設定單一登入(SSO)
上次更新時間: 八月 24, 2023
單一登入(SSO)可讓您為團隊成員提供一個帳戶,以供企業使用的所有系統使用。 如果您擁有HubSpot Enterprise帳戶,並已為您的企業設定SSO ,您可以要求使用者使用其SSO憑證登入HubSpot。
一般設定
- 登入你的身份識別供應商帳戶。
- 前往應用程式。
- 為HubSpot建立新的應用程式。
- 若要取得目標對象URI和登入URL、ACS、收件人或重新導向值:
- 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,選擇「安全性」>「登入設定」。
- 若要取得目標對象URI和登入URL、ACS、收件人或重新導向值:
-
-
- 在「登入」下方,點擊「設定單一登入」
- 在右側面板中,根據需要按一下值旁邊的「複製」。 如果您使用的是Microsoft AD FS ,請按一下Microsoft AD FS索引標籤以複製所需的值。
- 如有需要,請將它們貼到您的身分提供者帳戶中。
- 如果出現提示,請將使用者名稱格式/名稱ID設定為電子郵件。
-
- 複製識別碼或簽發者網址、單一登入網址和身分識別提供者的憑證,然後貼到HubSpot中SSO設定面板的相應欄位中。
- 按一下「驗證」。
如果您使用的是Active Directory同盟服務,請進一步瞭解如何使用AD FS設定單一登入。
要求所有用戶使用SSO
設定SSO後,您可以要求所有使用者使用SSO登入HubSpot。
- 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,按一下「安全性」>「登入設定」。
- 在「登入」下方,選取「需要單一登入」核取方塊。
從SSO要求中排除特定用戶
設定SSO後,您可以從SSO要求中排除特定使用者,允許他們也使用其HubSpot使用者帳戶登入。
- 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
- 在左側邊欄選單中,按一下「安全性」>「登入設定」。
- 在「登入」下方,按一下「管理排除的使用者」。
- 在對話方塊中,按一下「選擇使用者」下拉式選單,然後選取可以使用HubSpot帳戶登入的使用者。 例如,如果職業駕駛和承包商沒有SSO登入資訊,您可以選擇他們。
- 按一下儲存。
請注意:選取「需要單一登入」核取方塊的使用者將自動新增至排除的使用者。 建議至少排除一位擁有超級管理員權限的使用者。 如果您的身份提供者關閉,他們可以登入並清除「需要單一登入」核取方塊,以允許所有使用者使用其HubSpot帳戶登入。
特定身分提供者的說明
Okta
請注意:您需要Okta執行個體的管理權限。 此流程只能在Okta的傳統使用者介面中存取。
- 登入Okta。 請確保您處於Okta開發人員帳戶的管理實例中。
- 按一下頂部導覽列中的「應用程式」。
- 按一下「新增應用程式」。
- 搜尋HubSpot SAML ,然後按一下「新增」。
- 在「一般設定」畫面上,按一下完成。
- 在應用程式的詳細資訊頁面上,按一下「登入」索引標籤。
- 在「完成設定說明之前,未設定SAML 2.0」訊息下,按一下「檢視設定說明」。 這會開啟一個新分頁。 保持開啟狀態,然後返回Okta中的原始分頁。
- 在同一個分頁中,向下捲動至「進階登入設定」,然後在「入口網站ID」欄位中新增您的Hub ID。 瞭解如何存取您的Hub ID。
- 前往用戶設定。 將新應用程式指派給您HubSpot帳戶中的任何用戶,包括您自己。
- 返回檢視設定說明標籤。 複製每個URL和憑證,然後將它們貼到HubSpot的Identity Provider Identifier或Issuer URL欄位、Identity Provider Single Sign-On URL欄位和X.509 Certificate欄位中。
- 按一下「驗證」。系統會提示您使用Okta帳戶登入,以完成設定並儲存設定。
驗證SSO設定後,請前往https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot會查看入口網站的單一登入設定,並將您傳送至您的身分識別提供者進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。
OneLogin
請注意:如有需要,您需要OneLogin執行個體的管理存取權限,才能在OneLogin中建立新的SAML 2.0應用程式。
-
登錄OneLogin。
-
前往應用程式。
-
搜索HubSpot。
-
按一下顯示「SAML2.0」的應用程式。
-
按一下右上角的「儲存」。
-
按一下「設定」索引標籤。
-
在HubSpot帳戶ID欄位中,新增您的Hub ID。 瞭解如何存取您的Hub ID。
- 按一下SSO分頁。
- 從OneLogin複製以下欄位,並將其貼到HubSpot中SSO設定面板的相應欄位中:
- 複製簽發者網址下的值,然後貼到身分識別提供者識別碼或簽發者網址中。
- 複製SAML 2.0端點(HTTP)下的值,並貼到Identity Provider單一登入URL中。
- 在X.509憑證下,按一下檢視詳細資訊,然後複製憑證並貼到X.509憑證中。
-
按一下OneLogin帳戶右上角的「儲存」。
驗證SSO設定後,請前往https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot會查看入口網站的單一登入設定,並將您傳送至您的身分識別提供者進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。
Azure Active Directory
對於Azure Active Directory使用者,請在Microsoft Azure Marketplace中安裝HubSpot應用程式,並按照Microsoft的指示設定整合。 這將允許您使用Azure AD管理使用者存取,並使用HubSpot開啟單一登入。
驗證SSO設定後,請前往https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot會查詢入口網站的單一登入設定,並將您傳送至SSO供應商進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。
請參閱Google說明,瞭解如何使用G-Suite作為身分識別供應商,設定HubSpot單一登入。
驗證SSO設定後,請前往https://app.hubspot.com/login/sso並輸入您的電子郵件地址。 HubSpot會查詢入口網站的單一登入設定,並將您傳送至SSO供應商進行登入。 前往帳戶的直接連結時,你亦會看到「使用SSO登入」按鈕。
常見問題
HubSpot作為SAML服務提供者使用哪個綁定?
HubSpot使用HTTP Post。
我正在使用Active Directory Federation Services。 我應該使用什麼作為我的信賴方信任(RPT) ?
HubSpot用戶由電子郵件地址識別。 確保您的IDP以與其HubSpot用戶的電子郵件地址相對應的電子郵件格式發送nameID。
HubSpot支援哪種簽署演算法?
請注意:在2023年3月31日之後, HubSpot將停止支援新SSO連線的SHA-1。 在HubSpot於2023年6月30日停止支援所有SSO連線的SHA-1之前,任何使用SHA-1的現有SSO連線仍可繼續運作。 如果您使用的是SHA-1 ,您需要在2023年6月30日之前遷移到SHA-256。
HubSpot支援SHA-1和SHA-256作為簽章演算法。 建議您使用SHA-256簽署申請。
我應該以哪種格式提供我的x509證書?
HubSpot需要PEM格式的x509證書。 您應該將PEM檔案的文字內容複製到HubSpot的x509憑證欄位中。 該值還應包括-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----。
我可以同時開啟雙重驗證、必要的雙重驗證、單一登入(SSO)和必要的單一登入(SSO)嗎?
可以。開啟雙重驗證後,任何使用HubSpot使用者名稱和密碼登入的帳戶都會啟用雙重驗證。 在HubSpot中啟用雙因素驗證並不會妨礙您使用Google的雙因素驗證或單一登入。 因此,如果用戶被排除在SSO要求之外,您可以要求HubSpot的2FA ,以確保任何繞過SSO的登入都會通過2FA或Google。
如果您為Google帳戶啟用雙因素驗證,這與HubSpot設定是分開的。 但是,當您使用Google帳戶登入HubSpot時, Google的2FA將保護您的HubSpot帳戶。
如果你的帳戶同時需要或啟用雙重驗證和單一登入(SSO) ,將會發生以下情況:
- 若您必須使用SSO登入帳戶,則只能使用SSO登入。 如果你使用的是新裝置,也必須提供驗證碼,系統會透過電子郵件將驗證碼傳送給你,或使用雙因素驗證(如已啟用)。 按一下裝置上的「記住我」,即可每六個月只接受一次雙因素驗證。
- 如果您的帳戶需要SSO ,但您被排除在外,您可以使用雙因素驗證或Google登入。
- 如果您必須在未設定SSO的情況下使用雙因素驗證登入,您可以使用雙因素驗證或Google登入。
- 如果你的帳戶沒有要求,但已啟用單一登入,你可以使用任何方式登入,包括單一登入。