上次更新时间: 2025年8月7日
单点登录(SSO)允许您为您的团队成员提供一个账户,供其使用企业使用的所有系统。
安全断言标记语言(SAML)是一种用于身份验证的开放标准。基于可扩展标记语言(XML)格式,网络应用程序使用 SAML 在身份提供商(IdP)和服务提供商(SP)双方之间传输身份验证数据。
您还可以设置 SSO,并通过登录设置向导限制用户可以使用哪些登录方法访问您的账户。如果您设置了基于 SAML 的 SSO,您可以要求用户使用他们的 SSO 凭据登录 HubSpot。
开始之前
- 你必须是超级管理员才能为你的账户设置SSO。
- SSO 设置过程应由具有在身份提供商账户中创建应用程序经验的 IT 管理员完成。
常规设置
- 登录身份供应商账户。
- 导航到应用程序。
- 为 HubSpot 创建一个新应用程序。获取受众 URI 和登录 URL、ACS、收件人或重定向 值:
-
- 在 HubSpot 帐户中,单击顶部导航栏中的 “设置”图标。
- 在左侧边栏菜单中选择 "安全"。
- 在 "登录 " 选项卡上,如果尚未配置门户 登录设置,请单击 "设置门户登录设置"。或者,在 "配置 单点登录(SSO)"部分,单击 "设置"。 在右侧面板中:
- XML 上传适用于所有 SSO 设置。拖放或单击 "选择文件"上传联盟元数据。然后,单击验证。
- 如果想手动输入身份供应商的数据,请在 "所有其他身份供应商 "选项卡下,根据需要点击值旁边的复制。然后,将身份供应商提供的值粘贴在下面。单击 "验证"。
- 如果使用 Microsoft AD FS,在Microsoft AD FS 标签下,根据需要单击值旁边的复制。然后,将身份提供程序中的值粘贴到下面。单击验证。
请注意: 如果使用的是 Microsoft Entra(前身为 Azure),请使用 "所有其他身份供应商 "选项卡配置 SSO。
如果 您正在使用 Active Directory 联合服务,请了解有关 使用 AD FS 设置单点登录的 更多信息 。
- 在左侧边栏菜单中,选择安全性。
- 在 "登录 " 选项卡的 "配置单点登录"部分,单击 "豁免用户"。
- 在对话框中,单击 "选择用户"下拉菜单,选择可以使用 HubSpot 账户登录的用户。例如,如果合作伙伴和承包商没有单点登录,你可以选择他们。
- 单击保存。
请注意: 打开 "要求单点登录 "开关的用户将自动添加到排除的用户中。建议至少排除一名超级管理员。如果身份提供商宕机,他们可以登录并关闭 " 要求单点登录 "开关,允许所有用户使用他们的 HubSpot 账户登录。
特定身份供应商说明
Okta
请注意:您需要 Okta 实例的管理访问权限。此流程只能在 Okta 的经典用户界面中访问。
- 登录 Okta。确保您处于 Okta 开发者账户的管理实例中。
- 单击顶部导航栏中的应用程序。
- 单击添加应用程序。
- 搜索HubSpot SAML,然后点击添加。
- 在 "常规设置 "页面,点击 "完成"。
- 在应用程序的详细信息页面,单击 "登录 "选项卡。
- 在"SAML 2.0 在您完成设置说明之前未配置"消息下,单击 "查看设置说明"。这将打开一个新标签页。保持打开状态,然后返回到 Okta 中的原始标签页。
- 在同一标签页中,向下滚动到高级登录设置,然后在门户 ID 字段中添加您的 Hub ID。了解如何访问您的 Hub ID。
- 导航到用户设置。将新应用程序分配给 HubSpot 账户中的任何用户,包括你自己。
- 返回 "查看设置说明 " 选项卡。复制每个URL和证书,并将它们粘贴到HubSpot的身份提供者标识符或发行者URL字段、身份提供者单点登录URL字段和X.509证书 字段。
- 点击验证。系统会提示你用 Okta 账户登录,完成配置并保存设置。
- 一旦你的 SSO 设置通过验证,请导航到https://app.hubspot.com/login/sso并输入你的电子邮件地址。HubSpot 会查询你的门户单点登录配置,并将你发送到身份提供商处登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。
单点登录
请注意: 您需要 OneLogin 实例的管理访问权限,才能根据需要在 OneLogin 中创建新的 SAML 2.0 应用程序。
- 登录OneLogin。
- 导航至应用程序。
- 搜索HubSpot。
- 单击写有 "SAML2.0 "的应用程序。
- 在右上角单击 "保存"。
- 单击 "配置"选项卡。
- 在 "HubSpot 帐户 ID"字段中,添加你的 Hub ID。了解如何访问你的 Hub ID。
- 单击SSO 选项卡。
- 从 OneLogin 复制以下字段并粘贴到 HubSpot 中 SSO 设置面板的相应字段:
-
- 复制Issuer URL下的值并将其粘贴到Identity Provider Identifier 或 Issuer URL 中。
- 复制SAML 2.0 端点(HTTP) 下的值并粘贴到身份提供商单点登录 URL 中。
- 在 X.509 证书下 ,点击 查看详情,然后复制证书并粘贴到 X.509 证书中 。
- 在 OneLogin 账户右上方,点击保存。
Microsoft Entra ID
对于 Microsoft Entra ID(前身为 Azure Active Directory)用户,请在 Microsoft Azure Marketplace安装 HubSpot 应用程序,并按照Microsoft 的说明设置集成。这将允许您使用 Microsoft Entra ID 管理用户访问,并打开与 HubSpot 的单点登录。
验证单点登录设置后,请导航至https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot会查询你的门户单点登录配置,并将你发送到SSO提供商处登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。
谷歌
查看Google说明,了解如何使用 G-Suite 作为身份提供商设置 HubSpot 单点登录。
单点登录设置通过验证后,请访问https://app.hubspot.com/login/sso并输入您的电子邮件地址。HubSpot 会查询你的门户单点登录配置,并将你发送到 SSO 提供商处登录。在访问您账户的直接链接时,您还会看到一个 "使用 SSO 登录 "按钮。
常见问题
HubSpot使用哪种绑定作为SAML服务提供商?
HubSpot 使用 HTTP Post。
我正在使用 Active Directory 联合服务。我应该使用什么作为可信赖方信任(RPT)?
HubSpot 用户通过电子邮件地址识别。确保你的 IDP 发送的电子邮件格式的 nameID 与 HubSpot 用户的电子邮件地址一致。
HubSpot支持哪种签名算法?
HubSpot只支持SHA-256作为签名算法。您需要用SHA-256签署您的请求。
我应该以哪种格式提供x509证书?
HubSpot需要PEM格式的x509证书。你应将 PEM 文件的文本内容复制到 HubSpot 的 x509 证书字段中。该值还应包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
我可以同时打开双因素身份验证、所需双因素身份验证、SSO 和所需 SSO 吗?
可以。当您打开双因素身份验证时,它将在使用您的 HubSpot 用户名和密码登录时激活。在 HubSpot 中打开 2FA,并不会阻止您使用 Google 的 2FA 或 SSO 登录。因此,如果用户被排除在 SSO 要求之外,你可以要求使用 HubSpot 的 2FA,以确保任何绕过 SSO 的登录都通过 2FA 或 Google 进行。
如果你为你的 Google 账户开启了2FA,这与你的 HubSpot 设置是分开的。不过,当你使用 Google 帐户登录 HubSpot 时,Google 的 2FA 将保护你的 HubSpot 帐户。
如果您的账户中同时要求或开启了双因素身份验证和 SSO,则会出现以下情况:
- 如果您的账户要求使用 SSO 登录,则不会提示您使用 HubSpot 的 2FA。
- 如果你的账户需要 SSO,但你被排除在外,你可以使用 2FA、"使用 Google 登录 "或 "使用 Microsoft 登录 "选项登录。
- 如果要求使用 2FA 登录,但没有设置 SSO,则可以使用 2FA 或 "使用 Google 登录 "或 "使用 Microsoft 登录 "选项登录。
- 如果你的账户没有要求,但开启了 SSO,你可以使用包括 SSO 在内的任何方法登录。