使用 Active Directory 联合服务 (AD FS) 设置单点登录 (SSO)

如果您拥有 HubSpot专业版或企业 版账户，则可以使用活动目录联盟服务（AD FS）设置单点登录。

要使用 AD FS 登录 HubSpot 账户，您必须满足以下要求：

• 活动目录实例中的所有用户都必须有电子邮件地址属性。
• 您使用的是 HubSpot专业版或企业版账户。
• 您的服务器运行 Windows Server 2008、2012 或 2019。

请注意： 此设置过程应由具有在身份提供商账户中创建应用程序经验的 IT 管理员完成。了解有关在 HubSpot 设置 SSO 的更多信息。

开始之前

开始之前，请注意 HubSpot 账户中的以下两个值，以便使用 Microsoft AD FS 设置 SSO：

1. 在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
2. 在左侧边栏中，单击安全性。
3. 在登录选项卡下的设置单点登录 (SSO)部分中，单击设置。
4. 在 "设置单点登录 "滑入面板中，单击Microsoft AD FS 选项卡 。
5. 注意受众 URI（服务提供商实体 ID） 和登录 URL、ACS、收件人或重定向值，因为在设置过程中需要将它们添加到 Microsoft AD FS。

1.添加依赖方信托 (RPT)

打开 Active Directory 联合服务 (AD FS) 管理器：

1. 在AD FS 管理器中，打开 "依赖方信任"（RPT） 文件夹。
2. 在右侧边栏菜单中选择添加依赖方信托....。
3. 在 "添加依赖方信任向导 " 对话框中，单击 "开始 " 添加新的 RPT。
4. 在 "选择数据源 "屏幕上，选择 "手动输入依赖方数据"。
5. 单击下一步 >。
6. 在 "显示名称 "字段中，为您的信托输入一个名称--该名称用于内部目的，因此请确保您为其输入一个易于识别的名称。
7. 单击下一步 >。
8. 在 "配置证书 "页面，保持默认设置不变，然后单击下一步 >。
9. 选择启用支持 SAML 2.0 WebSSO 协议 复选框。在依赖方 SAML 2.0 SSO 服务 URL 字段中，输入 HubSpot 账户中的登录 URL、ACS、接收方或重定向 URL。

10. 单击下一步 >。
11. 在依赖方信任标识符字段 中：

• • 输入 HubSpot 账户中的受众 URI（服务提供商实体 ID）值。
  • 输入https://api.hubspot.com，然后单击 "添加"。

12. 单击下一步 >。
13. 在 "选择访问控制策略 "窗口中，选择 "允许所有人"，然后单击 "下一步 >"。
14. 查看设置，然后单击下一步 >。
15. 单击关闭。

2.创建报销规则

在设置申请规则之前，请确保用户的电子邮件地址与 HubSpot 用户的电子邮件地址一致。如果你的 UPN 是电子邮件地址形式，你可以使用其他标识符，如用户主要名称（UPN）。为了使 AD FS 的单点登录正常工作，nameID 必须以电子邮件地址的形式出现，以便与 HubSpot 用户匹配。

1. 在 "索赔规则 "窗口中，单击 "添加规则"。
2. 单击 "索赔规则模板 "下拉菜单并选择 "作为索赔发送 LDAP 属性"。
3. 单击下一步 >。
4. 在 "配置索赔规则 "页面上，单击下一步 >：

• • 在 "声称规则名称 "字段中输入规则名称。
  • 单击属性存储 下拉菜单并选择Active Directory。
  • 在LDAP 属性映射 表中，映射以下内容：
    • 在LDAP 属性 列中，单击下拉菜单 并选择电子邮件地址。
    • 在 "传出索赔类型 "列中，单击下拉菜单并选择 "电子邮件地址"。

5. 单击完成。

接下来，设置 "转换传入的索赔"规则：

1. 单击添加规则。
2. 单击 "索赔规则模板 "下拉菜单并选择 "转换收到的索赔"。
3. 单击下一步 >。
4. 在Configure Claim Rule（配置索赔规则 ）屏幕上：

• • 输入索赔规则名称。
  • 单击 "输入索赔类型 "下拉菜单并选择 "电子邮件地址"。
  • 单击传出索赔类型 下拉菜单并选择名称 ID。
  • 单击传出名称 ID 格式 下拉菜单并选择电子邮件。
  • 单击完成 添加新规则。

5. 单击 "确定 " 添加两条新规则。

3.调整信任设置

1. 在 "回复方信任 "文件夹中，从 "操作 "侧边栏菜单中选择 "属性"。
2. 单击高级 选项卡，确保将SHA-256 指定为安全散列算法。

虽然 SHA-256 和 SHA-1 都支持，但建议使用 SHA-256。

4.找到您的 PEM 格式 x509 证书

访问 PEM 格式的 x509 证书：

1. 导航至AD FS 管理窗口。在左侧边栏菜单中，导航至服务 >证书。
2. 找到令牌签名 证书。右键单击证书并选择查看证书。

3. 在对话框中，单击详细信息 选项卡。
4. 单击复制到文件。
5. 在打开的证书导出窗口 中，单击下一步。
6. 选择Base-64 编码 X.509 (.CER) ，然后单击下一步。
7. 为导出文件命名，然后单击下一步。
8. 单击完成完成 导出。
9. 找到刚导出的文件，使用记事本等文本编辑器打开。
10. 复制文件内容。

5.在 HubSpot 中完成设置

1. 登录您的 HubSpot 帐户。
2. 在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
3. 在左侧边栏，单击安全性。
4. 在 "登录 "选项卡下的 "设置单点登录（SSO）"部分，单击 "设置"。
5. 在 "设置单点登录 "滑入面板中，单击Microsoft AD FS 选项卡 。
6. 将文件内容粘贴到X.509 证书 字段 。
7. 返回 AD FS 管理器。
8. 在左侧边栏菜单中，选择端点 文件夹。
9. 搜索 SSO 服务端点和实体 URL。SSO 服务 URL 通常以 "adfs/services/ls "结尾，实体 URL 则以 "adfs/services/trust "结尾。
10. 返回 HubSpot。在 "身份供应商标识符或发行者 "字段中输入实体 URL。
11. 在身份供应商单点登录 URL 字段中，输入单点登录 服务 URL。
12. 点击验证。

请注意：如果在 HubSpot 中配置单点登录时出现错误，请检查设备上的事件查看器日志，查看错误信息。如果无法排除错误信息，请联系HubSpot 支持。