跳到內容
請注意::這篇文章的翻譯只是為了方便而提供。譯文透過翻譯軟體自動建立,可能沒有經過校對。因此,這篇文章的英文版本應該是包含最新資訊的管理版本。你可以在這裡存取這些內容。

使用Active Directory聯合服務(AD FS)設定單一登入(SSO)

上次更新時間: 一月 20, 2023

可与下列任何一种订阅一起使用,除非有说明:

行銷 Hub Enterprise
銷售 Hub Enterprise
Service Hub Enterprise
CMS Hub Enterprise

如果您有HubSpot企業帳戶,您可以使用Active Directory聯盟服務(AD FS)設定單一登入。 

要使用AD FS登入您的HubSpot帳戶,您必須符合以下要求:

  • Active Directory實例中的所有用戶都必須具有電子郵件地址屬性。
  • 您正在使用HubSpot Enterprise帳戶。
  • 您的伺服器正在運行Windows Server 2008、2012或2019。 

請注意設定流程應由IT管理員完成,並且有在身分提供者帳戶中建立應用程式的經驗。 進一步了解如何使用HubSpot設定SSO 。 

開始之前

在開始操作之前,請注意您的HubSpot帳戶中的以下兩個值,以使用Microsoft AD FS設定SSO :

  • 登入您的HubSpot帳戶。 
  • 在 HubSpot 帳戶中,點擊主要導覽列中的「settings設定圖示」。
  • 在左側邊欄點擊「帳戶預設值」。 
  • 按一下安全標籤。
  • 按一下設定單一登入。
  • 設定單一登入滑入面板中,按一下Microsoft AD FS
  • 在設定過程中,需要將受眾URI (服務供應商實體ID )登入網址、ACS、收件人或重定向數值添加到Microsoft AD FS中,請記得這些數值。 

ad-fs-urls

1.增加依賴方信託( RPT )

打開Active Directory聯合服務(AD FS)管理器:

  • AD FS管理器中,開啟依賴方信任(RPT)資料夾。 
  • 在右側邊欄選單中,選擇新增依賴方信任...。 
  • 在「新增依賴方信任向導」對話方塊中,按一下開始以新增RPT。 
  • 「選擇資料來源」畫面上,選擇手動輸入關於依賴方的資料。 
  • 按一下下一步>
  • 在「顯示名稱」欄位中,輸入信任名稱-這是為了內部目的,因此請務必為其命名,以便輕鬆認出。 
  • 按一下下一步>。 
  • 在「配置憑證」畫面上,保留預設設定,然後按一下下一步>
  • 選擇啟用SAML 2.0 WebSSO協定支援核取方塊。 在依賴方SAML 2.0 SSO服務網址欄位中,輸入來自HubSpot帳戶的登入網址、ACS、收件人或重定向網址。

  • 按一下下一步>。 
  • 依靠方信任標識符欄位中:
    • 從您的HubSpot帳戶中輸入受眾網址(服務供應商實體ID )值。 
    • 輸入https://api.hubspot.com ,然後按一下[新增]。 
  • 按一下下一步>。 
  • 在「選擇存取控制政策」視窗中,選擇「允許所有人」,然後按一下下一步>。 
  • 檢查你的設定,然後點擊下一步>。 
  • 按一下關閉。 

2.建立索賠規則 

在設定索賠規則之前,請確保用戶的電子郵件地址與其HubSpot用戶的電子郵件地址相符。 如果您的UPN是以電子郵件地址的形式,您可以使用其他識別碼,例如用戶主體名稱(UPN)。 要使用AD FS進行單一登入, nameID必須是電子郵件地址的形式,才能與HubSpot用戶匹配。 

  • 在「索賠規則」視窗中,按一下新增規則。 
  • 按一下申請規則範本下拉選單,然後選擇將LDAP屬性傳送為申請。 
  • 按一下下一步>。 
  • 配置聲明規則畫面上:
    • 「申請規則名稱」欄位中,輸入規則名稱。 
    • 按一下屬性商店下拉選單,然後選擇Active Directory。 
    • LDAP屬性的映射表中,映射以下內容:
      • 在「LDAP屬性」欄中,按一下下拉式選單,然後選擇電子郵件地址。 
      • 在「傳出聲明類型」欄中,按一下下拉式選單,然後選擇電郵地址。 adfs-claims-set-up
  • 按一下完成。 

接下來,設定「轉換外來索賠規則」: 

  • 按一下新增規則。 
  • 按一下索賠規則範本下拉選單,然後選擇轉換外來索賠。 
  • 按一下下一步>。 
  • 配置聲明規則畫面上:
    • 輸入申請規則名稱。 
    • 按一下「外來索賠類型」下拉式選單,然後選擇「電郵地址」。 
    • 按一下「傳出申請類型」下拉式選單,然後選擇姓名ID。 
    • 按一下傳出名稱ID格式下拉選單,然後選擇電子郵件。  
    • 按一下完成以新增規則。 
  • 按一下定以新增兩項新規則。 

3.調整信任設定

在「回覆方信任」資料夾中,從「操作」側邊欄選擇「內容」。 按一下「進階」標籤,確保指定SHA-256為安全哈希算法。 雖然SHA-256和SHA-1都支持,但建議使用SHA-256。 

4.找到您的PEM格式x509證書

若要存取您的PEM格式x509憑證:

  • 導航到AD FS管理視窗。 在左側邊欄選單中,瀏覽「服務」>「書」。 
  • 找到令牌簽署憑證。使用滑鼠右鍵按一下憑證,然後選擇查看憑證。 adfs-locate-certificate
  • 在「」對話方塊中,按一下[詳細資料]標籤。 
  • 按一下複製到檔案。 
  • 在開啟的憑證匯出視窗中,按一下下一步。 
  • 選擇Base-64編碼的X.509 (.CER) ,然後按一下下一步。 
  • 為檔案匯出一個名稱,然後按一下下一步。 
  • 按一下完成以完成匯出。 
  • 找到您剛剛匯出的檔案,並使用文字編輯器(如記事本)開啟它。 
  • 復制文件的內容。

5.在HubSpot中完成設定

  • 登入您的HubSpot帳戶。 
  • 在 HubSpot 帳戶中,點擊主要導覽列中的「settings設定圖示」。
  • 在左側邊欄點擊「帳戶預設值」。 
  • 按一下安全標籤。
  • 按一下設定單一登入。
  • 設定單一登入滑入面板中,按一下Microsoft AD FS
  • 將檔案內容貼上到「X.509憑證」 欄位。 
  • 返回您的AD FS管理器。 
  • 在左側邊欄選單中,選擇「端點」資料夾。 
  • 搜索SSO服務端點和實體網址。 SSO服務網址通常以「adfs/services/ls」結尾,而實體網址以「adfs/services/trust」結尾。
  • 返回到HubSpot。在身份提供者識別碼或發行者欄位中,輸入實體網址。
  • 「身份提供者單一登入網址」欄位中,輸入SSO服務網址。 
  • 按一下驗證。 

account-settings-adfs

請注意:如果你在HubSpot中配置單一登入時收到錯誤,請檢查裝置上的活動檢視器日誌以取得錯誤訊息。 如果您無法排除錯誤訊息,請聯絡HubSpot客戶支援。 
這篇文章有幫助嗎?
此表單僅供記載意見回饋。了解如何取得 HubSpot 的協助
/zh-tw/account/set-up-single-sign-on-sso-using-active-directory-federation-services-adfs