跳到内容
请注意::本文仅为方便您阅读而提供。本文由翻译软件自动翻译,可能未经校对。本文的英文版应被视为官方版本,您可在此找到最新信息。您可以在此处访问。

设置单点登录(SSO)

上次更新时间: 2025年9月18日

可与以下任何订阅一起使用,除非另有说明:

单点登录(SSO)允许您为您的团队成员提供一个账户,供其使用企业使用的所有系统

安全断言标记语言(SAML)是一种用于身份验证的开放标准。基于可扩展标记语言(XML)格式,网络应用程序使用 SAML 在身份提供商(IdP)和服务提供商(SP)双方之间传输身份验证数据。

您还可以设置 SSO,并通过登录设置向导限制用户可以使用哪些登录方法访问您的账户。如果您设置了基于 SAML 的 SSO,您可以要求用户使用他们的 SSO 凭据登录 HubSpot。

常规设置

需要权限 配置单点登录需要超级管理员权限。

单点登录设置过程应由具有在身份提供商账户中创建应用程序经验的 IT 管理员完成。

  1. 登录身份供应商账户。
  2. 导航到应用程序。
  3. 为 HubSpot 创建一个新应用程序。获取受众 URI 登录 URL、ACS、收件人或重定向 值:
    • 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
    • 在左侧边栏菜单中选择 "安全"。
    • 在 "登录 " 选项卡上,如果尚未配置门户 登录设置,请单击 "设置门户登录设置"。或者,在 "配置 单点登录(SSO)"部分,单击 "设置" 在右侧面板中:
      • XML 上传适用于所有 SSO 设置。拖放或单击 "选择文件"上传联盟元数据。然后,单击验证
      • 如果想手动输入身份供应商的数据,请在 "所有其他身份供应商 "选项卡下,根据需要点击值旁边的复制。然后,将身份供应商提供的值粘贴在下面。单击 "验证"。
      • 如果使用 Microsoft AD FS,在Microsoft AD FS 标签下,根据需要单击值旁边的复制。然后,将身份提供程序中的值粘贴到下面。单击验证

请注意: 如果使用的是 Microsoft Entra(前身为 Azure),请使用 "所有其他身份供应商 "选项卡配置 SSO。

上述导航说明和字段名称可能因身份供应商而异。你可以在下面找到使用常用身份供应商设置应用程序的更多具体说明:

如果 您正在使用 Active Directory 联合服务,请了解有关 使用 AD FS 设置单点登录的 更多信息

要求所有用户使用 SSO

设置 SSO 后,您可以要求所有用户使用 SSO 登录 HubSpot。此设置默认为打开。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标

  2. 左侧边栏菜单 ,选择 安全性

  3. " 登录 " 选项卡的 "配置单点 登录 " 部分,选择 " 要求单点登录 " 复选框

Security settings, showing the option to require single sign-on for users.

将特定用户排除在单点登录要求之外

设置单点登录后,可以将特定用户排除在单点登录要求之外,允许他们也使用 HubSpot 用户账户登录。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,选择安全性
  3. 在 "登录 " 选项卡的 "配置单点登录"部分,单击 "管理 豁免用户"。
Security settings, showing the option to manage exempted users from single sign-on.
  1. 在对话框中,单击 "选择用户"下拉菜单,选择可以使用 HubSpot 账户登录的用户。例如,如果合作伙伴和承包商没有单点登录,可以选择他们。
  2. 单击保存

Security settings, showing the option to select users to exempt from single sign-in.

请注意: 打开 "要求单点登录 "开关的用户将自动添加到排除的用户中。建议至少排除一个超级管理员。如果身份提供商宕机,他们可以登录并关闭 " 要求单点登录 "开关,允许所有用户使用他们的 HubSpot 账户登录。

特定身份供应商说明

Okta

请注意:您需要 Okta 实例的管理访问权限。此流程只能在 Okta 的经典用户界面中访问。

  1. 登录 Okta。确保您处于 Okta 开发者账户的管理实例中。
  2. 单击顶部导航栏中的应用程序
  3. 单击添加应用程序
  4. 搜索HubSpot SAML,然后点击添加
  5. 在 "常规设置 "页面,点击 "完成"
  6. 在应用程序的详细信息页面,单击 "登录 "选项卡。
  7. "SAML 2.0 在您完成设置说明之前未配置"消息下,单击 "查看设置说明"。这将打开一个新标签页。保持打开状态,然后返回到 Okta 中的原始标签页。
  8. 在同一标签页中,向下滚动到高级登录设置,然后在门户 ID 字段中添加您的 Hub ID。了解如何访问您的 Hub ID
  9. 导航到用户设置。将新应用程序分配给 HubSpot 账户中的任何用户,包括你自己。
  10. 返回 "查看设置说明 " 选项卡。复制每个URL和证书,并将它们粘贴到HubSpot的身份提供者标识符或发行者URL字段、身份提供者单点登录URL字段和X.509证书 字段。
  11. 点击验证。系统会提示你用 Okta 账户登录,完成配置并保存设置。
  12. 一旦你的 SSO 设置通过验证,请导航到https://app.hubspot.com/login/sso并输入你的电子邮件地址。HubSpot 会查询你的门户单点登录配置,并将你发送到身份提供商处登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。

单点登录

请注意: 您需要 OneLogin 实例的管理访问权限,才能根据需要在 OneLogin 中创建新的 SAML 2.0 应用程序。

  1. 登录OneLogin
  2. 导航至应用程序
  3. 搜索HubSpot
  4. 单击写有 "SAML2.0 "的应用程序。
  5. 在右上角单击 "保存"
  6. 单击 "配置"选项卡。
  7. 在 "HubSpot 帐户 ID"字段中,添加你的 Hub ID。了解如何访问你的 Hub ID
  8. 单击SSO 选项卡。
  9. 从 OneLogin 复制以下字段并粘贴到 HubSpot 中 SSO 设置面板的相应字段:
    • 复制Issuer URL下的值并将其粘贴到Identity Provider Identifier 或 Issuer URL 中。
    • 复制SAML 2.0 端点(HTTP) 下的值并粘贴到身份提供商单点登录 URL 中。
    • X.509 证书,点击 查看详情,然后复制证书并粘贴到 X.509 证书
screenshot showing the page in OneLogin to retrieve the OneLogin SSO information
  1. 在 OneLogin 账户右上方,点击保存
一旦你的 SSO 设置通过验证,请导航到 https://app.hubspot.com/login/sso输入你的电子邮件地址。HubSpot会查询你的门户单点登录配置,并将你发送到你的身份提供商进行登录。在访问你账户的直接链接时,你也会看到一个用 SSO 登录按钮。

Microsoft Entra ID

对于 Microsoft Entra ID(前身为 Azure Active Directory)用户,请在 Microsoft Azure Marketplace安装 HubSpot 应用程序,并按照Microsoft 的说明设置集成。这将允许您使用 Microsoft Entra ID 管理用户访问,并打开与 HubSpot 的单点登录。

验证单点登录设置后,请导航至https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户单点登录配置,并将你发送到SSO提供商处登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。

谷歌

查看Google说明,了解如何使用 G-Suite 作为身份提供商设置 HubSpot 单点登录。

单点登录设置通过验证后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot 会查询你的门户单点登录配置,并将你发送到 SSO 提供商处登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。

常见问题

HubSpot使用哪种绑定作为SAML服务提供商?

HubSpot 使用 HTTP Post。

我正在使用 Active Directory 联合服务。我应该使用什么作为可信赖方信任(RPT)?

了解有关使用 ADFS 设置单点登录的更多信息。

我应该在 SAML 应用程序中设置哪种用户名格式?

HubSpot 用户通过电子邮件地址识别。确保你的 IDP 发送的电子邮件格式的 nameID 与 HubSpot 用户的电子邮件地址一致。

HubSpot支持哪种签名算法?

HubSpot只支持SHA-256作为签名算法。您需要用SHA-256签署您的请求。

我应该以哪种格式提供x509证书?

HubSpot需要PEM格式的x509证书。你应将 PEM 文件的文本内容复制到 HubSpot 的 x509 证书字段中。该值还应包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。

我可以同时打开双因素身份验证、所需双因素身份验证、SSO 和所需 SSO 吗?

可以。当您打开双因素身份验证时,它将在使用您的 HubSpot 用户名和密码登录时激活。在 HubSpot 中打开 2FA,并不会阻止您使用 Google 的 2FA 或 SSO 登录。因此,如果用户被排除在 SSO 要求之外,你可以要求使用 HubSpot 的 2FA,以确保任何绕过 SSO 的登录都通过 2FA 或 Google 进行。

如果你为你的 Google 账户开启了2FA,这与你的 HubSpot 设置是分开的。不过,当你使用 Google 帐户登录 HubSpot 时,Google 的 2FA 将保护你的 HubSpot 帐户。

如果您的账户中同时要求或开启了双因素身份验证和 SSO,则会出现以下情况:

  • 如果您需要使用 SSO 登录账户,则无需同时设置 2FA。如果您已经设置了 2FA,但不想同时受到 SSO 和 2FA 的提示,可以关闭登录时的 2FA
  • 如果你的账户需要 SSO,但你被排除在外,你可以使用 2FA、"使用 Google 登录 "或 "使用 Microsoft 登录 "选项登录。
  • 如果要求使用 2FA 登录,但没有设置 SSO,则可以使用 2FA 或 "使用 Google 登录 "或 "使用 Microsoft 登录 "选项登录。
  • 如果你的账户没有要求,但开启了 SSO,你可以使用包括 SSO 在内的任何方法登录。

我可以在HubSpot试用期间配置和使用SSO吗?

可以。如果您的账户有专业版企业版试用版,超级管理员可以为您的账户设置SSO。

这篇文章有帮助吗?
此表单仅供记载反馈。了解如何获取 HubSpot 帮助
目录 菜单

相关内容