跳到內容
請注意::這篇文章的翻譯只是為了方便而提供。譯文透過翻譯軟體自動建立,可能沒有經過校對。因此,這篇文章的英文版本應該是包含最新資訊的管理版本。你可以在這裡存取這些內容。

使用Active Directory同盟服務(AD FS)設定單一登入(SSO)

上次更新時間: 一月 29, 2024

可与下列任何一种订阅一起使用,除非有说明:

行銷 Hub Enterprise
銷售 Hub Enterprise
Service Hub Enterprise
CMS Hub Enterprise

如果您有HubSpot Enterprise帳戶,可以使用Active Directory同盟服務(AD FS)設定單一登入。 

若要使用AD FS登入您的HubSpot帳戶,您必須符合以下要求:

  • Active Directory執行個體中的所有使用者都必須具有電子郵件地址屬性。
  • 您正在使用HubSpot Enterprise帳戶。
  • 您的伺服器執行Windows Server 2008、2012或2019。 

請注意:此設定過程應由具備在身份提供者帳戶中建立應用程式經驗的IT管理員完成。 深入瞭解如何使用HubSpot設定SSO。 

在您開始之前

開始之前,請注意HubSpot帳戶中的以下兩個值,以便使用Microsoft AD FS設定SSO :

  • 登入您的HubSpot帳戶。 
  • 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
  • 按一下左側邊欄的「帳戶預設值」。 
  • 按一下「安全性」索引標籤。
  • 按一下「設定單一登入」。
  • 在設定單一登入滑入式面板中,按一下Microsoft AD FS。
  • 請注意受眾URI (服務提供者實體ID)和登入URL、ACS、收件者或重新導向值,因為您需要在設定過程中將其新增到Microsoft AD FS。 

ad-fs-urls

1.新增信賴方信任(RPT)

開啟Active Directory同盟服務(AD FS)管理員:

  • 在AD FS管理員中,開啟信賴憑證方信任(RPT)資料夾。 
  • 在右側邊欄選單中,選取「新增信賴憑證方信任...」。 
  • 在「新增信賴憑證方信任精靈」對話方塊中,按一下開始以新增RPT。 
  • 在「選擇資料來源」畫面上,選取手動輸入有關信賴方的資料。 
  • 按一下下一步>。
  • 在「顯示名稱」欄位中,輸入您信任的名稱-這是供內部使用的,因此請務必將其命名為易於識別的名稱。 
  • 按一下下一步>。 
  • 在「設定憑證」畫面上,保留預設設定,然後按下一步>。
  • 選取[啟用SAML 2.0 WebSSO通訊協定支援]核取方塊。 在信賴方SAML 2.0 SSO服務網址欄位中,從您的HubSpot帳戶輸入登入網址、ACS、收件人或重新導向網址。

  • 按一下下一步>。 
  • 在「信賴方信任識別碼」欄位中:
    • 從您的HubSpot帳戶輸入受眾URI (服務提供者實體ID )值。 
    • 輸入https://api.hubspot.com ,然後按一下「新增」。 
  • 按一下下一步>。 
  • 在「選擇存取控制政策」視窗中,選取「允許所有人」,然後點擊「下一步」>。 
  • 檢查設定,然後點擊下一步>。 
  • 按一下關閉。 

2.建立索賠規則 

在設定索賠規則之前,請確保用戶的電子郵件地址與HubSpot用戶的電子郵件地址相符。 如果您的UPN是電子郵件地址的形式,您可以使用其他識別碼,例如使用者主體名稱(UPN)。 若要使用AD FS進行單一登入, nameID必須採用電子郵件地址的形式,才能與HubSpot使用者相符。 

  • 在「索賠規則」視窗中,點擊「新增規則」。 
  • 點擊「聲明規則範本」下拉式選單,然後選取「以聲明方式傳送LDAP屬性」。 
  • 按一下下一步>。 
  • 在「設定索賠規則」畫面上:
    • 在「領取規則名稱」欄位中,輸入規則名稱。 
    • 按一下「屬性儲存區」下拉式功能表,然後選取Active Directory。 
    • 在LDAP屬性對映表中,對映以下內容:
      • 在「LDAP屬性」欄中,按一下下拉式選單,然後選擇電子郵件地址。 
      • 在傳出ClaimType欄中,點擊下拉式選單,然後選擇電子郵件地址。 adfs-claims-set-up
  • 按一下完成。 

接下來,設定「轉換外來索賠」規則: 

  • 按一下新增規則。 
  • 點擊「索賠規則範本」下拉式選單,然後選擇「轉換外來索賠」。 
  • 按一下下一步>。 
  • 在「設定索賠規則」畫面上:
    • 輸入理賠規則名稱。 
    • 按一下「收到的索賠類型」下拉式選單,然後選取「電子郵件地址」。 
    • 點擊傳出索賠類型下拉式選單,然後選擇名稱ID。 
    • 點擊傳出名稱ID格式下拉式選單,然後選擇電子郵件。 
    • 按一下「完成」以新增新規則。 
  • 按一下「確定」以新增兩項新規則。 

3.調整信任設定

在回覆方信任資料夾中,從操作側邊欄功能表中選擇屬性。 按一下進階索引標籤,並確認SHA-256已指定為安全雜湊演算法。 雖然同時支援SHA-256和SHA-1 ,但建議使用SHA-256。 

4.找到您的PEM格式x509證書

若要存取PEM格式的x509證書,請按照以下步驟操作:

  • 導覽至AD FS管理視窗。 在左側邊欄選單中,前往「服務」>「憑證」。 
  • 找到權杖簽署憑證。 使用滑鼠右鍵按一下憑證,然後選取檢視憑證。 adfs-locate-certificate
  • 在對話框中,單擊詳細信息選項卡。 
  • 按一下複製到檔案。 
  • 在打開的憑證匯出視窗中,單擊下一步。 
  • 選擇Base-64編碼X.509 ( .CER ) ,然後按一下下一步。 
  • 為檔案匯出命名,然後按一下下一步。 
  • 按一下「完成」以完成匯出。 
  • 找到剛剛匯出的檔案,然後使用文字編輯器(如記事本)開啟它。 
  • 復制文件的內容。

5.在HubSpot中完成設定

  • 登入您的HubSpot帳戶。 
  • 在你的 HubSpot 帳戶中,點擊主導覽列中的settings「設定圖示」。
  • 按一下左側邊欄的「帳戶預設值」。 
  • 按一下「安全性」索引標籤。
  • 按一下「設定單一登入」。
  • 在設定單一登入滑入式面板中,按一下Microsoft AD FS。
  • 將檔案的內容貼到X.509憑證 欄位。 
  • 返回到您的AD FS經理。 
  • 在左側邊欄選單中,選擇端點資料夾。 
  • 搜尋SSO服務端點和實體URL。 SSO服務URL通常以「adfs/services/ls」結尾,實體URL以「adfs/services/trust」結尾。
  • 返回HubSpot。在識別提供者識別碼或簽發者欄位中,輸入實體URL。
  • 在Identity Provider Single Sign-On URL欄位中,輸入SSO服務URL。 
  • 按一下「驗證」。 

account-settings-adfs

請注意:如果您在HubSpot中設定單一登入時收到錯誤,請檢查裝置上的活動檢視器日誌,以查看錯誤訊息。 如果您無法排除錯誤訊息的疑難排解,請聯絡HubSpot支援。 

這篇文章有幫助嗎?
此表單僅供記載意見回饋。了解如何取得 HubSpot 的協助