跳到内容

设置单点登录(SSO)

上次更新时间: 二月 13, 2025

除非另有说明,否则适用于以下任何订阅

营销 Hub   Enterprise
销售 Hub   Enterprise
Service Hub   Enterprise
Operations Hub   Enterprise
内容 Hub   Enterprise

单点登录(SSO)允许您为您的团队成员提供一个账户,供其使用企业使用的所有系统

安全断言标记语言(SAML)是一种用于身份验证的开放标准。基于可扩展标记语言(XML)格式,网络应用程序使用 SAML 在身份提供商(IdP)和服务提供商(SP)双方之间传输身份验证数据。

您还可以设置 SSO,并通过登录设置向导限制用户可以使用哪些登录方法访问您的账户。如果你有一个 HubSpot企业账户并设置了基于 SAML 的 SSO,你可以要求用户使用他们的 SSO 凭据登录 HubSpot。

请注意:此设置过程应由具有在身份提供商账户中创建应用程序经验的 IT 管理员完成。只有 超级管理员才能为您的账户设置 SSO。

一般设置

  • 登录身份供应商账户。
  • 导航至您的应用程序。
  • 为 HubSpot 创建一个新应用程序。获取受众 URI 和登录 URL、ACS、收件人或重定向 值:
    • 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
    • 在左侧边栏菜单中,选择 "安全" >" 设置与活动"。
    • 在登录下,单击设置单点登录。在右侧面板中
      • XML 上传适用于所有单点登录设置。拖放或单击 "选择文件"上传联盟元数据。然后,单击验证。
      • 如果想手动输入身份供应商的数据,请在 "所有其他身份供应商 "选项卡下,根据需要点击值旁边的复制。然后,将身份供应商提供的值粘贴在下面。单击 "验证"。
      • 如果使用 Microsoft AD FS,在Microsoft AD FS 标签下,根据需要单击值旁边的复制。然后,将身份提供程序中的值粘贴到下面。单击验证。

请注意: 如果使用 Microsoft Entra(前身为 Azure),请使用 "所有其他身份供应商 "选项卡设置 SSO。

上述导航说明和字段名称可能因身份供应商而异。您可以在下面找到在常用身份供应商中设置应用程序的更具体说明:

如果您使用的是 Active Directory 联合服务,请了解有关使用 AD FS 设置单点登录的更多信息。

要求所有用户使用 SSO

设置 SSO 后,您可以要求所有用户使用 SSO 登录 HubSpot。

请注意:自 2024 年 7 月 31 日起,此设置将默认开启。

  • 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  • 在左侧边栏菜单中,单击安全 >设置和活动。
  • 在登录下,选择要求单点登录 复选框。

将特定用户排除在 SSO 要求之外

设置 SSO 后,可以将特定用户排除在 SSO 要求之外,允许他们也使用 HubSpot 用户账户登录。

  • 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  • 在左侧边栏菜单中,单击安全 >设置和活动。
  • 在登录下,单击管理排除在外的用户。

  • 在对话框中,单击 "选择用户"下拉菜单,选择可以使用 HubSpot 账户登录的用户。例如,如果合作伙伴和承包商没有 SSO 登录,则可以选择他们。
  • 单击保存。

请注意: 选择 "要求单点登录 "复选框的用户将自动添加到排除用户中。建议至少排除一个具有超级管理员权限的用户。如果身份提供商出现故障,他们可以登录并清除 " 要求单点登录 "复选框,允许所有用户使用 HubSpot 账户登录。

针对特定身份供应商的说明

Okta

请注意:您需要 Okta 实例的管理访问权限。此流程只能在 Okta 的经典用户界面中访问。

  • 登录 Okta。确保您处于 Okta 开发者账户的管理实例中。
  • 单击顶部导航栏中的应用程序。
  • 单击添加应用程序。
  • 搜索HubSpot SAML,然后单击添加。
  • 在 "常规设置 "页面,单击 "完成"。
  • 在应用程序的详细信息页面,单击 "登录 "选项卡。
  • 在 "SAML 2.0 在您完成设置说明之前未配置"消息下,单击 "查看设置说明"。这将打开一个新标签页。保持打开状态,然后返回到 Okta 中的原始选项卡。
  • 在同一标签页中,向下滚动到高级登录设置,然后在门户 ID 字段中添加您的 Hub ID。了解如何访问您的 Hub ID
  • 导航至用户设置。将新应用程序分配给 HubSpot 账户中的任何用户,包括你自己。
  • 返回 "查看设置说明 " 选项卡。复制每个 URL 和证书,并将它们粘贴到 HubSpot 的身份提供者标识符或发行者 URL字段、身份提供者单点登录 URL字段和X.509 证书 字段。
  • 单击 "验证"。系统会提示您使用 Okta 账户登录,以完成配置并保存设置。

验证单点登录设置后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户的单点登录配置,并将你发送到你的身份提供商进行登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。

OneLogin

请注意: 您需要 OneLogin 实例的管理访问权限,才能根据需要在 OneLogin 中创建新的 SAML 2.0 应用程序。

  • 登录OneLogin。

  • 导航至应用程序。

  • 搜索HubSpot。

  • 点击 "SAML2.0 "应用程序。

  • 在右上角单击保存。

  • 单击 "配置"选项卡。

  • 在HubSpot 帐户 ID字段中,添加您的 Hub ID。了解如何访问您的 Hub ID

  • 单击SSO 选项卡 。
  • 从 OneLogin 复制以下字段并粘贴到 HubSpot 中 SSO 设置面板的相应字段:
    • 复制发行者 URL下的值并粘贴到身份提供者标识符或发行者 URL 中。
    • 复制SAML 2.0 端点(HTTP) 下的值并粘贴到身份提供商单点登录 URL 中。
    • 在X.509 证书下,点击查看详情,然后复制证书并粘贴到X.509 证书中。

  • 在 OneLogin 帐户的右上方,单击保存。

验证单点登录设置后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户单点登录配置,并将你发送到你的身份提供商进行登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。

微软 Entra ID

对于 Microsoft Entra ID(前身为 Azure Active Directory)用户,请在MicrosoftAzure Marketplace安装 HubSpot 应用程序,并按照Microsoft 的说明设置集成。这样,您就可以使用 Microsoft Entra ID 管理用户访问,并打开与 HubSpot 的单点登录。

验证单点登录设置后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户的单点登录配置,并将你发送到你的SSO提供商进行登录。在访问您账户的直接链接时,您还会看到一个用 SSO 登录按钮。

谷歌

查看Google 说明,了解如何使用 G-Suite 作为身份提供商设置 HubSpot 单点登录。

验证单点登录设置后,请访问https://app.hubspot.com/login/sso 并输入您的电子邮件地址。HubSpot会查询你的门户单点登录配置,并将你发送到你的SSO提供商进行登录。在访问您账户的直接链接时,您还会看到一个用 SSO 登录按钮。

常见问题

HubSpot 使用哪种绑定作为 SAML 服务提供商?

HubSpot 使用 HTTP Post。

我正在使用 Active Directory 联合服务。我应该使用什么作为可信赖方信任(RPT)?

了解有关 使用 ADFS 设置单点登录的更多信息。

我应该在 SAML 应用程序中设置哪种用户名格式?

HubSpot 用户是通过电子邮件地址识别的。确保你的 IDP 发送的电子邮件格式的 nameID 与 HubSpot 用户的电子邮件地址一致。

HubSpot 支持哪种签名算法?

请注意:2023 年 3 月 31 日之后,HubSpot 将停止支持 SHA-1 用于新的SSO 连接。在 2023 年 6 月 30 日 HubSpot 停止对所有SSO 连接支持 SHA-1 之前,任何使用 SHA-1 的现有 SSO 连接仍可正常工作。如果您正在使用 SHA-1,则需要在 2023 年 6 月 30 日前迁移到 SHA-256。

HubSpot 仅支持 SHA-256 作为签名算法。您需要使用 SHA-256 签署您的请求。

我应该以何种格式提供 x509 证书?

HubSpot 需要 PEM 格式的 x509 证书。你应将 PEM 文件的文本内容复制到 HubSpot 的 x509 证书字段中。该值还应包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。

我可以同时开启双因素身份验证、所需双因素身份验证、SSO 和所需 SSO 吗?

是的。当您打开双因素身份验证时,它在使用您的 HubSpot 用户名和密码登录时都会激活。在 HubSpot 中启用 2FA,并不会阻止您使用 Google 的 2FA 或 SSO 登录。因此,如果用户被排除在 SSO 要求之外,你可以要求使用 HubSpot 的 2FA,以确保任何绕过 SSO登录都通过 2FA 或 Google 进行。

如果您为 Google 帐户启用了2FA,这与您的 HubSpot 设置是分开的。不过,当你用 Google 账户登录 HubSpot 时,Google 的 2FA 将保护你的 HubSpot 账户。

如果您的账户中同时要求或启用了双因素身份验证和 SSO,则会出现以下情况:

  • 如果您需要使用 SSO 登录账户,则不会提示您使用 HubSpot 的 2FA。
  • 如果你的账户需要 SSO,但你被排除在外,你可以使用 2FA 或 "使用 Google 登录"或 "使用 Microsoft 登录"选项登录。
  • 如果要求使用 2FA 登录,但没有设置 SSO,则可以使用 2FA 或 "使用 Google 登录"或 "使用 Microsoft 登录 "选项登录。
  • 如果您的账户没有任何要求,但启用了 SSO,您可以使用包括 SSO 在内的任何方法登录。
这篇文章有帮助吗?
此表单仅供记载反馈。了解如何获取 HubSpot 帮助