使用Active Directory同盟服務(AD FS)設定單一登入(SSO)

如果您有HubSpot Enterprise帳戶，可以使用Active Directory同盟服務(AD FS)設定單一登入。 

若要使用AD FS登入您的HubSpot帳戶，您必須符合以下要求：

• Active Directory執行個體中的所有使用者都必須具有電子郵件地址屬性。
• 您正在使用HubSpot Enterprise帳戶。
• 您的伺服器執行Windows Server 2008、2012或2019。 

請注意：此設定過程應由具備在身份提供者帳戶中建立應用程式經驗的IT管理員完成。 深入瞭解如何使用HubSpot設定SSO。 

在您開始之前

開始之前，請注意HubSpot帳戶中的以下兩個值，以便使用Microsoft AD FS設定SSO ：

• 登入您的HubSpot帳戶。 
• 在你的 HubSpot 帳戶中，點擊頂端導覽列中的settings「設定圖示」。
• 按一下左側邊欄的「帳戶預設值」。 
• 按一下「安全性」索引標籤。
• 按一下「設定單一登入」。
• 在設定單一登入滑入式面板中，按一下Microsoft AD FS。
• 請注意受眾URI (服務提供者實體ID)和登入URL、ACS、收件者或重新導向值，因為您需要在設定過程中將其新增到Microsoft AD FS。 

1.新增信賴方信任(RPT)

開啟Active Directory同盟服務(AD FS)管理員：

• 在AD FS管理員中，開啟信賴憑證方信任(RPT)資料夾。 
• 在右側邊欄選單中，選取「新增信賴憑證方信任...」。 
• 在「新增信賴憑證方信任精靈」對話方塊中，按一下開始以新增RPT。 
• 在「選擇資料來源」畫面上，選取手動輸入有關信賴方的資料。 
• 按一下下一步>。
• 在「顯示名稱」欄位中，輸入您信任的名稱-這是供內部使用的，因此請務必將其命名為易於識別的名稱。 
• 按一下下一步>。 
• 在「設定憑證」畫面上，保留預設設定，然後按下一步>。
• 選取[啟用SAML 2.0 WebSSO通訊協定支援]核取方塊。 在信賴方SAML 2.0 SSO服務網址欄位中，從您的HubSpot帳戶輸入登入網址、ACS、收件人或重新導向網址。

• 按一下下一步>。 
• 在「信賴方信任識別碼」欄位中：
  • 從您的HubSpot帳戶輸入受眾URI （服務提供者實體ID ）值。 
  • 輸入https://api.hubspot.com ，然後按一下「新增」。 
• 按一下下一步>。 
• 在「選擇存取控制政策」視窗中，選取「允許所有人」，然後點擊「下一步」>。 
• 檢查設定，然後點擊下一步>。 
• 按一下關閉。 

2.建立索賠規則 

在設定索賠規則之前，請確保用戶的電子郵件地址與HubSpot用戶的電子郵件地址相符。 如果您的UPN是電子郵件地址的形式，您可以使用其他識別碼，例如使用者主體名稱(UPN)。 若要使用AD FS進行單一登入， nameID必須採用電子郵件地址的形式，才能與HubSpot使用者相符。 

• 在「索賠規則」視窗中，點擊「新增規則」。 
• 點擊「聲明規則範本」下拉式選單，然後選取「以聲明方式傳送LDAP屬性」。 
• 按一下下一步>。 
• 在「設定索賠規則」畫面上：
  • 在「領取規則名稱」欄位中，輸入規則名稱。 
  • 按一下「屬性儲存區」下拉式功能表，然後選取Active Directory。 
  • 在LDAP屬性對映表中，對映以下內容：
    • 在「LDAP屬性」欄中，按一下下拉式選單，然後選擇電子郵件地址。 
    • 在傳出ClaimType欄中，點擊下拉式選單，然後選擇電子郵件地址。 
• 按一下完成。 

接下來，設定「轉換外來索賠」規則： 

• 按一下新增規則。 
• 點擊「索賠規則範本」下拉式選單，然後選擇「轉換外來索賠」。 
• 按一下下一步>。 
• 在「設定索賠規則」畫面上：
  • 輸入理賠規則名稱。 
  • 按一下「收到的索賠類型」下拉式選單，然後選取「電子郵件地址」。 
  • 點擊傳出索賠類型下拉式選單，然後選擇名稱ID。 
  • 點擊傳出名稱ID格式下拉式選單，然後選擇電子郵件。 
  • 按一下「完成」以新增新規則。 
• 按一下「確定」以新增兩項新規則。 

3.調整信任設定

在回覆方信任資料夾中，從操作側邊欄功能表中選擇屬性。 按一下進階索引標籤，並確認SHA-256已指定為安全雜湊演算法。 雖然同時支援SHA-256和SHA-1 ，但建議使用SHA-256。 

4.找到您的PEM格式x509證書

若要存取PEM格式的x509證書，請按照以下步驟操作：

• 導覽至AD FS管理視窗。 在左側邊欄選單中，前往「服務」>「憑證」。 
• 找到權杖簽署憑證。 使用滑鼠右鍵按一下憑證，然後選取檢視憑證。 
• 在對話框中，單擊詳細信息選項卡。 
• 按一下複製到檔案。 
• 在打開的憑證匯出視窗中，單擊下一步。 
• 選擇Base-64編碼X.509 （ .CER ） ，然後按一下下一步。 
• 為檔案匯出命名，然後按一下下一步。 
• 按一下「完成」以完成匯出。 

• 找到剛剛匯出的檔案，然後使用文字編輯器（如記事本）開啟它。 
• 復制文件的內容。

5.在HubSpot中完成設定

• 登入您的HubSpot帳戶。 
• 在你的 HubSpot 帳戶中，點擊頂端導覽列中的settings「設定圖示」。
• 按一下左側邊欄的「帳戶預設值」。 
• 按一下「安全性」索引標籤。
• 按一下「設定單一登入」。
• 在設定單一登入滑入式面板中，按一下Microsoft AD FS。
• 將檔案的內容貼到X.509憑證 欄位。 
• 返回到您的AD FS經理。 

• 在左側邊欄選單中，選擇端點資料夾。 
• 搜尋SSO服務端點和實體URL。 SSO服務URL通常以「adfs/services/ls」結尾，實體URL以「adfs/services/trust」結尾。
• 返回HubSpot。在識別提供者識別碼或簽發者欄位中，輸入實體URL。
• 在Identity Provider Single Sign-On URL欄位中，輸入SSO服務URL。 
• 按一下「驗證」。 

請注意：如果您在HubSpot中設定單一登入時收到錯誤，請檢查裝置上的活動檢視器日誌，以查看錯誤訊息。 如果您無法排除錯誤訊息的疑難排解，請聯絡HubSpot支援。