ตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) โดยใช้ Active Directory Federation Services (AD FS)

หากคุณมีบัญชี HubSpot Professional หรือ Enterprise คุณสามารถตั้งค่าการลงชื่อเพียงครั้งเดียวโดยใช้ Active Directory Federation Services (AD FS) 

ทำความเข้าใจข้อกำหนด

ในการใช้ AD FS เพื่อเข้าสู่ระบบบัญชี HubSpot ของคุณคุณต้องมีคุณสมบัติตามข้อกำหนดต่อไปนี้:

• ผู้ใช้ทั้งหมดในอินสแตนซ์ Active Directory ของคุณต้องมีแอตทริบิวต์ที่อยู่อีเมล
• คุณกำลังใช้บัญชี HubSpot Professional หรือ Enterprise
• คุณมีเซิร์ฟเวอร์ที่ใช้ Windows Server 2008, 2012 หรือ 2019 

โปรดทราบ: ขั้นตอนการตั้งค่านี้ควรทำโดยผู้ดูแลระบบไอทีที่มีประสบการณ์ในการสร้างแอปพลิเคชันในบัญชีผู้ให้บริการข้อมูลประจำตัวของคุณ ดูข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า SSO กับ HubSpot 

ตั้งค่า SSO โดยใช้ Microsoft AD FS

ก่อนที่คุณจะเริ่มต้นให้สังเกตค่าสองค่าต่อไปนี้จากบัญชี HubSpot ของคุณเพื่อตั้งค่า SSO โดยใช้ Microsoft AD FS:

1. ในบัญชี HubSpot ของคุณ คลิก settings ไอคอนการตั้งค่า ในแถบนำทางด้านบน
2. บนแถบด้านข้างซ้ายให้คลิกการรักษาความปลอดภัย 
3. ใต้แท็บเข้าสู่ระบบในส่วนตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ให้คลิกตั้งค่า
4. ในแผงสไลด์การลงชื่อเข้าใช้แบบครั้งเดียวให้คลิกแท็บ Microsoft AD FS
5. จดบันทึกทั้ง URI ผู้ชม (ID เอนทิตีผู้ให้บริการ) และค่าลงชื่อเข้าใช้ URL, ACS, ผู้รับหรือการเปลี่ยนเส้นทางเนื่องจากคุณจะต้องเพิ่มลงใน Microsoft AD FS ในขั้นตอนการตั้งค่า 

เพิ่มทรัสต์ของพรรคที่เชื่อถือได้ (RPT)

เปิดตัวจัดการ Active Directory Federation Services (AD FS):

1. ในผู้จัดการ AD FS ของคุณให้เปิดโฟลเดอร์ Relying Party Trusts (RPT)  
2. ในเมนูแถบด้านขวาให้เลือกเพิ่มความน่าเชื่อถือของพรรคที่พึ่งพา... 
3. ในกล่องโต้ตอบเพิ่มตัวช่วยสร้างความไว้วางใจของพรรคที่เชื่อถือได้ให้คลิกเริ่มเพื่อเพิ่ม RPT ใหม่ 
4. ในหน้าจอเลือกแหล่งข้อมูลให้เลือกป้อนข้อมูลเกี่ยวกับฝ่ายที่ต้องพึ่งพาด้วยตนเองจากนั้นคลิกถัดไป
5. ในช่องชื่อที่แสดงให้ป้อนชื่อสำหรับความไว้วางใจของคุณ - นี่เป็นไปเพื่อวัตถุประสงค์ภายในดังนั้นตรวจสอบให้แน่ใจว่าคุณตั้งชื่อสิ่งที่คุณสามารถจดจำได้ง่ายจากนั้นคลิกถัดไป
6. บนหน้าจอกำหนดค่าใบรับรองให้ปล่อยการตั้งค่าเริ่มต้นตามที่เป็นอยู่จากนั้นคลิกถัดไป
7. เลือกช่องทำเครื่องหมายเปิดใช้งานการสนับสนุนสำหรับโปรโตคอล SAML 2.0 WebSSO
8. ในฟิลด์ URL บริการ SSO ของ SAML 2.0 ของคู่สัญญาให้ป้อน URL  ลงชื่อเข้าใช้, ACS, ผู้รับหรือเปลี่ยนเส้นทาง URL จากบัญชี HubSpot ของคุณจากนั้นคลิกถัดไป

9. ในฟิลด์ตัวระบุความไว้วางใจของบุคคลที่อาศัย :
   • ป้อนค่า URI ของผู้ชม (ID เอนทิตีผู้ให้บริการ) จากบัญชี HubSpot ของคุณ 
   • เข้า https://api.hubspot.com จากนั้นคลิก เพิ่ม 
10. คลิกถัดไป
11. ในหน้าต่างเลือกนโยบายการควบคุมการเข้าถึงให้เลือกอนุญาตทุกคนแล้วคลิกถัดไป
12. ตรวจสอบการตั้งค่าแล้วคลิกถัดไป
13. คลิก ปิด 

สร้างกฎการเคลม 

ก่อนตั้งค่ากฎการเคลมตรวจสอบให้แน่ใจว่าที่อยู่อีเมลของผู้ใช้ตรงกับที่อยู่อีเมลของผู้ใช้ HubSpot คุณสามารถใช้ตัวระบุอื่นๆเช่นชื่อผู้ใช้หลัก (UPN) หาก UPN ของคุณอยู่ในรูปแบบของที่อยู่อีเมล เพื่อให้การลงชื่อเพียงครั้งเดียวกับ AD FS ทำงานได้ ID ชื่อจะต้องอยู่ในรูปแบบของที่อยู่อีเมลเพื่อจับคู่กับผู้ใช้ HubSpot 

1. ในหน้าต่างกฎการเรียกร้องให้คลิกเพิ่มกฎ 
2. คลิกเมนูแบบเลื่อนลงเทมเพลตกฎการอ้างสิทธิ์และเลือกส่งแอตทริบิวต์ LDAP เป็นการอ้างสิทธิ์จากนั้นคลิกถัดไป
3. บนหน้าจอกำหนดค่ากฎการอ้างสิทธิ์ :
   • ในช่องชื่อกฎการอ้างสิทธิ์ให้ป้อนชื่อกฎ 
   • คลิกเมนูแบบเลื่อนลงของร้านค้าแอตทริบิวต์แล้วเลือก Active Directory 
   • ในตารางการแมปแอตทริบิวต์ LDAP ให้แมปสิ่งต่อไปนี้:
     • ในคอลัมน์แอตทริบิวต์ LDAP ให้คลิกเมนูแบบเลื่อนลงและเลือกที่อยู่อีเมล 
     • ในคอลัมน์สินไหมทดแทนขาออกให้คลิกเมนูแบบเลื่อนลงและเลือกที่อยู่อีเมล 
4. คลิกเสร็จสิ้น 

จากนั้นตั้งค่ากฎการเปลี่ยนการอ้างสิทธิ์ขาเข้า: 

1. คลิกเพิ่มกฎ 
2. คลิกเมนูแบบเลื่อนลงเทมเพลตกฎการอ้างสิทธิ์และเลือกเปลี่ยนการอ้างสิทธิ์ขาเข้าจากนั้นคลิกถัดไป
3. บนหน้าจอกำหนดค่ากฎการอ้างสิทธิ์ :
   • ป้อนชื่อกฎการอ้างสิทธิ์ 
   • คลิกเมนูแบบเลื่อนลงประเภทการอ้างสิทธิ์ขาเข้าและเลือกที่อยู่อีเมล 
   • คลิกเมนูแบบเลื่อนลงประเภทการอ้างสิทธิ์ขาออกและเลือก ID ชื่อ 
   • คลิกเมนูแบบเลื่อนลงรูปแบบ ID ชื่อขาออกและเลือก อีเมล 
   • คลิกเสร็จสิ้นเพื่อเพิ่มกฎใหม่ 
4. คลิกตกลงเพื่อเพิ่มกฎใหม่ทั้งสองข้อ 

ปรับการตั้งค่าความไว้ใจ

1. ในโฟลเดอร์การตอบกลับปาร์ตี้ทรัสต์ให้เลือกคุณสมบัติจากเมนูแถบด้านข้างการดำเนินการ
2. คลิกแท็บขั้นสูงและตรวจสอบให้แน่ใจว่าระบุ SHA -256 เป็นอัลกอริทึมแฮชที่ปลอดภัย

แม้ว่าจะรองรับทั้ง SHA -256 และ SHA -1 แต่แนะนำให้ใช้ SHA -256 

ค้นหาใบรับรอง PEM รูปแบบ x509 ของคุณ

วิธีเข้าถึงใบรับรอง PEM รูปแบบ x509 ของคุณ:

1. ไปที่หน้าต่างการจัดการ AD FS  ในเมนูแถบด้านข้างซ้ายให้ไปที่บริการ > ใบรับรอง 
2. ค้นหาใบรับรองการลงนามโทเค็น  คลิกขวาที่ใบรับรองแล้วเลือกดูใบรับรอง 

3. ในกล่องโต้ตอบให้คลิกแท็บรายละเอียด  
4. คลิกคัดลอกไปยังไฟล์ 
5. ในหน้าต่างส่งออกใบรับรองที่เปิดขึ้นให้คลิกถัดไป 
6. เลือก Base -64 encoded X.509 (.cer) จากนั้นคลิก Next 
7. ตั้งชื่อการส่งออกไฟล์ของคุณจากนั้นคลิกถัดไป 
8. คลิกเสร็จสิ้นเพื่อดำเนินการส่งออกให้เสร็จสมบูรณ์ 
9. ค้นหาไฟล์ที่คุณเพิ่งส่งออกและเปิดโดยใช้โปรแกรมแก้ไขข้อความเช่น Notepad 
10. คัดลอกเนื้อหาของไฟล์

ตั้งค่าใน HubSpot ให้เรียบร้อย

1. เข้าสู่ระบบบัญชี HubSpot ของคุณ 
2. ในบัญชี HubSpot ของคุณ คลิก settings ไอคอนการตั้งค่า ในแถบนำทางด้านบน
3. บนแถบด้านข้างซ้ายให้คลิกการรักษาความปลอดภัย
4. ใต้แท็บเข้าสู่ระบบในส่วนตั้งค่าการลงชื่อเพียงครั้งเดียว (SSO) ให้คลิกตั้งค่า
5. ในแผงสไลด์การลงชื่อเข้าใช้แบบครั้งเดียวให้คลิกแท็บ Microsoft AD FS
6. วางเนื้อหาของไฟล์ลงในช่องใบรับรอง X.509 
7. กลับไปที่ผู้จัดการ AD FS ของคุณ 
8. ในเมนูแถบด้านข้างซ้ายให้เลือกโฟลเดอร์จุด สิ้นสุด  
9. ค้นหาจุดสิ้นสุดบริการ SSO และ URL ของเอนทิตี URL ของบริการ SSO มักจะลงท้ายด้วย "adfs/services/ls" และ URL ของเอนทิตีจะลงท้ายด้วย "adfs/services/trust"
10. กลับไปที่ HubSpot ในช่องตัวระบุผู้ให้บริการข้อมูลประจำตัวหรือผู้ออกให้ป้อน URL ของเอนทิตี
11. ในฟิลด์ URL ลงชื่อเข้าใช้ครั้งเดียวของผู้ให้บริการข้อมูลประจำตัวให้ป้อน URL บริการ SSO 
12. คลิก ยืนยัน 

โปรดทราบ: หากคุณได้รับข้อผิดพลาดเมื่อกำหนดค่าการลงชื่อเพียงครั้งเดียวใน HubSpot ให้ตรวจสอบบันทึกผู้ดูกิจกรรมบนอุปกรณ์ของคุณเพื่อดูข้อความแสดงข้อผิดพลาด หากคุณไม่สามารถแก้ปัญหาข้อความแสดงข้อผิดพลาดได้โปรดติดต่อฝ่ายสนับสนุน HubSpot