Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten (2024)

Zuletzt aktualisiert am: Januar 29, 2024

Wenn Sie einen HubSpotEnterpriseAccount haben, können Sie Single Sign-On mit Active Directory Federation Services (AD FS) einrichten.

Um sich mit AD FS bei Ihrem HubSpot Account anzumelden, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Alle Benutzer in Ihrer Active Directory-Instanz müssen über ein E-Mail-Adressenattribut verfügen.
  • Sie verwenden einen HubSpot Enterprise Account.
  • Sie haben einen Server mit Windows Server 2008, 2012 oder 2019.

Bitte beachten Sie:tDieser Einrichtungsprozess sollte von einem IT-Administrator durchgeführt werden, der Erfahrung mit der Erstellung von Anwendungen in Ihrem Identity Provider Account hat. Erfahren Sie mehr überund die Einrichtung von SSO mit HubSpot.

Vor dem Start

Bevor Sie beginnen, notieren Sie sich die folgenden beiden Werte aus Ihrem HubSpot Account, um SSO mit Microsoft AD FS einzurichten:

  • Melden Sie sich bei Ihrem HubSpot-Account an.
  • Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
  • Klicken Sie in der linken Seitenleiste aufAccount Defaults.
  • Klicken Sie auf die Registerkarte„Sicherheit“.
  • Klicken Sie aufSingle Sign-on einrichten.
  • Klicken Sie im EinblendmenüSingle Sign-on einrichtenaufMicrosoft AD FS.
  • Notieren Sie sich sowohl die WerteAudience URI (Service Provider Entity ID)als auchSign on URL, ACS, Recipient oder Redirect, da Sie diese während des Einrichtungsprozesses zu Microsoft AD FS hinzufügen müssen.

Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten (1)

1.Hinzufügen eines Relying Party Trust (RPT)

Öffnen Sie Ihren Active Directory Federation Services (AD FS) Manager:

  • Öffnen Sie in IhremAD FSManager den OrdnerRelying Party Trusts (RPT).
  • Wählen Sie im rechten Seitenleistenmenü „Add Relying Party Trust..“ aus.
  • Klicken Sie im Dialogfeld„Add Relying Party Trust Wizard“auf „Start“, um einen neuen Replying Party Trust hinzuzufügen.
  • Wählen Sie im Bildschirm„Select Data Source“ die Option „Enter data about the relying party manually“ aus.
  • Klicken Sie auf„Next >“.
  • Geben Sie in das Feld„Display name“einen Namen für Ihre Vertrauensstellung ein. Dies ist für interne Zwecke wichtig. Wählen Sie daher einen leicht zu merkenden Namen aus.
  • Klicken Sie auf„Next >“.
  • Wählen Sie im Bildschirm„Configure Certificate“die angezeigten Standardeinstellungen aus und klicken Sie dann auf „Next >“.
  • Aktivieren Sie das Kontrollkästchen„Enable Support for the SAML 2.0 WebSSO protocol“. Geben Sie in das FeldRelying party SAML 2.0 SSO service URL dieSign on URL, ACS, Recipient oder Redirect URL von Ihrem HubSpot Account ein.
Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten (2)
  • Klicken Sie auf„Next >“.
  • Gehen Sie im Feld„Relying party trust identifier“folgendermaßen vor:
    • Geben Sie den WertAudience URI (Service Provider Entity ID) aus Ihrem HubSpot Account ein.
    • Geben Sie „https://api.hubspot.com“ ein und klicken Sie dann auf „Add“.
  • Klicken Sie auf„Next >“.
  • Wählen Sie im Fenster„Choose an access control policy“die Option„Permit everyone“ aus und klicken Sie dann auf„Next >“.
  • Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf„Next >“.
  • Klicken Sie auf „Close“.

2. Anspruchsregeln erstellen

Bevor Sie Ihre Claims-Regel einrichten, stellen Sie sicher, dass die E-Mail-Adressen Ihrer Benutzer mit den E-Mail-Adressen der HubSpot-Benutzer übereinstimmen. Sie können andere IDs wie den Benutzerprinzipalnamen verwenden, wenn Ihre Benutzerprinzipalnamen in Form einer E-Mail-Adresse vorliegen. Damit Single Sign-On mit AD FS funktioniert, muss die nameID in Form einer E-Mail-Adresse vorliegen, um mit einem HubSpot-Benutzer übereinstimmen zu können.

  • Klicken Sie im Fenster „Claims Rule“auf „Add Rule“.
  • Klicken Sie auf das Dropdown-Menü „Claim rule template“und wählen Sie „Send LDAP Attributes as Claims“ aus.
  • Klicken Sie auf„Next >“.
  • Gehen Sie im Bildschirm „Configure Claim Rule“folgendermaßen vor:
    • Geben Sie im Feld„Claim rule name“einen Regelnamen ein.
    • Klicken Sie auf das Dropdown-Menü „Attribute store“und wählen Sie „Active Directory“ aus.
    • Nehmen Sie in der Tabelle „Mapping of LDAP attributes“folgende Zuordnungen zu:
      • Klicken Sie in der Spalte „LDAP Attribute“ auf das Dropdown-Menüund wählen Sie „Email Addresses“ aus.
      • Klicken Sie in der Spalte Outgoing ClaimTypeauf das Dropdown-Menü und wählen SieEmail Address.Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten (3)
  • Klicken Sie auf„Finish“.

Legen Sie als Nächstes die Regel „Transform an Incoming Claim“ fest:

  • Klicken Sie auf „Add Rule“.
  • Klicken Sie auf das Dropdown-Menü „Claim rule template“ und wählen Sie „Transform an Incoming Claim“ aus.
  • Klicken Sie auf„Next >“.
  • Gehen Sie im Bildschirm „Configure Claim Rule“folgendermaßen vor:
    • Geben Sie eine Fallregel ein name.
    • Klicken Sie auf das Dropdown-Menü„Incoming claim type“und wählen Sie „E-Mail Address“ aus.
    • Klicken Sie auf das Dropdown-Menü„Outgoing claim type“und wählen Sie „Namen ID“ aus.
    • Klicken Sie auf das Dropdown-Menü „Outgoing name ID format“und wählen Sie „Email (Email“ aus.
    • Klicken Sie auf „Finish“, um die neue Regel hinzuzufügen.
  • Klicken Sie aufOK, um beide neuen Regeln hinzuzufügen.

3. Vertrauenseinstellungen anpassen

Wählen Sie im Ordner „Replying Party Trusts“ die Option „Properties“ im Seitenleistenmenü„Actions“aus. Klicken Sie auf die Registerkarte„Advanced“und stellen Sie sicher, dass„SHA-256“als sicherer Hash-Algorithmus festgelegt ist. Obwohl sowohl SHA-256 als auch SHA-1 unterstützt werden, wird SHA-256 empfohlen.

4. Suchen Sie Ihr x509-Zertifikat im PEM-Format

So greifen Sie auf Ihr x509-Zertifikat im PEM-Format zu:

  • Navigieren Sie zum Fenster der AD FS-Verwaltung. Navigieren Sie im linken Seitenleistenmenü zu „Services“ > „Certificates“.
  • Suchen Sie das Zertifikat „Token signing“. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen SieZertifikat anzeigen.Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten (4)
  • Klicken Sie in dem Dialogfeld auf die RegisterkarteDetails.
  • Klicken Sie auf „Copy to File“.
  • Klicken Sie imFenster zum Exportieren des Zertifikatsauf „Next“.
  • Wählen Sie „Base-64-codiert X.509“ aus und klicken Sie dann auf „Next“.
  • Geben Sie Ihrem Dateiexport einen Namen und klicken Sie auf „Next“.
  • Klicken Sie aufFertigstellen, um den Export abzuschließen.
  • Suchen Sie die Datei, die Sie gerade exportiert haben, und öffnen Sie sie mit einem Texteditor, zum Beispiel mit Editor.
  • Kopieren Sie den Inhalt der Datei.

5. Vervollständigen Sie Ihre Einrichtung in HubSpot

  • Melden Sie sich bei Ihrem HubSpot-Account an.
  • Klicken Sie in Ihrem HubSpot-Account in der Hauptnavigationsleiste auf das settings Zahnradsymbol, um die Einstellungen aufzurufen.
  • Klicken Sie in der linken Seitenleiste aufAccount Defaults.
  • Klicken Sie auf die Registerkarte„Sicherheit“.
  • Klicken Sie aufSingle Sign-on einrichten.
  • Klicken Sie im EinblendmenüSingle Sign-on einrichtenaufMicrosoft AD FS.
  • Fügen Sie den Inhalt der Datei in das Feld X.509 Zertifikatein.
  • Kehren Sie zu Ihrem AD FS-Manager zurück.
  • Wählen Sie im Seitenleistenmenü den Ordner „Endpoints“ aus.
  • Suchen Sie nach dem Endpunkt des SSO-Dienstes und der URL der Entität. Die URL des SSO-Dienstes endet normalerweise auf "adfs/services/ls" und die URL der Entität auf "adfs/services/trust".
  • Kehren Sie zu HubSpot zurück. Geben Sie in das FeldIdentity provider Identifier oder Issuerdie URL der Entität ein.
  • Geben Sie in das FeldIdentity Provider Single Sign-On URLdie URL des SSO-Dienstes ein.
  • Klicken Sie auf „Verifizieren“.

Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten (5)

Bitte beachten Sie: Wenn Sie bei der Konfiguration von Single Sign-On in HubSpot einen Fehler erhalten, überprüfen Sie die Ereignisanzeigeprotokolle auf Ihrem Gerät auf die Fehlermeldung. Wenn Sie die Fehlermeldung nicht beheben können, wenden Sie sich an HubSpot Support.

Single-Sign-On (SSO) mithilfe von Active Directory Federation Services (ADFS) einrichten (2024)
Top Articles
Latest Posts
Article information

Author: Domingo Moore

Last Updated:

Views: 6008

Rating: 4.2 / 5 (53 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Domingo Moore

Birthday: 1997-05-20

Address: 6485 Kohler Route, Antonioton, VT 77375-0299

Phone: +3213869077934

Job: Sales Analyst

Hobby: Kayaking, Roller skating, Cabaret, Rugby, Homebrewing, Creative writing, amateur radio

Introduction: My name is Domingo Moore, I am a attractive, gorgeous, funny, jolly, spotless, nice, fantastic person who loves writing and wants to share my knowledge and understanding with you.