跳到內容
請注意::這篇文章的翻譯只是為了方便而提供。譯文透過翻譯軟體自動建立,可能沒有經過校對。因此,這篇文章的英文版本應該是包含最新資訊的管理版本。你可以在這裡存取這些內容。

設定單一登入(SSO)

上次更新時間: 一月 29, 2024

可与下列任何一种订阅一起使用,除非有说明:

行銷 Hub Enterprise
銷售 Hub Enterprise
Service Hub Enterprise
Operations Hub Enterprise
CMS Hub Enterprise

單一登入(SSO)可讓您為團隊成員提供一個帳戶,以供企業使用的所有系統使用。 安全性斷言標記語言(SAML)是用於驗證的開放式標準。 根據可延伸標記語言(XML)格式, Web應用程式使用SAML在身分識別提供者(IdP)和服務提供者(SP)兩方之間傳輸驗證資料。 如果您擁有HubSpot Enterprise帳戶並設定了基於SAML的SSO ,您可以要求使用者使用其SSO憑證登入HubSpot。

請注意:此設定過程應由具備在身份提供者帳戶中建立應用程式經驗的IT管理員完成。 只有 超級管理員可以為你的帳戶設定SSO。

一般設定

  • 登入你的身份識別供應商帳戶。
  • 前往應用程式。
  • 為HubSpot建立新的應用程式。
    • 若要取得目標對象URI和登入URL、ACS、收件人或重新導向值:
      • 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
      • 在左側邊欄選單中,選擇「安全性」>「登入設定」。
      • 在「登入」下方,點擊「設定單一登入」
      • 在右側面板中,根據需要按一下值旁邊的「複製」。 如果您使用的是Microsoft AD FS ,請按一下Microsoft AD FS索引標籤以複製所需的值。
      • 如有需要,請將它們貼到您的身分提供者帳戶中。
    • 如果出現提示,請將使用者名稱格式/名稱ID設定為電子郵件。
  • 複製識別碼或簽發者網址、單一登入網址和身分識別提供者的憑證,然後貼到HubSpot中SSO設定面板的相應欄位中。
  • 按一下「驗證」。
上述導覽說明和欄位名稱可能因身分提供者而異。 您可以在下方找到有關在常用身分識別服務供應商中設定應用程式的更具體說明:

如果您使用的是Active Directory同盟服務,請進一步瞭解如何使用AD FS設定單一登入

要求所有用戶使用SSO

設定SSO後,您可以要求所有使用者使用SSO登入HubSpot。 

  • 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
  • 在左側邊欄選單中,按一下「安全性」>「登入設定」。
  • 在「登入」下方,選取「需要單一登入」核取方塊。

從SSO要求中排除特定用戶

設定SSO後,您可以從SSO要求中排除特定使用者,允許他們也使用其HubSpot使用者帳戶登入。

  • 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
  • 在左側邊欄選單中,按一下「安全性」>「登入設定」。
  • 在「登入」下方,按一下「管理排除的使用者」。

login-settings-tab

  • 在對話方塊中,按一下「選擇使用者」下拉式選單,然後選取可以使用HubSpot帳戶登入的使用者。 例如,如果職業駕駛和承包商沒有SSO登入資訊,您可以選擇他們。
  • 按一下儲存。

請注意:選取「需要單一登入」核取方塊的使用者將自動新增至排除的使用者。 建議至少排除一位擁有超級管理員權限的使用者。 如果您的身份提供者關閉,他們可以登入並清除「需要單一登入」核取方塊,以允許所有使用者使用其HubSpot帳戶登入。

特定身分提供者的說明

Okta

請注意:您需要Okta執行個體的管理權限。 此流程只能在Okta的傳統使用者介面中存取。

  • 登入Okta。 請確保您處於Okta開發人員帳戶的管理實例中。
  • 按一下頂部導覽列中的「應用程式」。
  • 按一下「新增應用程式」。
  • 搜尋HubSpot SAML ,然後按一下「新增」。
  • 在「一般設定」畫面上,按一下完成。
  • 在應用程式的詳細資訊頁面上,按一下「登入」索引標籤。
  • 在「完成設定說明之前,未設定SAML 2.0」訊息下,按一下「檢視設定說明」。 這會開啟一個新分頁。 保持開啟狀態,然後返回Okta中的原始分頁。
  • 在同一個分頁中,向下捲動至「進階登入設定」,然後在「入口網站ID」欄位中新增您的Hub ID。 瞭解如何存取您的Hub ID
  • 前往用戶設定。 將新應用程式指派給您HubSpot帳戶中的任何用戶,包括您自己。
  • 返回檢視設定說明標籤。 複製每個URL和憑證,然後將它們貼到HubSpot的Identity Provider Identifier或Issuer URL欄位、Identity Provider Single Sign-On URL欄位和X.509 Certificate欄位中。
  • 按一下「驗證」。系統會提示您使用Okta帳戶登入,以完成設定並儲存設定。

驗證SSO設定後,請前往https://app.hubspot.com/login/sso並入您的電子郵件地址。 HubSpot會查看入口網站的單一登入設定,並將您傳送至您的身分識別提供者進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。

OneLogin

請注意:如有需要,您需要OneLogin執行個體的管理存取權限,才能在OneLogin中建立新的SAML 2.0應用程式。

  • 登錄OneLogin。

  • 前往應用程式。

  • 搜索HubSpot。

  • 按一下顯示「SAML2.0」的應用程式。

  • 按一下右上角的「儲存」。

  • 按一下「設定」索引標籤。

  • 在HubSpot帳戶ID欄位中,新增您的Hub ID。 瞭解如何存取您的Hub ID

  • 按一下SSO分頁。
  • 從OneLogin複製以下欄位,並將其貼到HubSpot中SSO設定面板的相應欄位中:
    • 複製簽發者網址下的值,然後貼到身分識別提供者識別碼或簽發者網址中。
    • 複製SAML 2.0端點(HTTP)下的值,並貼到Identity Provider單一登入URL中。
    • 在X.509憑證下,按一下檢視詳細資訊,然後複製憑證並貼到X.509憑證中。

onelogin-sso-setup

  • 按一下OneLogin帳戶右上角的「儲存」。

驗證SSO設定後,請前往https://app.hubspot.com/login/sso並入您的電子郵件地址。 HubSpot會查看入口網站的單一登入設定,並將您傳送至您的身分識別提供者進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。

Azure Active Directory

對於Azure Active Directory使用者,請在Microsoft Azure Marketplace中安裝HubSpot應用程式,並按照Microsoft的指示設定整合。 這將允許您使用Azure AD管理使用者存取,並使用HubSpot開啟單一登入。

驗證SSO設定後,請前往https://app.hubspot.com/login/sso並入您的電子郵件地址。 HubSpot會查詢入口網站的單一登入設定,並將您傳送至SSO供應商進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。

Google

請參閱Google說明,瞭解如何使用G-Suite作為身分識別供應商,設定HubSpot單一登入。

驗證SSO設定後,請前往https://app.hubspot.com/login/sso並入您的電子郵件地址。 HubSpot會查詢入口網站的單一登入設定,並將您傳送至SSO供應商進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。

常見問題

HubSpot作為SAML服務提供者使用哪個綁定?

HubSpot使用HTTP Post。

我正在使用Active Directory Federation Services。 我應該使用什麼作為我的信賴方信任(RPT) ?

深入瞭解如何 使用ADFS設定單一登入
我應該在SAML應用程式中設定哪種使用者名稱格式?
 

HubSpot用戶由電子郵件地址識別。 確保您的IDP以與其HubSpot用戶的電子郵件地址相對應的電子郵件格式發送nameID。

HubSpot支援哪種簽署演算法?

請注意:在2023年3月31日之後, HubSpot將停止支援SSO連線的SHA-1。 在HubSpot於2023年6月30日停止支援所有SSO連線的SHA-1之前,任何使用SHA-1的現有SSO連線仍可繼續運作。 如果您使用的是SHA-1 ,您需要在2023年6月30日之前遷移到SHA-256。

HubSpot僅支援SHA-256作為簽章演算法。 您需要使用SHA-256簽署您的請求。

我應該以哪種格式提供我的x509證書?

HubSpot需要PEM格式的x509證書。 您應該將PEM檔案的文字內容複製到HubSpot的x509憑證欄位中。 該值還應包括-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----。

我可以同時開啟雙重驗證、必要的雙重驗證、單一登入(SSO)和必要的單一登入(SSO)嗎? 

可以。開啟雙重驗證後,任何使用HubSpot使用者名稱和密碼登入的帳戶都會啟用雙重驗證。 在HubSpot中啟用雙因素驗證並不會妨礙您使用Google的雙因素驗證或單一登入。 因此,如果用戶被排除在SSO要求之外,您可以要求HubSpot的2FA ,以確保任何繞過SSO的登入都會通過2FA或Google。

如果您為Google帳戶啟用雙因素驗證,這與HubSpot設定是分開的。 但是,當您使用Google帳戶登入HubSpot時, Google的2FA將保護您的HubSpot帳戶。

如果你的帳戶同時需要或啟用雙重驗證和單一登入(SSO) ,將會發生以下情況:

  • 如果你必須使用SSO登入帳戶,系統仍會提示你使用HubSpot的2FA。
  • 如果您的帳戶需要SSO ,但您被排除在外,您可以使用雙因素驗證或使用Google登入或使用Microsoft登入選項登入。
  • 如果您必須使用雙因素驗證登入,且未設定SSO ,您可以使用雙因素驗證或使用Google登入或Microsoft登入選項登入。
  • 如果你的帳戶沒有要求,但已啟用單一登入,你可以使用任何方式登入,包括單一登入。
這篇文章有幫助嗎?
此表單僅供記載意見回饋。了解如何取得 HubSpot 的協助