לכל המאמרים ←

איך מקימים Single Sign-On (SSO) ב-HubSpot (2026)

מדריך מעשי ל-SSO ב-HubSpot - איך זה עובד, למה זה חשוב לאבטחה ולממשל, ומה לוודא שאתם עושים נכון לפני שאתם מדליקים את זה.

Single sign-on נשמע כמו פיצ'ר של נוחות. הוא בעצם בקרת אבטחה וממשל. SSO מאפשר לצוות שלכם להתחבר ל-HubSpot דרך ספק הזהויות המרכזי שלכם במקום סיסמה נפרדת - מה שאומר שהגישה ניתנת ונשללת ממקום אחד, נאכפת לפי כללי האבטחה של החברה שלכם. ההטבה של "להתחבר פעם אחת" אמיתית, אבל הסיבה שזה חשוב היא שליטה: כשמישהו עוזב, מתג אחד מסיר את הגישה שלו בכל מקום, במקום לקוות שמישהו יזכור את ה-CRM. הנה נקודת המבט המעשית על מה ש-SSO עושה ואיך מקימים אותו בלי לנעול את עצמכם בחוץ.

מהו single sign-on ואיך הוא עובד ב-HubSpot?

SSO מאפשר למשתמשים להתחבר ל-HubSpot באמצעות ספק הזהויות שלכם - כמו Microsoft Entra, Google Workspace או Okta - כך שהם מאמתים את עצמם פעם אחת עם חשבון החברה שלהם במקום סיסמה ייעודית ל-HubSpot. ספק הזהויות (ה-IdP) מחזיק את הפרטים ואת הכללים; HubSpot סומכת עליו לאשר מי מישהו. כשמשתמש ניגש להתחבר, HubSpot מעבירה ל-IdP, ה-IdP מאמת אותו (כולל כל דרישת multi-factor), ו-HubSpot מכניסה אותו. המשתמש מקבל סיסמה אחת פחות לנהל. העסק שלכם מקבל מקום אחד שמחליט מי מורשה להיכנס - וזה החלק שבאמת חשוב.

למה SSO חשוב לאבטחה ולממשל?

כי הוא מעביר את בקרת הגישה מ-HubSpot למערכת הזהויות המרכזית שלכם, שם אתם יכולים לאכוף אימות חזק ולשלול גישה מיידית בכל הכלים בבת אחת. בלי SSO, HubSpot היא אי: סיסמאות משלה, התחברות משלה, שלב offboarding משלה שקל לשכוח. עם SSO, הכללים של החברה שלכם חלים - multi-factor חובה, מדיניות סיסמאות, conditional access - וביום שמישהו עוזב, השבתת החשבון המרכזי שלו נועלת אותו גם מחוץ ל-HubSpot. דוגמה מהשטח: עובד עזב חברה שלא השתמשה ב-SSO. ה-IT השבית את המייל והמחשב הנייד שלו באותה שעה, אבל ההתחברות שלו ל-HubSpot נשארה פעילה במשך שבועות כי אף אחד לא סגר אותה בנפרד - דלת חיה לתוך דאטת לקוחות שאף אחד לא שמר עליה. עם SSO, הדלת הזו הייתה נסגרת אוטומטית. SSO הופך את ה-offboarding מ-checklist לפעולה אחת.

מה צריך לפני שמדליקים SSO?

אתם צריכים ספק זהויות, את התוכנית הנכונה של HubSpot, admin ששומר גישת גיבוי, ותצורה בדוקה - מוקמים בסדר הזה כדי שלא תנעלו את עצמכם בחוץ. הנה ה-checklist הקצר:

  • ספק זהויות שתומך ב-SAML - Entra ID, Okta, Google Workspace או דומה.
  • תוכנית HubSpot שכוללת SSO - זו יכולת ברמת Enterprise, אז תוודאו שהמנוי שלכם מכסה אותה.
  • super admin עם דרך גיבוי פנימה - תשמרו לפחות admin אחד שעדיין יכול להיכנס אם חיבור ה-SSO נשבר, כך שתצורה שגויה לא תנעל את כולם בחוץ.
  • בדיקה עם משתמש פיילוט לפני שאתם דורשים SSO מכולם - תוודאו שההעברה עובדת מקצה לקצה קודם.

הסדר חשוב: להגדיר ולבדוק עם רשת ביטחון, ואז לאכוף. להפעיל "require SSO" לפני שבדקתם זו הדרך שבה צוותים נועלים את עצמם מחוץ ל-CRM של עצמם.

איך מטמיעים SSO בלי לשבש את הצוות?

תגדירו אותו, תבדקו אותו עם קבוצה קטנה, ואז תהפכו אותו לחובה - ותשמרו נתיב התאוששות מתועד לאורך כל הדרך. תחברו את HubSpot ל-IdP שלכם ותוודאו שהאישור (certificate) וכתובות ה-login תואמים בשני הצדדים. תבדקו עם משתמש פיילוט ותראו סבב התחברות מלא מצליח. רק אז תדליקו את הדרישה שכולם ישתמשו ב-SSO. לאורך כל הדרך, תשמרו חשבון admin של "שבירת זכוכית" (break-glass) ותכתבו בדיוק איך לשחזר גישה אם חיבור ה-IdP נכשל. זה הסדר שאנחנו עוקבים אחריו עם לקוחות: לבנות את החיבור, להוכיח שהוא עובד, לאכוף אותו, ותמיד להשאיר לעצמכם דרך חזרה פנימה. SSO היא בקרה עוצמתית, ובקרות עוצמתיות ראויות לפתח מילוט בדוק.

נקודת המבט של IV-Lead

SSO היא אחת מאותן הגדרות שמתויקות תחת "נוחות" וצריכות להיות מתויקות תחת "ממשל". החוויה של "להתחבר פעם אחת" נחמדה, אבל הערך האמיתי הוא שהגישה חיה במקום אחד: קבוצת כללים אחת, פעולת offboarding אחת, מקור אמת אחד לגבי מי יכול לראות את דאטת הלקוחות שלכם. לכל צוות שמעבר לקומץ אנשים, בעיית ההתחברות היתומה - חשבונות שנשארים פעילים הרבה אחרי שמישהו עזב - היא פרצת אבטחה אמיתית, ו-SSO סוגרת אותה בצורה נקייה. הסיכון האמיתי היחיד הוא לנעול את עצמכם בחוץ במהלך ההקמה, וזה לגמרי נמנע עם admin גיבוי ובדיקת פיילוט. אם אתם בתוכנית שכוללת את זה ואתם לא משתמשים בזה, שווה לתקן את זה. תתייחסו ל-SSO כחלק מבסיס האבטחה שלכם, ולא כ-nice-to-have.

רוצים SSO מוקם בלי הסיכון לנעול את עצמכם בחוץ? תקבעו אודיט פורטל של 30 דקות - נסקור את הגישה והממשל שלכם ונגיד לכם מה להדק קודם. לתמונה הרחבה יותר, ראו איך אנחנו ניגשים להטמעה ואופטימיזציה של HubSpot.

שאלות נפוצות

איזו תוכנית HubSpot אני צריך ל-SSO?
SSO היא יכולת ברמת Enterprise ב-HubSpot. תוודאו שהמנוי הספציפי שלכם כולל אותה לפני שאתם מתכננים הטמעה, כי הזמינות תלויה ברמת התוכנית שלכם.

אילו ספקי זהויות ה-SSO של HubSpot תומך בהם?
ה-SSO של HubSpot משתמש בתקן SAML, אז הוא עובד עם ספקים מרכזיים כמו Microsoft Entra ID, Okta ו-Google Workspace, בין היתר. כל עוד ה-IdP שלכם תומך ב-SAML, אתם יכולים לחבר אותו.

מה קורה אם חיבור ה-SSO שלנו נשבר - אנחנו נעולים בחוץ?
רק אם לא שמרתם גיבוי. תמיד תשמרו לפחות super admin אחד שיכול להתחבר בדרך אחרת, ותתעדו נתיב התאוששות לפני שאתם דורשים SSO. עם רשת הביטחון הזו, חיבור שבור הוא אי-נוחות, ולא נעילה בחוץ.

האם SSO מחליפה multi-factor authentication?
לא - היא משלימה אותה. SSO מעבירה את האימות לספק הזהויות שלכם, והספק שלכם הוא המקום שבו multi-factor נאכף. בפועל, SSO מאפשרת לכם להחיל את מדיניות ה-MFA והגישה של החברה שלכם על HubSpot באופן עקבי עם כל כלי אחר.

שיתוף המאמר LinkedIn X WhatsApp
Ohad Peter
נכתב על ידי

Ohad Peter

Ohad is a HubSpot specialist at IV-Lead. He implements and optimizes HubSpot for B2B teams and tracks what's new across the ecosystem — product updates, features, and how to actually put them to work.

התחברו ב-LinkedIn ←
מהתאוריה לפרקטיקה

קבעו אבחון פורטל של 30 דקות.

נסתכל יחד על ה-HubSpot שלכם ונגיד ביושר אם IV-Lead היא ההתאמה הנכונה. בלי מצגת. בלי פיץ'.