使用Active Directory聯合服務(AD FS)設定單一登入(SSO)
上次更新時間: 一月 20, 2023
可与下列任何一种订阅一起使用,除非有说明:
|
|
|
|
如果您有HubSpot企業帳戶,您可以使用Active Directory聯盟服務(AD FS)設定單一登入。
要使用AD FS登入您的HubSpot帳戶,您必須符合以下要求:
- Active Directory實例中的所有用戶都必須具有電子郵件地址屬性。
- 您正在使用HubSpot Enterprise帳戶。
- 您的伺服器正在運行Windows Server 2008、2012或2019。
請注意:設定流程應由IT管理員完成,並且有在身分提供者帳戶中建立應用程式的經驗。 進一步了解如何使用HubSpot設定SSO 。
開始之前
在開始操作之前,請注意您的HubSpot帳戶中的以下兩個值,以使用Microsoft AD FS設定SSO :
- 登入您的HubSpot帳戶。
- 在 HubSpot 帳戶中,點擊主要導覽列中的「settings設定圖示」。
- 在左側邊欄點擊「帳戶預設值」。
- 按一下安全標籤。
- 按一下設定單一登入。
- 在設定單一登入滑入面板中,按一下Microsoft AD FS。
- 在設定過程中,需要將受眾URI (服務供應商實體ID )和登入網址、ACS、收件人或重定向數值添加到Microsoft AD FS中,請記得這些數值。
1.增加依賴方信託( RPT )
打開Active Directory聯合服務(AD FS)管理器:
- 在AD FS管理器中,開啟依賴方信任(RPT)資料夾。
- 在右側邊欄選單中,選擇新增依賴方信任...。
- 在「新增依賴方信任向導」對話方塊中,按一下開始以新增RPT。
- 在「選擇資料來源」畫面上,選擇手動輸入關於依賴方的資料。
- 按一下下一步>。
- 在「顯示名稱」欄位中,輸入信任名稱-這是為了內部目的,因此請務必為其命名,以便輕鬆認出。
- 按一下下一步>。
- 在「配置憑證」畫面上,保留預設設定,然後按一下下一步>。
- 選擇啟用SAML 2.0 WebSSO協定支援核取方塊。 在依賴方SAML 2.0 SSO服務網址欄位中,輸入來自HubSpot帳戶的登入網址、ACS、收件人或重定向網址。

- 按一下下一步>。
- 在依靠方信任標識符欄位中:
- 從您的HubSpot帳戶中輸入受眾網址(服務供應商實體ID )值。
- 輸入https://api.hubspot.com ,然後按一下[新增]。
- 按一下下一步>。
- 在「選擇存取控制政策」視窗中,選擇「允許所有人」,然後按一下下一步>。
- 檢查你的設定,然後點擊下一步>。
- 按一下關閉。
2.建立索賠規則
在設定索賠規則之前,請確保用戶的電子郵件地址與其HubSpot用戶的電子郵件地址相符。 如果您的UPN是以電子郵件地址的形式,您可以使用其他識別碼,例如用戶主體名稱(UPN)。 要使用AD FS進行單一登入, nameID必須是電子郵件地址的形式,才能與HubSpot用戶匹配。
- 在「索賠規則」視窗中,按一下新增規則。
- 按一下申請規則範本下拉選單,然後選擇將LDAP屬性傳送為申請。
- 按一下下一步>。
- 在配置聲明規則畫面上:
- 在「申請規則名稱」欄位中,輸入規則名稱。
- 按一下屬性商店下拉選單,然後選擇Active Directory。
- 在LDAP屬性的映射表中,映射以下內容:
- 在「LDAP屬性」欄中,按一下下拉式選單,然後選擇電子郵件地址。
- 在「傳出聲明類型」欄中,按一下下拉式選單,然後選擇電郵地址。
- 按一下完成。
接下來,設定「轉換外來索賠規則」:
- 按一下新增規則。
- 按一下索賠規則範本下拉選單,然後選擇轉換外來索賠。
- 按一下下一步>。
- 在配置聲明規則畫面上:
- 輸入申請規則名稱。
- 按一下「外來索賠類型」下拉式選單,然後選擇「電郵地址」。
- 按一下「傳出申請類型」下拉式選單,然後選擇姓名ID。
- 按一下傳出名稱ID格式下拉選單,然後選擇電子郵件。
- 按一下完成以新增規則。
- 按一下確定以新增兩項新規則。
3.調整信任設定
在「回覆方信任」資料夾中,從「操作」側邊欄選擇「內容」。 按一下「進階」標籤,確保指定SHA-256為安全哈希算法。 雖然SHA-256和SHA-1都支持,但建議使用SHA-256。
4.找到您的PEM格式x509證書
若要存取您的PEM格式x509憑證:
- 導航到AD FS管理視窗。 在左側邊欄選單中,瀏覽「服務」>「證書」。
- 找到令牌簽署憑證。使用滑鼠右鍵按一下憑證,然後選擇查看憑證。
- 在「」對話方塊中,按一下[詳細資料]標籤。
- 按一下複製到檔案。
- 在開啟的憑證匯出視窗中,按一下下一步。
- 選擇Base-64編碼的X.509 (.CER) ,然後按一下下一步。
- 為檔案匯出一個名稱,然後按一下下一步。
- 按一下完成以完成匯出。
- 找到您剛剛匯出的檔案,並使用文字編輯器(如記事本)開啟它。
- 復制文件的內容。
5.在HubSpot中完成設定
- 登入您的HubSpot帳戶。
- 在 HubSpot 帳戶中,點擊主要導覽列中的「settings設定圖示」。
- 在左側邊欄點擊「帳戶預設值」。
- 按一下安全標籤。
- 按一下設定單一登入。
- 在設定單一登入滑入面板中,按一下Microsoft AD FS。
- 將檔案內容貼上到「X.509憑證」 欄位。
- 返回您的AD FS管理器。
- 在左側邊欄選單中,選擇「端點」資料夾。
- 搜索SSO服務端點和實體網址。 SSO服務網址通常以「adfs/services/ls」結尾,而實體網址以「adfs/services/trust」結尾。
- 返回到HubSpot。在身份提供者識別碼或發行者欄位中,輸入實體網址。
- 在「身份提供者單一登入網址」欄位中,輸入SSO服務網址。
- 按一下驗證。
請注意:如果你在HubSpot中配置單一登入時收到錯誤,請檢查裝置上的活動檢視器日誌以取得錯誤訊息。 如果您無法排除錯誤訊息,請聯絡HubSpot客戶支援。
相關內容
-
HubSpot用戶權限指南
擁有「新增與編輯」使用者權限的HubSpot使用者,可在其HubSpot帳戶中自訂新使用者和現有使用者的權限。如果用戶正在為擁有付費座位的用戶自訂權限,則他們還必須擁有修改帳單 權限。 您還可以限制對屬性的編輯存取權限,
知識庫 -
雙重驗證|常見問題
尋找有關HubSpot雙因素驗證(2FA)方法的常見問題的答案。 如果我的2FA裝置遺失,會發生什麼事? 如果您丟失了2FA裝置,並使用HubSpot行動應用程式作為唯一...
知識庫 -
安裝HubSpot行動應用程式
HubSpot行動應用程式允許您隨時隨地使用HubSpot的CRM工具。 您可以直接從行動裝置檢視和編輯記錄、打電話、管理行銷電子郵件,以及使用對話收件匣。 HubSpot行動應用程式可以安裝在執行iOS ...
知識庫