SSO e autenticação remota - Configurando o logon único (SSO) do Active Directory para autenticação remota

O método de autenticação descrito aqui será descontinuado em breve. Recomendamos usar o método descrito nesta solução para aumentar a segurança. 

Quando você está começando a usar sua conta Freshservice, provavelmente deseja trazer todos os seus funcionários para sua nova service desk como solicitantes. 

Em vez de adicioná-los um por um manualmente ou importá-los com um CSV, você pode usar sua configuração existente do Active Directory para autenticar usuários em seu portal de suporte com facilidade. Isso envolve a configuração do Single Sign-On (SSO) para sua central de serviços usando um script ASP clássico. 

Este artigo fala sobre como configurar o SSO Simples no Freshservice usando o Active Directory. O script será hospedado no servidor IIS e terá acesso ao Active Directory para autenticar usuários no Freshservice. 

Se você quiser configurar o SSO usando o padrão universal SAML, consulte o artigo sobre SAML SSO.

Etapas para configurar o SSO no Freshservice usando o Active Directory

ETAPA 1: Instalando os Serviços de Informações da Internet (IIS) 

O Internet Information Server (IIS Manager) deve ser configurado no Windows Server para hospedar o arquivo de script ASP clássico que acessará as informações do usuário do Active Directory. 

Você pode seguir as etapas fornecidas neste artigo para instalar o IIS 8 no Windows Server 2012. Escolha as seguintes opções ao instalar a função IIS no servidor.

• Servidor Web (IIS) 
• Segurança 
• Autenticação do Windows 
• Desenvolvimento de aplicações 
• ASP 
• Ferramentas de gerenciamento 
• Console de gerenciamento do IIS

Você precisa do ASP para hospedar o script ASP clássico e da Autenticação do Windows para autenticar os usuários no Active Directory para Freshservice. Portanto, se você já instalou o IIS, verifique se esses recursos estão instalados.

ETAPA 2: Editando o arquivo de script ASP clássico

1. Faça download dos arquivos ADScript.asp e Constants.asp anexados abaixo. 

2. Abra o arquivo Constants.asp e atribua esses valores às variáveis uma. 

a. sLdapReaderUsername: Nome de usuário da conta do AD que tem pelo menos privilégio de leitura para todos os usuários do AD 

b. sLdapReaderPassword: Senha dessa conta de usuário 

c. sToken: Segredo compartilhado copiado do Freshservice. Administrador → Segurança → Logon único → SSO simples → Segredo compartilhado 

d. sReturnURL: URL do Freshservice no formato "http://domain.freshservice.com/login/sso"

3. Salve o arquivo Constants.asp.

ETAPA 3: Configurando o script ASP no IIS

1. Crie um site ou use o site existente disponível no IIS. Para criar um novo site no IIS, vá até a seção Criar um novo site neste artigo. 

2. Clique no site e clique duas vezes em ASP no painel direito. Defina Habilitar Caminhos Pais como true. 

3. Clique novamente no site e clique duas vezes em Autenticação. Clique com o botão direito do mouse em Autenticação do Windows e clique em Ativar. Desative todos os outros tipos de autenticação. O IIS usará a autenticação integrada do Windows. Para que isso seja possível, o servidor IIS deve ser instalado no domínio do Active Directory que contém os usuários. 

4. Agora clique com o botão direito do mouse no site, clique em Explorar e cole os 2 arquivos - ADScript.asp e Constants.asp que já estão configurados. 

5. Navegue até o caminho ADScript.asp. Você será autenticado e conectado ao Freshservice.

Pré-requisitos

O script ASP clássico usa seu atributo de email como titular de email. Ele buscará o endereço de e-mail do seu atributo de e-mail. Portanto, é obrigatório ter o atributo mail preenchido em User Attributes para efetuar login com sucesso no Freshservice. 

Portanto, se você receber o erro “Não foi possível fazer login no Freshservice. Entre em contato com seu administrador”, verifique se o endereço de e-mail está configurado para você no diretório ativo.

ETAPA 4: Configurando o SSO no Freshservice

1. Vá para a guia Admin e clique no ícone Segurança. 

2. Alterne a chave para habilitar o Single Sign-On. 

3. URL de login remoto - Insira a URL que o Freshservice chamará quando os usuários tentarem fazer login no suporte técnico. Isso deve apontar para a página de script do Active Directory. Cole o caminho de navegação do IIS ADScript.asp aqui. 

4. URL de logout remoto - Insira a URL para a qual os usuários precisam ser redirecionados após efetuarem logout do Freshservice. Deixá-lo vazio levará os usuários à página inicial do portal de suporte.

Quando terminar, tente acessar o script a partir do URL que você especificou no Freshservice. Além disso, certifique-se de que todas as chamadas do IIS feitas para esse script estejam com autenticação integrada e não anonimamente. Se você enfrentar algum problema ao configurar isso, entre em contato conosco em support@freshservice.com