federation Services (AD FS):

• ในผู้จัดการ AD FS ของคุณให้เปิดโฟลเดอร์ Relying Party Trusts (RPT)  
• ในเมนูแถบด้านขวาให้เลือกเพิ่มความน่าเชื่อถือของพรรคที่พึ่งพา... 
• ในกล่องโต้ตอบเพิ่มตัวช่วยสร้างความไว้วางใจของพรรคที่เชื่อถือได้ให้คลิกเริ่มเพื่อเพิ่ม RPT ใหม่ 
• บนหน้าจอเลือกแหล่งข้อมูลให้เลือกป้อนข้อมูลเกี่ยวกับฝ่ายที่ต้องพึ่งพาด้วยตนเอง 
• คลิกถัดไป >
• ในช่องชื่อที่แสดงให้ป้อนชื่อสำหรับความไว้วางใจของคุณ - เพื่อวัตถุประสงค์ภายในดังนั้นตรวจสอบให้แน่ใจว่าคุณตั้งชื่อสิ่งที่คุณสามารถจดจำได้ง่าย 
• คลิกถัดไป > 
• บนหน้าจอกำหนดค่าใบรับรองให้ปล่อยการตั้งค่าเริ่มต้นตามที่เป็นอยู่จากนั้นคลิกถัดไป >
• เลือกช่องทำเครื่องหมายเปิดใช้งานการสนับสนุนสำหรับโปรโตคอล SAML 2.0 WebSSO ในฟิลด์ URL บริการ SSO ของ SAML 2.0 ของคู่สัญญาให้ป้อน URL  ลงชื่อเข้าใช้, ACS, ผู้รับหรือเปลี่ยนเส้นทาง URL จากบัญชี HubSpot ของคุณ

• คลิกถัดไป > 
• ในฟิลด์ตัวระบุความไว้วางใจของบุคคลที่อาศัย :
  • ป้อนค่า URI ของผู้ชม (ID เอนทิตีผู้ให้บริการ) จากบัญชี HubSpot ของคุณ 
  • เข้า https://api.hubspot.com จากนั้นคลิก เพิ่ม 
• คลิกถัดไป > 
• ในหน้าต่างเลือกนโยบายการควบคุมการเข้าถึงให้เลือกอนุญาตทุกคนจากนั้นคลิกถัดไป > 
• ตรวจสอบการตั้งค่าแล้วคลิกถัดไป > 
• คลิก ปิด 

2. สร้างกฎการเรียกร้องค่าสินไหมทดแทน 

ก่อนตั้งค่ากฎการเคลมตรวจสอบให้แน่ใจว่าที่อยู่อีเมลของผู้ใช้ตรงกับที่อยู่อีเมลของผู้ใช้ HubSpot คุณสามารถใช้ตัวระบุอื่นๆเช่นชื่อผู้ใช้หลัก (UPN) หาก UPN ของคุณอยู่ในรูปแบบของที่อยู่อีเมล เพื่อให้การลงชื่อเพียงครั้งเดียวกับ AD FS ทำงานได้ ID ชื่อจะต้องอยู่ในรูปแบบของที่อยู่อีเมลเพื่อจับคู่กับผู้ใช้ HubSpot 

• ในหน้าต่างกฎการเรียกร้องให้คลิกเพิ่มกฎ 
• คลิกเมนูแบบเลื่อนลงเทมเพลตกฎการอ้างสิทธิ์และเลือกส่งแอตทริบิวต์ LDAP เป็นการอ้างสิทธิ์ 
• คลิกถัดไป > 
• บนหน้าจอกำหนดค่ากฎการอ้างสิทธิ์ :
  • ในช่องชื่อกฎการอ้างสิทธิ์ให้ป้อนชื่อกฎ 
  • คลิกเมนูแบบเลื่อนลงของร้านค้าแอตทริบิวต์แล้วเลือก Active Directory 
  • ในตารางการแมปแอตทริบิวต์ LDAP ให้แมปสิ่งต่อไปนี้:
    • ในคอลัมน์แอตทริบิวต์ LDAP ให้คลิกเมนูแบบเลื่อนลงและเลือกที่อยู่อีเมล 
    • ในคอลัมน์สินไหมทดแทนขาออกให้คลิกเมนูแบบเลื่อนลงและเลือกที่อยู่อีเมล 
      
• คลิกเสร็จสิ้น 

จากนั้นตั้งค่ากฎการเปลี่ยนการอ้างสิทธิ์ขาเข้า: 

• คลิกเพิ่มกฎ 
• คลิกเมนูแบบเลื่อนลงเทมเพลตกฎการอ้างสิทธิ์และเลือกเปลี่ยนการอ้างสิทธิ์ขาเข้า 
• คลิกถัดไป > 
• บนหน้าจอกำหนดค่ากฎการอ้างสิทธิ์ :
  • ป้อนชื่อกฎการอ้างสิทธิ์ 
  • คลิกเมนูแบบเลื่อนลงประเภทการอ้างสิทธิ์ขาเข้าและเลือกที่อยู่อีเมล 
  • คลิกเมนูแบบเลื่อนลงประเภทการอ้างสิทธิ์ขาออกและเลือก ID ชื่อ 
  • คลิกเมนูแบบเลื่อนลงรูปแบบ ID ชื่อขาออกและเลือก อีเมล 
  • คลิกเสร็จสิ้นเพื่อเพิ่มกฎใหม่ 
• คลิกตกลงเพื่อเพิ่มกฎใหม่ทั้งสองข้อ 

3. ปรับการตั้งค่าความไว้ใจ

ในโฟลเดอร์การตอบกลับปาร์ตี้ทรัสต์ให้เลือกคุณสมบัติจากเมนูแถบด้านข้างการดำเนินการ  คลิกแท็บขั้นสูงและตรวจสอบให้แน่ใจว่าระบุ SHA -256 เป็นอัลกอริทึมแฮชที่ปลอดภัย แม้ว่าจะรองรับทั้ง SHA -256 และ SHA -1 แต่แนะนำให้ใช้ SHA -256 

4. ค้นหาใบรับรอง PEM รูปแบบ x509 ของคุณ

วิธีเข้าถึงใบรับรอง PEM รูปแบบ x509 ของคุณ:

• ไปที่หน้าต่างการจัดการ AD FS  ในเมนูแถบด้านข้างซ้ายให้ไปที่บริการ > ใบรับรอง 
• ค้นหาใบรับรองการลงนามโทเค็น  คลิกขวาที่ใบรับรองแล้วเลือกดูใบรับรอง 
  
• ในกล่องโต้ตอบให้คลิกแท็บรายละเอียด  
• คลิกคัดลอกไปยังไฟล์ 
• ในหน้าต่างส่งออกใบรับรองที่เปิดขึ้นให้คลิกถัดไป 
• เลือก Base -64 encoded X.509 (.cer) จากนั้นคลิก Next 
• ตั้งชื่อการส่งออกไฟล์ของคุณจากนั้นคลิกถัดไป 
• คลิกเสร็จสิ้นเพื่อดำเนินการส่งออกให้เสร็จสมบูรณ์ 

• ค้นหาไฟล์ที่คุณเพิ่งส่งออกและเปิดโดยใช้โปรแกรมแก้ไขข้อความเช่น Notepad 
• คัดลอกเนื้อหาของไฟล์

5. ตั้งค่าใน HubSpot ให้เรียบร้อย

• เข้าสู่ระบบบัญชี HubSpot ของคุณ 
• ในบัญชี HubSpot ของคุณ คลิก settings ไอคอนการตั้งค่า ในแถบนำทางด้านบน
• ที่แถบด้านซ้ายให้คลิกค่าเริ่มต้นของบัญชี 
• คลิกแท็บความปลอดภัย
• คลิกตั้งค่าการลงชื่อเพียงครั้งเดียว
• ในแผงสไลด์การลงชื่อเข้าใช้แบบครั้งเดียวให้คลิก Microsoft AD FS
• วางเนื้อหาของไฟล์ลงในช่อง  ใบรับรอง X.509
• กลับไปที่ผู้จัดการ AD FS ของคุณ 

• ในเมนูแถบด้านข้างซ้ายให้เลือกโฟลเดอร์จุด สิ้นสุด  
• ค้นหาจุดสิ้นสุดบริการ SSO และ URL ของเอนทิตี URL บริการ SSO มักจะลงท้ายด้วย "adfs/services/ls" และ URL ของเอนทิตีจะลงท้ายด้วย "adfs/services/trust"
• กลับไปที่ HubSpot ในช่องตัวระบุผู้ให้บริการข้อมูลประจำตัวหรือผู้ออกให้ป้อน URL ของเอนทิตี
• ในฟิลด์ URL ลงชื่อเข้าใช้ครั้งเดียวของผู้ให้บริการข้อมูลประจำตัวให้ป้อน URL บริการ SSO 
• คลิก ยืนยัน 

โปรดทราบ: หากคุณได้รับข้อผิดพลาดเมื่อกำหนดค่าการลงชื่อเพียงครั้งเดียวใน HubSpot ให้ตรวจสอบบันทึกผู้ดูกิจกรรมบนอุปกรณ์ของคุณเพื่อดูข้อความแสดงข้อผิดพลาด หากคุณไม่สามารถแก้ปัญหาข้อความแสดงข้อผิดพลาดได้โปรดติดต่อฝ่ายสนับสนุน HubSpot