跳到內容
請注意::這篇文章的翻譯只是為了方便而提供。譯文透過翻譯軟體自動建立,可能沒有經過校對。因此,這篇文章的英文版本應該是包含最新資訊的管理版本。你可以在這裡存取這些內容。

設定單一登入(SSO)

上次更新時間: 四月 3, 2023

可与下列任何一种订阅一起使用,除非有说明:

行銷 Hub Enterprise
銷售 Hub Enterprise
Service Hub Enterprise
Operations Hub Enterprise
CMS Hub Enterprise

單一登入(SSO)允許您為您的團隊成員提供企業使用的所有系統的一個帳戶。 如果您擁有HubSpot Enterprise帳戶,並為您的業務設定了SSO ,則可以要求用戶使用其SSO憑證登錄HubSpot。

 

請注意:此設定過程應由具有在您的身份提供者帳戶中建立應用程式經驗的IT管理員完成。 只有超級管理員才能為你的帳戶設定SSO。

一般設定

  • 登入你的身分供應商帳戶。
  • 導航到您的應用程式。
  • 爲HubSpot新建應用程序。
    • 若要取得受眾URI和登入URL、ACS、收件人或重定向值:
      • 了解更多
      • 在左側邊欄選單中,選擇「帳戶預設值」。
      • 按一下「安全」分頁。
      • 在「登入」下方,點擊「設定單一登入」
      • 在右側面板中,按一下所需值旁邊的複製。 如果您使用的是Microsoft AD FS ,請按一下Microsoft AD FS標籤複製所需的值。
      • 如有需要,請將它們貼到您的身份提供者帳戶中。
    • 如果系統提示,請將使用者名稱格式/名稱ID設定為「電子郵件」。
  • 複製識別碼或發行者網址、單一登入網址和身分提供者的憑證,並將其貼到HubSpot的SSO設定面板中的相應欄位中。
  • 按一下「驗證」。
以上導航說明和欄位名稱可能因身分供應商而異。 您可以在下面找到在常用身份提供商中設置應用程序的更具體說明:

如果您使用的是Active Directory聯合會服務,請進一步瞭解如何使用AD FS設定單一登入

要求所有用戶使用SSO

設定SSO後,您可以要求所有使用者使用SSO登入HubSpot。 

請注意: 

要對所有用戶要求SSO :

  • 了解更多
  • 在左側邊欄選單中,按一下「帳戶預設值」。
  • 按一下「安全」分頁。
  • 在「登入」下,選取「要求單次登入才能登入」核取方塊。

從SSO要求中排除特定用戶

account-defaults-security-require-sso

設定SSO後,您可以將特定用戶排除在SSO要求之外,以便他們也可以使用其HubSpot用戶帳戶登入。

  • 了解更多
  • 在左側邊欄選單中,按一下「帳戶預設值」。
  • 按一下「安全」分頁。
  • 在「 登入」下,按一下「管理排除的用戶」。

account-defaults-manage-excluded-users

  • 在對話方塊中,按一下選擇使用者下拉式選單,然後選擇可以使用HubSpot帳戶登入的使用者。 例如,您可以選擇合作夥伴和承包商,如果他們沒有SSO登入。
  • 按一下儲存。

請注意:選取「需要單一登入才能登入」核取方塊的用戶將自動新增至排除的用戶。 建議排除至少一個擁有超級管理員權限的使用者。 如果您的身份提供商停機,他們可以登入並清除「需要單次登入才能登入」核取方塊,以允許所有用戶使用其HubSpot帳戶登入。

對特定身份提供者的指示

Okta

請注意:您需要在Okta執行個體中擁有管理權限。 此過程只能在Okta的Classic UI中使用。

  • 登錄Okta。 請確保您位於Okta開發人員帳戶的管理實例中。
  • 按一下頂部導覽列中的應用程式。
  • 按一下新增應用程式。
  • 搜尋HubSpot SAML ,然後按一下新增。
  • 在「一般設定」畫面上,按一下完成。
  • 在應用程式的詳細資訊頁面上,按一下「登入」標籤頁。
  • 在「完成設定說明前未設定SAML 2.0」訊息下,按一下「檢視設定說明」。 這將打開一個新標籤。 保持開啟,然後返回到Okta中的原始標籤。
  • 在同一個分頁中,向下捲動至「進階登入設定」,然後在「入口網站ID」欄位中新增您的Hub ID。 了解如何存取您的Hub ID
  • 前往您的使用者設定。 將新應用程式指派給您HubSpot帳戶中的任何使用者,包括您自己。
  • 返回「檢視設定說明」分頁。 複製每個網址和憑證,並將它們貼在HubSpot的Identity Provider Identifier或Issuer URL欄位、Identity Provider Single Sign-On URL 欄位和X.509 Certificate欄位中。
  • 按一下「驗證」。系統會提示您使用Okta帳戶登入,以完成設定並儲存設定。

SSO設定完成驗證後,請前往https://app.hubspot.com/login/sso輸入電子郵件地址。 HubSpot會尋找您入口網站的單一登入設定,並將您發送至您的身份提供者進行登入。 瀏覽帳戶的直接連結時,您還會看到「使用SSO登入」按鈕。

OneLogin

請注意:您需要OneLogin執行個體中的管理權限,才能根據需要在OneLogin中建立新的SAML 2.0應用程式。

  • 登錄OneLogin。

  • 前往Apps。

  • 搜索HubSpot。

  • 按一下顯示「SAML2.0」的應用程式。

  • 在右上角,按一下儲存。

  • 按一下[設定]標籤。

  • 在HubSpot帳戶ID欄位中,新增您的Hub ID。 了解如何存取您的Hub ID

  • 按一下SSO分頁。
  • 從OneLogin複製以下欄位,並將其貼到HubSpot中SSO設定面板的相應欄位:
    • 復制Issuer URL下的值,並將其粘貼到Identity Provider Identifier或Issuer URL中。
    • 複製SAML 2.0 Endpoint (HTTP)下的值,並將其貼到Identity Provider Single Sign-on URL中。
    • 在X.509憑證下,按一下查看詳情,然後複製憑證並貼到X.509憑證中。

onelogin-sso-setup

  • 在OneLogin帳戶的右上角,按一下儲存。

SSO設定完成驗證後,請前往https://app.hubspot.com/login/sso輸入電子郵件地址。 HubSpot會尋找您入口網站的單一登入設定,並將您發送至您的身份提供者進行登入。 瀏覽帳戶的直接連結時,您還會看到「使用SSO登入」按鈕。

Azure Active Directory

對於Azure Active Directory使用者,請在Microsoft Azure Marketplace中安裝HubSpot應用程式,並按照Microsoft的指示設定整合。 這將允許您使用Azure AD來管理使用者存取權限,並使用HubSpot開啟單一登入。

SSO設定完成驗證後,請前往https://app.hubspot.com/login/sso輸入電子郵件地址。 HubSpot會查找門戶網站的單一登入設定,然後將您送至SSO供應商進行登入。 瀏覽帳戶的直接連結時,您還會看到「使用SSO登入」按鈕。

谷歌

請參閱Google的指示,了解如何設定HubSpot單一登入,並使用G-Suite作為身份提供者。

SSO設定完成驗證後,請前往https://app.hubspot.com/login/sso輸入電子郵件地址。 HubSpot會查找門戶網站的單一登入設定,然後將您送至SSO供應商進行登入。 瀏覽帳戶的直接連結時,您還會看到「使用SSO登入」按鈕。

常見問題

HubSpot使用哪種綁定作為SAML服務提供商?

HubSpot使用HTTP Post。

我正在使用Active Directory Federation Services。 我應該使用什麼作為我的信賴方信任( RPT ) ?

進一步瞭解如何使用ADFS設定單一登入
我應該在SAML應用程式中設定哪種使用者名稱格式?
 

HubSpot用戶通過電子郵件地址識別。 確保您的IDP以與其HubSpot用戶的電子郵件地址相符的電子郵件格式發送nameID。

HubSpot支持哪些簽名演算法?

請注意: 2023年3月31日之後, HubSpot將停止支援SHA-1進行新的SSO連線。 任何使用SHA-1的現有SSO連線仍可運作,直到HubSpot於2023年6月30日停止支援所有SSO連線的SHA-1。 如果您使用的是SHA-1 ,則需要在2023年6月30日之前遷移到SHA-256。

HubSpot支援SHA-1和SHA-256作為簽名演算法。 建議您使用SHA-256簽署您的請求。

我應該以哪種格式提供我的X509憑證?

HubSpot需要PEM格式的x509憑證。 您應該將PEM檔案的文字內容複製到HubSpot中的x509憑證欄位中。 此值還應包括-----BEGIN CERTIFICATE---和-----END CERTIFICATE-----。

我可以同時開啟雙因素驗證、所需的雙因素驗證、SSO和所需的SSO嗎? 

是的。當您開啟雙重驗證時,它會在使用您的HubSpot用戶名和密碼的任何登錄時啟用。 在HubSpot中啟用2FA並不會阻止您使用Google的2FA或SSO登入。 因此,如果用戶被排除在SSO要求之外,您可以要求HubSpot的2FA來確保繞過SSO的任何登錄都通過2FA或Google。

如果您為Google帳戶啟用2FA ,這將與您的HubSpot設定分開。 但是,當您使用Google帳戶登入HubSpot時, Google的2FA會保護您的HubSpot帳戶。

如果您的帳戶同時需要或啟用雙重驗證或SSO ,則會發生以下情況:

  • 如果您需要使用SSO登入帳戶,則只能使用SSO登入。  如果您使用的是新裝置,您還必須提供將透過電子郵件發送給您的驗證碼,或在啟用後使用2FA。 在您的裝置上按一下「記住我」,每六個月只接受一次2FA挑戰。
  • 如果您的帳戶需要SSO ,但您被排除在外,您可以使用2FA或Google登錄。
  • 如果您需要使用未設定SSO的2FA登入,您可以使用2FA或Google登入。
  • 如果您需要使用2FA登錄, 
  • 如果您的帳戶沒有要求,但已啟用SSO ,您可以使用任何方法登入,包括SSO。
這篇文章有幫助嗎?
此表單僅供記載意見回饋。了解如何取得 HubSpot 的協助