跳到內容
請注意::這篇文章的翻譯只是為了方便而提供。譯文透過翻譯軟體自動建立,可能沒有經過校對。因此,這篇文章的英文版本應該是包含最新資訊的管理版本。你可以在這裡存取這些內容。

設定單一登入(SSO)以存取私人內容

上次更新時間: 一月 23, 2025

可与下列任何一种订阅一起使用,除非有说明:

Service Hub   Professional , Enterprise
Content Hub   Professional , Enterprise

单点登录(SSO)是一种使用一个用户名和密码安全登录不同应用程序的方法。对私人内容使用单点登录可简化私人内容的访问,并确保只有内部访问者才能访问您的内容。

您的 IT 管理员可以在身份提供商账户(如 Google 或 Okta)中设置 HubSpot 应用程序。在身份提供商账户中有权访问 HubSpot 应用程序的组织成员可以通过 SSO 登录查看私人内容。

您可以根据 HubSpot 账户中的列表成员资格,进一步细化哪些人可以访问特定内容 。要按列表成员身份访问内容,您团队中的这些成员必须在您的 HubSpot 账户中拥有联系人记录

开始之前

在开始使用该功能之前,请务必充分了解应提前采取的步骤,以及该功能的限制和使用该功能的潜在后果。

了解要求

  • 此设置过程必须由具有在身份提供商账户中创建应用程序经验并有权在 HubSpot 中编辑网站设置的IT 管理员完成。
  • 每个身份提供商账户可为一个HubSpot托管的子域配置SSO。为获得最佳效果,建议只为 SSO 成员专用一个子域。

了解局限性和注意事项

  • 私人内容的 SSO 适用于以下类型的内容:
    • Content Hub Professional Enterprise账户可为博客、登陆页面和网站页面设置 SSO。
    • Service Hub Professional Enterprise账户可为知识库文章和客户门户设置 SSO。
  • 需要 SSO 的私人内容的通知邮件和登录页面将由身份提供商账户处理,而不是由 HubSpot 中的私人内容设置处理。
  • 需要 SSO 的私人内容不会被搜索引擎抓取,只有拥有访问权限并已登录的联系人才能查看。
  • 任何页面资产(如图片和表单)都只需要 SSO 才能作为页面的一部分访问。如果资产本身的 URL 是单独提供的,则无需SSO 即可访问。了解有关在文件工具中为资产设置 URL 可见性的更多信息。
  • 如果以前需要会员注册的域名开启了 SSO,SSO 将使用原来的会员名单。 如果再次关闭 SSO,内容将恢复为需要会员注册的相同列表。

在身份供应商账户中为 HubSpot 私有内容设置 SSO

要为 HubSpot 托管的私有内容设置 SSO,IT 管理员将为 HubSpot 内容访问创建一个新应用程序。要完成这一过程,IT 管理员将参考 HubSpot 中私人内容设置的值。

在身份供应商中添加新应用程序所需的步骤和字段可能有所不同。为私人内容设置 SSO 的一般说明概述如下。

为基于 SAML 的应用程序设置 SSO

在身份提供商账户中为 HubSpot 私有内容创建新的 SAML 应用程序:

  • 登录身份供应商账户。
  • 导航到身份提供商账户中的应用程序。
  • 在你的 HubSpot 账户中,收集新 HubSpot 应用程序所需的值:
    • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
    • 在左侧边栏菜单中,导航至内容>私有内容
    • 在页面顶部,单击 "选择要编辑的域"下拉菜单,然后选择一个子域
    • 单点登录(SSO)部分,单击 设置 SSO
    • 在右侧面板中,单击验证协议 下拉菜单并选择SAML
    • 复制受众 URL 登录 URL

set-up-sso-3

  • 在身份供应商账户中:
    • 将从 HubSpot 复制的受众 URL 登录 URL 粘贴到相应字段。
    • 复制发行方 URL单点登录 URL证书的标识符。
  • 在你的 HubSpot 账户中
    • 发行方 URL单点登录 URL证书 值粘贴到设置单点登录 面板中的相应字段
    • 单击验证

set-up-saml

验证过程完成后,您将在私人内容设置中看到单点登录已为您的域启用的确认信息。

为 OpenID Connect (OIDC) 应用程序设置 SSO

在身份提供商账户中为 HubSpot 私有内容创建新的 OpenID Connect (OIDC) 应用程序:

  • 登录身份供应商账户。
  • 导航到身份提供商账户中的应用程序。
  • 在你的 HubSpot 账户中,收集新 HubSpot 应用程序所需的值:
    • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
    • 在左侧边栏菜单中,导航至内容>私有内容
    • 在页面顶部,单击 "选择要编辑的域"下拉菜单并选择一个子域
    • 单点登录(SSO)部分,单击 设置 SSO
    • 在右侧面板中,单击身份验证协议 下拉菜单并选择OIDC
    • 单击登录重定向 URI 旁边的复制 ,将值复制到剪贴板。
  • 在身份供应商账户中,添加从登录重定向 URI 字段复制的值。然后收集以下字段的值:
      • 客户秘密
      • 客户 ID
      • 提供商授权端点
      • 提供商令牌端点
  • 在您的 HubSpot 账户中,输入您从身份提供商账户中收集的值。然后点击验证

set-up-oidc-single-sign-on

验证过程完成后,您将在私人内容设置中看到单点登录已为您的域启用的确认信息。

为基于 JWT 的应用程序设置 SSO

  • 在身份供应商账户中:
    • 在身份供应商账户中导航到应用程序。
    • 复制远程登录 URL 密钥的标识符。找到签名算法
    • 为提高安全性,复制问题、 主题 受众
  • 在你的 HubSpot 账户中,将这些值输入你的 SSO 设置:
    • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
    • 在左侧边栏菜单中,导航至内容>私人内容
    • 在页面顶部,单击 "选择要编辑的域"下拉菜单,然后选择一个子域
    • 单点登录(SSO)部分,单击 设置 SSO
    • 在右侧面板中,单击验证协议 下拉菜单并选择JWT
    • 粘贴远程登录 URL
    • 单击签名算法下拉菜单,选择身份提供商账户中的
    • 粘贴秘钥。如果使用具有公钥和私钥的非对称签名算法,秘钥将是公钥。
请注意
  • 使用公开密钥时,无需包含页眉和页脚。
  • 如果要包含页眉和页脚,请复制并粘贴以下文本,然后用公开密钥替换占位符:
    • -----开始公开密钥-----

      [你的公开密钥]

      -----END 公钥-----

    • 为提高安全性,请粘贴问题、 主题 受众。
    • 单击验证

JWT-SSO-settings-1

将打开一个窗口,显示在 SSO 设置中指定的 "远程登录 URL"。窗口中打开的 URL 将包含一个查询参数 "redirect_url",其值为正在配置的域上的 URL 和路径"_hcms/mem/jwt/verify"。

为进行验证,需要在 "远程登录 URL "上输入凭据后,向 "redirect_url "参数中指定的 URL 发出请求。该请求必须包含一个受支持的查询参数,其值必须是一个 JWT/哈希值,该值解密后在其有效载荷中包含一个 "电子邮件 "字段,其中包含一个有效的电子邮件地址。支持的查询参数有 "jwt"、"code"、"id_token "和 "access_token"。

HubSpot 将使用 SSO 设置中提供的签名算法和秘钥对 JWT/hash 进行解密。在 "远程登录 URL "页面输入有效凭证后发送的后续请求,应在身份提供商账户中进行配置。

验证过程完成后,您将在私人内容设置中看到单点登录已为您的域启用的确认信息。

验证完成后,在 "远程登录 URL "上通过验证的访问者将被发送到"_hcms/mem/jwt",并带有两个查询参数:

  • 带有哈希值的'jwt'、'code'、'id_token'或'access_token'查询参数,解密后将在电子邮件字段中包含访问者的电子邮件地址。
  • redirect_url "查询参数,用于指定访问者应访问的页面。该 URL 应与发送到 "远程登录 URL "的请求中 "redirect_url "查询参数的值相同。

排除常见的 JWT 错误

如果在为基于 JWT 的应用程序设置 SSO 时遇到问题,建议使用JWT 调试器验证 JSON 网络令牌。

验证 JWT 后,您就可以解决以下错误:

  • NO_SETTINGS:门户和域组合不返回任何 JWT 设置
  • COULD_NOT_PARSE_HEADER JWT 标头必须存在,并进行了 base64 编码
  • WRONG_TYPE_IN_HEADER:JWT 标记头有一个字段 "typ",但不等于 "jwt"。
  • ALGORITHM_MISSING_IN_HEADER:JWT 标记头中没有算法的 "alg "字段
  • none_algorithm_provided:"alg "字段等于 "none",不安全且不受支持
  • TOKEN_VERIFICATION_FAILED: 令牌可能为空、空、不正确或查询参数不支持。我们支持 "jwt"、"code"、"id_token "和 "access_token "查询参数。
  • MISSING_EMAIL_IN_TOKEN:解码后的令牌缺少一个电子邮件字段,或为空或空。
  • INVALID_KEY:密钥丢失或无效
  • INVALID_KEY_LENGTH:秘钥长度不符合所选签名算法的要求
  • PRIVATE_KEY_PROVIDED:所选签名算法要求使用公钥作为秘钥,但提供了私钥
  • INVALID_LOGIN_URL:提供的远程登录 URL 无效
  • JTI_CLAIM_INVALID:JWT 检查无法重放

要求对内容进行 SSO

通过 SSO 要求私人内容有两种选择:

  • 私人 - 需要单点登录(SSO): 您的身份提供商组织中可以访问 HubSpot 应用程序的每个人都可以通过 SSO 登录查看私人内容。
  • 私密 - 需要单点登录(SSO)并进行列表过滤:身份提供商组织中同时拥有特定HubSpot 列表会员资格 的个人可以通过 SSO 登录查看私密内容。这些个人必须能够访问身份提供商账户(如 Okta 或 Google)中的 HubSpot 应用程序,但他们不需要是 HubSpot 账户中的用户。

博客需要 SSO

您可以要求在身份提供商账户中连接的子域上托管的博客使用 SSO。为特定博客开启 SSO 会影响该博客上发布的所有博文。无法为特定博文要求 SSO。

请注意: 如果您要求对已包含会员注册的私人内容的博客进行 SSO,则这些联系人将无法再访问该博客。

为博客设置 SSO:

  • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
  • 在左侧边栏菜单中,导航至内容 > 博客
  • 在左上角,单击 "选择要修改的博客"下拉菜单,然后选择托管在身份提供商设置的子域上的博客
  • 控制受众访问部分,设置 SSO:
    • 选择"专用"--需要单点登录(SSO),以便向身份提供商组织中可访问 HubSpot 应用程序的每个人授予访问权限。
    • 选择"专用"-- 需要单点登录并进行列表过滤,以向身份提供商账户中可访问 HubSpot 应用程序特定列表成员资格的个人授予访问权限。然后选择您希望访问此内容的列表
  • 在左下角单击保存

要求登陆页面或网站页面使用 SSO

您可以要求在身份提供商账户中连接的子域上托管的登陆页面或网站页面使用 SSO。

请注意: 如果会员注册时已将登陆页面或网站页面设置为私人内容,而您又要求对其进行 SSO,则这些联系人将无法再访问该页面。

为特定页面设置 SSO:
  • 导航至您的内容:

    • 网站页面:在你的 HubSpot 帳戶中,瀏覽「內容」>「網站頁面」。
    • 登陆页面:在你的 HubSpot 帳戶中,瀏覽「內容」>「登陸頁面」。
  • 选择任何需要 SSO 的页面旁边的复选框
  • 在表格顶部,单击 "更多 "下拉菜单并选择 "控制受众访问"。
  • 在右侧面板中,为所选页面设置 SSO,然后单击保存
    • 选择"专用--需要单点登录",向身份提供商组织中访问 HubSpot 应用程序的每个人授予访问权限。
    • 选择"专用"-- 需要单点登录并进行列表过滤,以向身份提供商账户中可访问 HubSpot 应用程序特定列表成员资格的个人授予访问权限。然后选择您希望访问此内容的特定列表

要求对特定知识库文章进行 SSO

您可以为您在身份提供商账户中连接的子域上托管的特定知识库文章设置 SSO。

请注意: 如果您要求对知识库文章进行 SSO,而该文章已通过会员注册设置为私人内容,则这些联系人将无法再访问该文章。

为特定知识库文章设置 SSO:

  • 在你的 HubSpot 帳戶中,瀏覽「內容」>「知識庫」。
  • 单击 "文章"选项卡。
  • 选择任何需要 SSO 的文章旁边的复选框
  • 在表格顶部,单击控制受众访问
  • 在右侧面板中,为这些文章设置 SSO,然后单击保存
    • 选择"私有 - 需要单点登录",向身份提供商组织中访问 HubSpot 应用程序的每个人授予访问权限。
    • 选择"专用"-- 需要单点登录并进行列表过滤,以向身份提供商账户中可访问 HubSpot 应用程序特定列表成员资格的个人授予访问权限。然后选择您希望访问此内容的特定列表

您还可以在文章编辑器的 "设置"选项卡中控制受众对特定文章的访问权限。

要求对所有知识库文章进行 SSO

您还可以为您在身份提供商账户中连接的子域上托管的特定知识库的所有知识库文章设置 SSO。

  • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
  • 在左侧边栏菜单中,导航至内容>知识库
  • 如果有多个知识库,请单击当前视图 部分的第一个下拉菜单 ,然后选择一个知识库。这将是带有业务单元附加组件的账户中的第二个下拉菜单。
  • 在 "访问控制 "部分,选择 "需要单点登录(SSO)"。
  • 在左下角,单击保存

关闭私人内容的 SSO

关闭私人内容的 SSO 会对内容产生不同的影响,具体取决于您选择的设置。

  • 设置为 "私密 - 需要单点登录 "的内容将变为公开内容。
  • 设置为 "非公开--需要单点登录 "并带有列表过滤功能的内容将无法访问。

为了在关闭 SSO 时保持私人内容的私密性,HubSpot 建议将私人内容的受众访问权限更改为 "私人"--需要单点登录并带有列表过滤功能。然后,您可以将此内容的受众访问权限更改为需要CMS 会员注册

关闭私人内容的 SSO:

  • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
  • 在左侧边栏菜单中,导航至内容 > 私有内容
  • 在设置顶部,单击 "选择要编辑的域"下拉菜单并选择一个
  • 单点登录(SSO)部分,单击 管理 SSO
  • 在面板底部,单击关闭SSO 启用开关。
這篇文章有幫助嗎?
此表單僅供記載意見回饋。了解如何取得 HubSpot 的協助