ตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) โดยใช้ Active Directory Federation Services (AD FS)

หากคุณมีบัญชี HubSpot Professional หรือ Enterprise คุณสามารถตั้งค่าการลงชื่อเพียงครั้งเดียวโดยใช้ Active Directory Federation Services (AD FS) 

ในการใช้ AD FS เพื่อเข้าสู่ระบบบัญชี HubSpot ของคุณคุณต้องมีคุณสมบัติตามข้อกำหนดต่อไปนี้:

• ผู้ใช้ทั้งหมดในอินสแตนซ์ Active Directory ของคุณต้องมีแอตทริบิวต์ที่อยู่อีเมล
• คุณกำลังใช้บัญชี HubSpot Professional หรือ Enterprise
• คุณมีเซิร์ฟเวอร์ที่ใช้ Windows Server 2008, 2012 หรือ 2019 

โปรดทราบ: ขั้นตอนการตั้งค่าควรทำโดยผู้ดูแลระบบไอทีที่มีประสบการณ์ในการสร้างแอปพลิเคชันในบัญชีผู้ให้บริการข้อมูลประจำตัวของคุณดูข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า SSO กับ HubSpot 

ก่อนที่คุณจะเริ่ม

ก่อนที่คุณจะเริ่มต้นให้สังเกตค่าสองค่าต่อไปนี้จากบัญชี HubSpot ของคุณเพื่อตั้งค่า SSO โดยใช้ Microsoft AD FS:

1. ในบัญชี HubSpot ของคุณ คลิก settings ไอคอนการตั้งค่า ในแถบนำทางด้านบน
2. บนแถบด้านข้างซ้ายให้คลิกการรักษาความปลอดภัย 
3. ใต้แท็บเข้าสู่ระบบในส่วนตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ให้คลิกตั้งค่า
4. ในแผงสไลด์การลงชื่อเข้าใช้แบบครั้งเดียวให้คลิกแท็บ Microsoft AD FS
5. จดบันทึกทั้ง URI ผู้ชม (ID เอนทิตีผู้ให้บริการ) และค่าลงชื่อเข้าใช้ URL, ACS, ผู้รับหรือการเปลี่ยนเส้นทางเนื่องจากคุณจะต้องเพิ่มลงใน Microsoft AD FS ในขั้นตอนการตั้งค่า 

1. เพิ่มทรัสต์ของพรรคที่เชื่อถือได้ (RPT)

เปิดตัวจัดการ Active Directory Federation Services (AD FS):

1. ในผู้จัดการ AD FS ของคุณให้เปิดโฟลเดอร์ Relying Party Trusts (RPT)  
2. ในเมนูแถบด้านขวาให้เลือกเพิ่มความน่าเชื่อถือของพรรคที่พึ่งพา... 
3. ในกล่องโต้ตอบเพิ่มตัวช่วยสร้างความน่าเชื่อถือของพรรคที่เชื่อถือได้ให้คลิกเริ่มเพื่อเพิ่ม RPT ใหม่ 
4. บนหน้าจอเลือกแหล่งข้อมูลให้เลือกป้อนข้อมูลเกี่ยวกับฝ่ายที่ต้องพึ่งพาด้วยตนเอง 
5. คลิกถัดไป >
6. ในช่องชื่อที่แสดงให้ป้อนชื่อสำหรับความไว้วางใจของคุณ - เพื่อวัตถุประสงค์ภายในดังนั้นตรวจสอบให้แน่ใจว่าคุณตั้งชื่อสิ่งที่คุณสามารถจดจำได้ง่าย 
7. คลิกถัดไป > 
8. บนหน้าจอกำหนดค่าใบรับรองให้ปล่อยการตั้งค่าเริ่มต้นตามที่เป็นอยู่จากนั้นคลิกถัดไป >
9. เลือกช่องทำเครื่องหมายเปิดใช้งานการสนับสนุนสำหรับโปรโตคอล SAML 2.0 WebSSO ในฟิลด์ URL บริการ SSO ของ SAML 2.0 ของคู่สัญญาให้ป้อน URL  ลงชื่อเข้าใช้, ACS, ผู้รับหรือเปลี่ยนเส้นทาง URL จากบัญชี HubSpot ของคุณ

10. คลิกถัดไป > 
11. ในฟิลด์ตัวระบุความไว้วางใจของบุคคลที่อาศัย :

• • ป้อนค่า URI ของผู้ชม (ID เอนทิตีผู้ให้บริการ) จากบัญชี HubSpot ของคุณ 
  • เข้า https://api.hubspot.com จากนั้นคลิก เพิ่ม 

12. คลิกถัดไป > 
13. ในหน้าต่างเลือกนโยบายการควบคุมการเข้าถึงให้เลือกอนุญาตทุกคนจากนั้นคลิกถัดไป > 
14. ตรวจสอบการตั้งค่าแล้วคลิกถัดไป > 
15. คลิก ปิด 

2. สร้างกฎการเคลม 

ก่อนตั้งค่ากฎการเคลมตรวจสอบให้แน่ใจว่าที่อยู่อีเมลของผู้ใช้ตรงกับที่อยู่อีเมลของผู้ใช้ HubSpot คุณสามารถใช้ตัวระบุอื่นๆเช่นชื่อผู้ใช้หลัก (UPN) หาก UPN ของคุณอยู่ในรูปแบบของที่อยู่อีเมลเพื่อให้การลงชื่อเพียงครั้งเดียวกับ AD FS ทำงานได้ ID ชื่อจะต้องอยู่ในรูปแบบของที่อยู่อีเมลเพื่อจับคู่กับผู้ใช้ HubSpot 

1. ในหน้าต่างกฎการเรียกร้องให้คลิกเพิ่มกฎ 
2. คลิกเมนูแบบเลื่อนลงเทมเพลตกฎการอ้างสิทธิ์และเลือกส่งแอตทริบิวต์ LDAP เป็นการอ้างสิทธิ์ 
3. คลิกถัดไป > 
4. บนหน้าจอกำหนดค่ากฎการอ้างสิทธิ์ :

• • ในช่องชื่อกฎการอ้างสิทธิ์ให้ป้อนชื่อกฎ 
  • คลิกเมนูแบบเลื่อนลงของร้านค้าแอตทริบิวต์แล้วเลือก Active Directory 
  • ในตารางการแมปแอตทริบิวต์ LDAP ให้แมปสิ่งต่อไปนี้:
    • ในคอลัมน์แอตทริบิวต์ LDAP ให้คลิกเมนูแบบเลื่อนลงและเลือกที่อยู่อีเมล 
    • ในคอลัมน์สินไหมทดแทนขาออกให้คลิกเมนูแบบเลื่อนลงและเลือกที่อยู่อีเมล 

5. คลิกเสร็จสิ้น 

จากนั้นตั้งค่ากฎการเปลี่ยนการอ้างสิทธิ์ขาเข้า: 

1. คลิกเพิ่มกฎ 
2. คลิกเมนูแบบเลื่อนลงเทมเพลตกฎการอ้างสิทธิ์และเลือกเปลี่ยนการอ้างสิทธิ์ขาเข้า 
3. คลิกถัดไป > 
4. บนหน้าจอกำหนดค่ากฎการอ้างสิทธิ์ :

• • ป้อนชื่อกฎการอ้างสิทธิ์ 
  • คลิกเมนูแบบเลื่อนลงประเภทการอ้างสิทธิ์ขาเข้าและเลือกที่อยู่อีเมล 
  • คลิกเมนูแบบเลื่อนลงประเภทการอ้างสิทธิ์ขาออกและเลือก ID ชื่อ 
  • คลิกเมนูแบบเลื่อนลงรูปแบบ ID ชื่อขาออกและเลือก อีเมล 
  • คลิกเสร็จสิ้นเพื่อเพิ่มกฎใหม่ 

5. คลิกตกลงเพื่อเพิ่มกฎใหม่ทั้งสองข้อ 

3. ปรับการตั้งค่าความไว้ใจ

1. ในโฟลเดอร์การตอบกลับปาร์ตี้ทรัสต์ให้เลือกคุณสมบัติจากเมนูแถบด้านข้างการดำเนินการ
2. คลิกแท็บขั้นสูงและตรวจสอบให้แน่ใจว่าระบุ SHA -256 เป็นอัลกอริทึมแฮชที่ปลอดภัย

แม้ว่าจะรองรับทั้ง SHA -256 และ SHA -1 แต่แนะนำให้ใช้ SHA -256 

4. ค้นหาใบรับรอง PEM รูปแบบ x509 ของคุณ

วิธีเข้าถึงใบรับรอง PEM รูปแบบ x509 ของคุณ:

1. ไปที่หน้าต่างการจัดการ AD FS  ในเมนูแถบด้านข้างซ้ายให้ไปที่บริการ > ใบรับรอง 
2. ค้นหาใบรับรองการลงนามโทเค็น  คลิกขวาที่ใบรับรองแล้วเลือกดูใบรับรอง 

3. ในกล่องโต้ตอบให้คลิกแท็บรายละเอียด  
4. คลิกคัดลอกไปยังไฟล์ 
5. ในหน้าต่างส่งออกใบรับรองที่เปิดขึ้นให้คลิกถัดไป 
6. เลือก Base -64 encoded X.509 (.cer) จากนั้นคลิก Next 
7. ตั้งชื่อการส่งออกไฟล์ของคุณจากนั้นคลิกถัดไป 
8. คลิกเสร็จสิ้นเพื่อดำเนินการส่งออกให้เสร็จสมบูรณ์ 
9. ค้นหาไฟล์ที่คุณเพิ่งส่งออกและเปิดโดยใช้โปรแกรมแก้ไขข้อความเช่น Notepad 
10. คัดลอกเนื้อหาของไฟล์

5. ตั้งค่าใน HubSpot ให้เรียบร้อย

1. เข้าสู่ระบบบัญชี HubSpot ของคุณ 
2. ในบัญชี HubSpot ของคุณ คลิก settings ไอคอนการตั้งค่า ในแถบนำทางด้านบน
3. บนแถบด้านข้างซ้ายให้คลิกการรักษาความปลอดภัย
4. ใต้แท็บเข้าสู่ระบบในส่วนตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ให้คลิกตั้งค่า
5. ในแผงสไลด์การลงชื่อเข้าใช้แบบครั้งเดียวให้คลิกแท็บ Microsoft AD FS
6. วางเนื้อหาของไฟล์ลงในช่อง  ใบรับรอง X.509
7. กลับไปที่ผู้จัดการ AD FS ของคุณ 
8. ในเมนูแถบด้านข้างซ้ายให้เลือกโฟลเดอร์จุด สิ้นสุด  
9. ค้นหาจุดสิ้นสุดบริการ SSO และ URL ของเอนทิตี URL ของบริการ SSO มักจะลงท้ายด้วย "adfs/services/ls" และ URL ของเอนทิตีจะลงท้ายด้วย "adfs/services/trust"
10. กลับไปที่ HubSpot ในช่องตัวระบุผู้ให้บริการข้อมูลประจำตัวหรือผู้ออกให้ป้อน URL ของเอนทิตี
11. ในฟิลด์ URL ลงชื่อเข้าใช้ครั้งเดียวของผู้ให้บริการข้อมูลประจำตัวให้ป้อน URL บริการ SSO 
12. คลิก ยืนยัน 

โปรดทราบ: หากคุณได้รับข้อผิดพลาดเมื่อกำหนดค่าการลงชื่อเพียงครั้งเดียวใน HubSpot ให้ตรวจสอบบันทึกผู้ดูกิจกรรมบนอุปกรณ์ของคุณเพื่อดูข้อความแสดงข้อผิดพลาดหากคุณไม่สามารถแก้ปัญหาข้อความแสดงข้อผิดพลาดได้โปรดติดต่อฝ่ายสนับสนุน HubSpot