跳到內容
請注意::這篇文章的翻譯只是為了方便而提供。譯文透過翻譯軟體自動建立,可能沒有經過校對。因此,這篇文章的英文版本應該是包含最新資訊的管理版本。你可以在這裡存取這些內容。

設定單一登入 (SSO)

上次更新時間: 十二月 16, 2024

可与下列任何一种订阅一起使用,除非有说明:

行銷 Hub   Enterprise
銷售 Hub   Enterprise
Service Hub   Enterprise
Operations Hub   Enterprise
Content Hub   Enterprise

單一登入 (SSO) 可讓您為您的團隊成員提供一個帳戶,用於您的企業使用的所有系統

安全斷言標記語言(SAML)是一種用於身分驗證的開放標準。基於可擴充標記語言 (XML) 格式,Web 應用程式使用 SAML 在身分識別提供者 (IdP) 和服務提供者 (SP) 兩方之間傳輸驗證資料。

您也可以透過登入設定精靈設定 SSO 並限制使用者可以使用哪些登入方法來存取您的帳戶。如果您擁有 HubSpot Enterprise帳戶並設定了基於 SAML 的 SSO,則可以要求使用者使用其 SSO 憑證登入 HubSpot。

請注意:此設定流程應由具有在身分提供者帳戶中建立應用程式經驗的 IT 管理員來完成。只有超級管理員才能為您的帳戶設定 SSO。

一般設定

  • 登入您的身分提供者帳戶。
  • 導航至您的應用程式。
  • 為 HubSpot 建立一個新應用程式。若要取得受眾 URI登入 URL、ACS、收件者或重新導向值:
    • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
    • 在左側邊欄選單中,選擇安全性>設定和活動
    • 「登入」下,按一下「設定單一登入」 。在右側面板中:
      • XML 上傳適用於所有 SSO 設定。拖放或點擊選擇檔案來上傳您的聯合元資料。然後,按一下“驗證”
      • 如果您想要手動輸入來自身分提供者的數據,請在「所有其他身分提供者」標籤下,根據需要按一下值旁邊的複製。然後,貼上下面來自您的身分提供者的值。單擊驗證
      • 如果您使用的是 Microsoft AD FS,請在Microsoft AD FS標籤下,根據需要按一下值旁的複製。然後,貼上下面來自您的身分提供者的值。單擊驗證

請注意:如果您使用的是 Microsoft Entra(以前稱為 Azure),請使用「所有其他身分識別提供者」標籤來設定您的 SSO。

上述導航說明和欄位名稱可能因身分提供者而異。您可以在下面找到有關在常用身分提供者中設定應用程式的更具體說明:

如果您使用的是 Active Directory 聯合驗證服務,請了解更多有關使用 AD FS 設定單一登入的資訊。

要求所有使用者使用 SSO

設定 SSO 後,您可以要求所有使用者使用 SSO 登入 HubSpot。

請注意:自 2024 年 7 月 31 日起,此設定將預設為開啟。

  • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
  • 在左側邊欄選單中,按一下安全性>設定和活動
  • 「登入」下,勾選「需要單一登入」複選框。

從 SSO 要求中排除特定用戶

設定 SSO 後,您可以從 SSO 要求中排除特定用戶,以允許他們也使用其 HubSpot 用戶帳戶登入。

  • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
  • 在左側邊欄選單中,按一下安全性>設定和活動
  • 「登入」下,按一下「管理排除的使用者」

login-settings-tab

  • 在對話方塊中,按一下選擇使用者下拉式選單,然後選擇能夠使用其 HubSpot 帳戶登入的使用者。例如,如果合作夥伴和承包商缺少 SSO 登錄,您可以選擇他們。
  • 一下「儲存」

請注意:選擇「需要單一登入」複選框的使用者將自動新增至已排除的使用者。建議排除至少一名具有超級管理員權限的使用者。如果您的身分提供者發生故障,他們可以登入並清除「需要單一登入」複選框,以允許所有使用者使用其 HubSpot 帳戶登入。

針對特定身分提供者的說明

奧克塔

請注意:您需要 Okta 實例的管理存取權限。此過程只能在 Okta 的經典 UI 中存取。

  • 登入 Okta。確保您位於 Okta 開發者帳號的管理實例中。
  • 點擊頂部導覽列中的“應用程式”
  • 點擊新增應用程式
  • 搜尋HubSpot SAML ,然後按一下新增
  • 「常規設定」畫面上,按一下「完成」
  • 在應用程式的詳細資訊頁面上,按一下「登入」標籤。
  • 在「完成設定說明之前,不會設定 SAML 2.0 」訊息下,按一下「檢視設定說明」。這將打開一個新選項卡。保持開啟狀態,然後返回Okta 中的原始標籤。
  • 在相同標籤中,向下捲動至進階登入設置,然後在入口網站 ID欄位中新增您的集線器 ID。了解如何存取您的 Hub ID
  • 導航至您的用戶設定。將新應用程式指派給您 HubSpot 帳戶中的任何用戶,包括您自己。
  • 返回“查看設定說明”標籤。複製每個 URL 和證書,並將其貼上到 HubSpot 中的身分提供者識別碼或頒發者 URL欄位、身分提供者單一登入 URL欄位和X.509 證書欄位中。
  • 單擊驗證。系統將提示您使用 Okta 帳戶登入以完成設定並儲存設定。

驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至您的身分提供者進行登入

一次登入

請注意:您需要 OneLogin 實例中的管理存取權限才能根據需要在 OneLogin 中建立新的 SAML 2.0 應用程式。

  • 登入OneLogin

  • 導航至“應用程式”

  • 搜尋HubSpot

  • 按一下標示為“SAML2.0”的應用程式。

  • 點選右上角的「儲存」

  • 按一下配置標籤。

  • HubSpot 帳戶 ID欄位中,新增您的 Hub ID。了解如何存取您的 Hub ID

  • 按一下“SSO”選項卡。
  • 從 OneLogin 複製以下欄位並將其貼上到 HubSpot 中 SSO 設定面板的相應欄位中:
    • 複製Issuer URL下的值並將其貼上到Identity Provider Identifier 或 Issuer URL中。
    • 複製SAML 2.0 端點 (HTTP)下的值並將其貼上到身分提供者單一登入 URL 中
    • 「X.509 憑證」下,按一下「檢視詳細資料」 ,然後複製憑證並將其貼上到「X.509 憑證」中。

onelogin-SSO 設定

  • 在 OneLogin 帳戶的右上角,按一下「儲存」

驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至您的身分提供者進行登入

微軟Entra ID

對於 Microsoft Entra ID(以前稱為 Azure Active Directory)用戶,請在 Microsoft Azure Marketplace 中安裝 HubSpot 應用程序,並按照Microsoft 的說明設定整合。這將允許您使用 Microsoft Entra ID 來管理使用者存取並透過 HubSpot 開啟單一登入。

驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至SSO提供者進行登入。

Google

請參閱Google 的說明,以了解如何使用 G-Suite 作為身分提供者來設定 HubSpot 單一登入。

驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至SSO提供者進行登入。

常見問題解答

HubSpot 使用哪種綁定作為 SAML 服務提供者?

HubSpot 使用 HTTP Post。

我正在使用 Active Directory 聯合身份驗證服務。我應該使用什麼作為我的信賴方信任 (RPT)?

了解有關使用 ADFS 設定單一登入的更多資訊。

我應該在 SAML 應用程式中設定哪種使用者名稱格式?

HubSpot 使用者透過電子郵件地址進行識別。確保您的 IDP 以電子郵件格式傳送與其 HubSpot 使用者的電子郵件地址相對應的 nameID。

HubSpot 支援哪種簽章演算法?

請注意: 2023 年 3 月 31 日之後,HubSpot 將停止支援SSO 連線的 SHA-1。在 HubSpot 於 2023 年 6 月 30 日停止支援所有SSO 連線的SHA-1 之前,任何使用SHA-1 的現有SSO 連線可能仍然有效。之前遷移到SHA-256, 2023 年。

HubSpot 僅支援 SHA-256 作為簽章演算法。您需要使用 SHA-256 簽署您的請求。

我應該以哪種格式提供 x509 憑證?

HubSpot 需要 PEM 格式的 x509 憑證。您應該將 PEM 檔案的文字內容複製到 HubSpot 中的 x509 憑證欄位中。該值也應包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。

我可以同時開啟雙重認證、必要的雙重認證、SSO 和必要的 SSO 嗎?

是的。當您開啟雙重認證時,使用您的 HubSpot 使用者名稱和密碼登入時,它就會處於活動狀態。在 HubSpot 中啟用 2FA 不會阻止您使用 Google 的 2FA 或 SSO 登入。因此,如果使用者被排除在 SSO 要求之外,您可以要求 HubSpot 的 2FA來確保任何繞過 SSO 的登入都通過 2FA 或 Google。

如果您為 Google 帳戶啟用 2FA ,則這與您的 HubSpot 設定是分開的。但是,當您使用 Google 帳戶登入 HubSpot 時,Google 的 2FA 將保護您的 HubSpot 帳戶。

如果您的帳戶需要或同時啟用雙重認證和 SSO,則會發生以下情況:

  • 如果您需要使用 SSO 登入帳戶,則不會提示您使用 HubSpot 的 2FA。
  • 如果您的帳戶需要 SSO,但您被排除在外,則可以使用 2FA 或「使用 Google 登入」「使用 Microsoft 登入」選項登入。
  • 如果您需要使用 2FA 登入且未設定 SSO,則可以使用 2FA 或「使用 Google 登入」「使用 Microsoft 登入」選項登入
  • 如果您的帳戶沒有任何要求,但啟用了單一登錄,您可以使用包括單一登入在內的任何方式登入。
這篇文章有幫助嗎?
此表單僅供記載意見回饋。了解如何取得 HubSpot 的協助