設定單一登入 (SSO)
上次更新時間: 十二月 16, 2024
可与下列任何一种订阅一起使用,除非有说明:
行銷 Hub Enterprise |
銷售 Hub Enterprise |
Service Hub Enterprise |
Operations Hub Enterprise |
Content Hub Enterprise |
單一登入 (SSO) 可讓您為您的團隊成員提供一個帳戶,用於您的企業使用的所有系統。
安全斷言標記語言(SAML)是一種用於身分驗證的開放標準。基於可擴充標記語言 (XML) 格式,Web 應用程式使用 SAML 在身分識別提供者 (IdP) 和服務提供者 (SP) 兩方之間傳輸驗證資料。
您也可以透過登入設定精靈設定 SSO 並限制使用者可以使用哪些登入方法來存取您的帳戶。如果您擁有 HubSpot Enterprise帳戶並設定了基於 SAML 的 SSO,則可以要求使用者使用其 SSO 憑證登入 HubSpot。
一般設定
- 登入您的身分提供者帳戶。
- 導航至您的應用程式。
- 為 HubSpot 建立一個新應用程式。若要取得受眾 URI和登入 URL、ACS、收件者或重新導向值:
- 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,選擇安全性>設定和活動。
- 在「登入」下,按一下「設定單一登入」 。在右側面板中:
- XML 上傳適用於所有 SSO 設定。拖放或點擊選擇檔案來上傳您的聯合元資料。然後,按一下“驗證” 。
- 如果您想要手動輸入來自身分提供者的數據,請在「所有其他身分提供者」標籤下,根據需要按一下值旁邊的複製。然後,貼上下面來自您的身分提供者的值。單擊驗證。
- 如果您使用的是 Microsoft AD FS,請在Microsoft AD FS標籤下,根據需要按一下值旁的複製。然後,貼上下面來自您的身分提供者的值。單擊驗證。
- 在「登入」下,按一下「設定單一登入」 。在右側面板中:
請注意:如果您使用的是 Microsoft Entra(以前稱為 Azure),請使用「所有其他身分識別提供者」標籤來設定您的 SSO。
如果您使用的是 Active Directory 聯合驗證服務,請了解更多有關使用 AD FS 設定單一登入的資訊。
要求所有使用者使用 SSO
設定 SSO 後,您可以要求所有使用者使用 SSO 登入 HubSpot。
請注意:自 2024 年 7 月 31 日起,此設定將預設為開啟。
- 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,按一下安全性>設定和活動。
- 在「登入」下,勾選「需要單一登入」複選框。
從 SSO 要求中排除特定用戶
設定 SSO 後,您可以從 SSO 要求中排除特定用戶,以允許他們也使用其 HubSpot 用戶帳戶登入。
- 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,按一下安全性>設定和活動。
- 在「登入」下,按一下「管理排除的使用者」 。
- 在對話方塊中,按一下選擇使用者下拉式選單,然後選擇能夠使用其 HubSpot 帳戶登入的使用者。例如,如果合作夥伴和承包商缺少 SSO 登錄,您可以選擇他們。
- 按一下「儲存」 。
請注意:選擇「需要單一登入」複選框的使用者將自動新增至已排除的使用者。建議排除至少一名具有超級管理員權限的使用者。如果您的身分提供者發生故障,他們可以登入並清除「需要單一登入」複選框,以允許所有使用者使用其 HubSpot 帳戶登入。
針對特定身分提供者的說明
奧克塔
請注意:您需要 Okta 實例的管理存取權限。此過程只能在 Okta 的經典 UI 中存取。
- 登入 Okta。確保您位於 Okta 開發者帳號的管理實例中。
- 點擊頂部導覽列中的“應用程式” 。
- 點擊新增應用程式。
- 搜尋HubSpot SAML ,然後按一下新增。
- 在「常規設定」畫面上,按一下「完成」 。
- 在應用程式的詳細資訊頁面上,按一下「登入」標籤。
- 在「完成設定說明之前,不會設定 SAML 2.0 」訊息下,按一下「檢視設定說明」。這將打開一個新選項卡。保持開啟狀態,然後返回Okta 中的原始標籤。
- 在相同標籤中,向下捲動至進階登入設置,然後在入口網站 ID欄位中新增您的集線器 ID。了解如何存取您的 Hub ID 。
- 導航至您的用戶設定。將新應用程式指派給您 HubSpot 帳戶中的任何用戶,包括您自己。
- 返回“查看設定說明”標籤。複製每個 URL 和證書,並將其貼上到 HubSpot 中的身分提供者識別碼或頒發者 URL欄位、身分提供者單一登入 URL欄位和X.509 證書欄位中。
- 單擊驗證。系統將提示您使用 Okta 帳戶登入以完成設定並儲存設定。
驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至您的身分提供者進行登入。
一次登入
請注意:您需要 OneLogin 實例中的管理存取權限才能根據需要在 OneLogin 中建立新的 SAML 2.0 應用程式。
登入OneLogin 。
導航至“應用程式” 。
搜尋HubSpot 。
按一下標示為“SAML2.0”的應用程式。
點選右上角的「儲存」 。
按一下配置標籤。
在HubSpot 帳戶 ID欄位中,新增您的 Hub ID。了解如何存取您的 Hub ID 。
- 按一下“SSO”選項卡。
- 從 OneLogin 複製以下欄位並將其貼上到 HubSpot 中 SSO 設定面板的相應欄位中:
- 複製Issuer URL下的值並將其貼上到Identity Provider Identifier 或 Issuer URL中。
- 複製SAML 2.0 端點 (HTTP)下的值並將其貼上到身分提供者單一登入 URL 中。
- 在「X.509 憑證」下,按一下「檢視詳細資料」 ,然後複製憑證並將其貼上到「X.509 憑證」中。
在 OneLogin 帳戶的右上角,按一下「儲存」 。
驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至您的身分提供者進行登入。
微軟Entra ID
對於 Microsoft Entra ID(以前稱為 Azure Active Directory)用戶,請在 Microsoft Azure Marketplace 中安裝 HubSpot 應用程序,並按照Microsoft 的說明設定整合。這將允許您使用 Microsoft Entra ID 來管理使用者存取並透過 HubSpot 開啟單一登入。
驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至SSO提供者進行登入。
請參閱Google 的說明,以了解如何使用 G-Suite 作為身分提供者來設定 HubSpot 單一登入。
驗證您的 SSO 設定後,導覽至https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot 將尋找您入口網站的單一登入配置,並將您傳送至SSO提供者進行登入。
常見問題解答
HubSpot 使用哪種綁定作為 SAML 服務提供者?
HubSpot 使用 HTTP Post。
我正在使用 Active Directory 聯合身份驗證服務。我應該使用什麼作為我的信賴方信任 (RPT)?
我應該在 SAML 應用程式中設定哪種使用者名稱格式?
HubSpot 使用者透過電子郵件地址進行識別。確保您的 IDP 以電子郵件格式傳送與其 HubSpot 使用者的電子郵件地址相對應的 nameID。
HubSpot 支援哪種簽章演算法?
請注意: 2023 年 3 月 31 日之後,HubSpot 將停止支援新SSO 連線的 SHA-1。在 HubSpot 於 2023 年 6 月 30 日停止支援所有SSO 連線的SHA-1 之前,任何使用SHA-1 的現有SSO 連線可能仍然有效。之前遷移到SHA-256, 2023 年。
HubSpot 僅支援 SHA-256 作為簽章演算法。您需要使用 SHA-256 簽署您的請求。
我應該以哪種格式提供 x509 憑證?
HubSpot 需要 PEM 格式的 x509 憑證。您應該將 PEM 檔案的文字內容複製到 HubSpot 中的 x509 憑證欄位中。該值也應包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
我可以同時開啟雙重認證、必要的雙重認證、SSO 和必要的 SSO 嗎?
是的。當您開啟雙重認證時,使用您的 HubSpot 使用者名稱和密碼登入時,它就會處於活動狀態。在 HubSpot 中啟用 2FA 不會阻止您使用 Google 的 2FA 或 SSO 登入。因此,如果使用者被排除在 SSO 要求之外,您可以要求 HubSpot 的 2FA來確保任何繞過 SSO 的登入都通過 2FA 或 Google。
如果您為 Google 帳戶啟用 2FA ,則這與您的 HubSpot 設定是分開的。但是,當您使用 Google 帳戶登入 HubSpot 時,Google 的 2FA 將保護您的 HubSpot 帳戶。
如果您的帳戶需要或同時啟用雙重認證和 SSO,則會發生以下情況:
- 如果您需要使用 SSO 登入帳戶,則不會提示您使用 HubSpot 的 2FA。
- 如果您的帳戶需要 SSO,但您被排除在外,則可以使用 2FA 或「使用 Google 登入」或「使用 Microsoft 登入」選項登入。
- 如果您需要使用 2FA 登入且未設定 SSO,則可以使用 2FA 或「使用 Google 登入」或「使用 Microsoft 登入」選項登入。
- 如果您的帳戶沒有任何要求,但啟用了單一登錄,您可以使用包括單一登入在內的任何方式登入。