设置单点登录(SSO)
上次更新时间: 二月 13, 2025
除非另有说明,否则适用于以下任何订阅:
|
|
|
|
|
单点登录(SSO)允许您为您的团队成员提供一个账户,供其使用企业使用的所有系统。
安全断言标记语言(SAML)是一种用于身份验证的开放标准。基于可扩展标记语言(XML)格式,网络应用程序使用 SAML 在身份提供商(IdP)和服务提供商(SP)双方之间传输身份验证数据。
您还可以设置 SSO,并通过登录设置向导限制用户可以使用哪些登录方法访问您的账户。如果你有一个 HubSpot企业账户并设置了基于 SAML 的 SSO,你可以要求用户使用他们的 SSO 凭据登录 HubSpot。
一般设置
- 登录身份供应商账户。
- 导航至您的应用程序。
- 为 HubSpot 创建一个新应用程序。获取受众 URI 和登录 URL、ACS、收件人或重定向 值:
- 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标。
- 在左侧边栏菜单中,选择 "安全" >" 设置与活动"。
-
- 在登录下,单击设置单点登录。在右侧面板中
- XML 上传适用于所有单点登录设置。拖放或单击 "选择文件"上传联盟元数据。然后,单击验证。
- 如果想手动输入身份供应商的数据,请在 "所有其他身份供应商 "选项卡下,根据需要点击值旁边的复制。然后,将身份供应商提供的值粘贴在下面。单击 "验证"。
- 如果使用 Microsoft AD FS,在Microsoft AD FS 标签下,根据需要单击值旁边的复制。然后,将身份提供程序中的值粘贴到下面。单击验证。
- 在登录下,单击设置单点登录。在右侧面板中
请注意: 如果使用 Microsoft Entra(前身为 Azure),请使用 "所有其他身份供应商 "选项卡设置 SSO。
如果您使用的是 Active Directory 联合服务,请了解有关使用 AD FS 设置单点登录的更多信息。
要求所有用户使用 SSO
设置 SSO 后,您可以要求所有用户使用 SSO 登录 HubSpot。
请注意:自 2024 年 7 月 31 日起,此设置将默认开启。
- 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标。
- 在左侧边栏菜单中,单击安全 >设置和活动。
- 在登录下,选择要求单点登录 复选框。
将特定用户排除在 SSO 要求之外
设置 SSO 后,可以将特定用户排除在 SSO 要求之外,允许他们也使用 HubSpot 用户账户登录。
- 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标。
- 在左侧边栏菜单中,单击安全 >设置和活动。
- 在登录下,单击管理排除在外的用户。
- 在对话框中,单击 "选择用户"下拉菜单,选择可以使用 HubSpot 账户登录的用户。例如,如果合作伙伴和承包商没有 SSO 登录,则可以选择他们。
- 单击保存。
请注意: 选择 "要求单点登录 "复选框的用户将自动添加到排除用户中。建议至少排除一个具有超级管理员权限的用户。如果身份提供商出现故障,他们可以登录并清除 " 要求单点登录 "复选框,允许所有用户使用 HubSpot 账户登录。
针对特定身份供应商的说明
Okta
请注意:您需要 Okta 实例的管理访问权限。此流程只能在 Okta 的经典用户界面中访问。
- 登录 Okta。确保您处于 Okta 开发者账户的管理实例中。
- 单击顶部导航栏中的应用程序。
- 单击添加应用程序。
- 搜索HubSpot SAML,然后单击添加。
- 在 "常规设置 "页面,单击 "完成"。
- 在应用程序的详细信息页面,单击 "登录 "选项卡。
- 在 "SAML 2.0 在您完成设置说明之前未配置"消息下,单击 "查看设置说明"。这将打开一个新标签页。保持打开状态,然后返回到 Okta 中的原始选项卡。
- 在同一标签页中,向下滚动到高级登录设置,然后在门户 ID 字段中添加您的 Hub ID。了解如何访问您的 Hub ID。
- 导航至用户设置。将新应用程序分配给 HubSpot 账户中的任何用户,包括你自己。
- 返回 "查看设置说明 " 选项卡。复制每个 URL 和证书,并将它们粘贴到 HubSpot 的身份提供者标识符或发行者 URL字段、身份提供者单点登录 URL字段和X.509 证书 字段。
- 单击 "验证"。系统会提示您使用 Okta 账户登录,以完成配置并保存设置。
验证单点登录设置后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户的单点登录配置,并将你发送到你的身份提供商进行登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。
OneLogin
请注意: 您需要 OneLogin 实例的管理访问权限,才能根据需要在 OneLogin 中创建新的 SAML 2.0 应用程序。
-
登录OneLogin。
-
导航至应用程序。
-
搜索HubSpot。
-
点击 "SAML2.0 "应用程序。
-
在右上角单击保存。
-
单击 "配置"选项卡。
-
在HubSpot 帐户 ID字段中,添加您的 Hub ID。了解如何访问您的 Hub ID。
- 单击SSO 选项卡 。
- 从 OneLogin 复制以下字段并粘贴到 HubSpot 中 SSO 设置面板的相应字段:
- 复制发行者 URL下的值并粘贴到身份提供者标识符或发行者 URL 中。
- 复制SAML 2.0 端点(HTTP) 下的值并粘贴到身份提供商单点登录 URL 中。
- 在X.509 证书下,点击查看详情,然后复制证书并粘贴到X.509 证书中。
-
在 OneLogin 帐户的右上方,单击保存。
验证单点登录设置后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户单点登录配置,并将你发送到你的身份提供商进行登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。
微软 Entra ID
对于 Microsoft Entra ID(前身为 Azure Active Directory)用户,请在MicrosoftAzure Marketplace安装 HubSpot 应用程序,并按照Microsoft 的说明设置集成。这样,您就可以使用 Microsoft Entra ID 管理用户访问,并打开与 HubSpot 的单点登录。
验证单点登录设置后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户的单点登录配置,并将你发送到你的SSO提供商进行登录。在访问您账户的直接链接时,您还会看到一个用 SSO 登录按钮。
谷歌
查看Google 说明,了解如何使用 G-Suite 作为身份提供商设置 HubSpot 单点登录。
验证单点登录设置后,请访问https://app.hubspot.com/login/sso 并输入您的电子邮件地址。HubSpot会查询你的门户单点登录配置,并将你发送到你的SSO提供商进行登录。在访问您账户的直接链接时,您还会看到一个用 SSO 登录按钮。
常见问题
HubSpot 使用哪种绑定作为 SAML 服务提供商?
HubSpot 使用 HTTP Post。
我正在使用 Active Directory 联合服务。我应该使用什么作为可信赖方信任(RPT)?
HubSpot 用户是通过电子邮件地址识别的。确保你的 IDP 发送的电子邮件格式的 nameID 与 HubSpot 用户的电子邮件地址一致。
HubSpot 支持哪种签名算法?
请注意:2023 年 3 月 31 日之后,HubSpot 将停止支持 SHA-1 用于新的SSO 连接。在 2023 年 6 月 30 日 HubSpot 停止对所有SSO 连接支持 SHA-1 之前,任何使用 SHA-1 的现有 SSO 连接仍可正常工作。如果您正在使用 SHA-1,则需要在 2023 年 6 月 30 日前迁移到 SHA-256。
HubSpot 仅支持 SHA-256 作为签名算法。您需要使用 SHA-256 签署您的请求。
我应该以何种格式提供 x509 证书?
HubSpot 需要 PEM 格式的 x509 证书。你应将 PEM 文件的文本内容复制到 HubSpot 的 x509 证书字段中。该值还应包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
我可以同时开启双因素身份验证、所需双因素身份验证、SSO 和所需 SSO 吗?
是的。当您打开双因素身份验证时,它在使用您的 HubSpot 用户名和密码登录时都会激活。在 HubSpot 中启用 2FA,并不会阻止您使用 Google 的 2FA 或 SSO 登录。因此,如果用户被排除在 SSO 要求之外,你可以要求使用 HubSpot 的 2FA,以确保任何绕过 SSO的登录都通过 2FA 或 Google 进行。
如果您为 Google 帐户启用了2FA,这与您的 HubSpot 设置是分开的。不过,当你用 Google 账户登录 HubSpot 时,Google 的 2FA 将保护你的 HubSpot 账户。
如果您的账户中同时要求或启用了双因素身份验证和 SSO,则会出现以下情况:
- 如果您需要使用 SSO 登录账户,则不会提示您使用 HubSpot 的 2FA。
- 如果你的账户需要 SSO,但你被排除在外,你可以使用 2FA 或 "使用 Google 登录"或 "使用 Microsoft 登录"选项登录。
- 如果要求使用 2FA 登录,但没有设置 SSO,则可以使用 2FA 或 "使用 Google 登录"或 "使用 Microsoft 登录 "选项登录。
- 如果您的账户没有任何要求,但启用了 SSO,您可以使用包括 SSO 在内的任何方法登录。