Este artigo descreve o processo para configurar o JWT SSO no Freshservice para autenticação usando o Active Directory. Um script precisará ser hospedado no servidor IIS e terá acesso ao Active Directory para autenticar seus usuários no Freshservice.
 | Nota: No momento, esta opção está disponível apenas se você se inscreveu no Freshworks Suite of Products a partir de fevereiro de 2020. Estaremos implementando essa opção gradualmente para clientes que se inscreveram antes disso. |
Etapa 1: instalar o Internet Information Services (IIS)
Os Serviços de Informações da Internet (Gerenciador do IIS) devem ser configurados no Windows Server para hospedar o arquivo de script ASP clássico que acessará as informações do usuário no Active Directory. Você pode seguir as etapas fornecidas neste artigo para instalar o IIS 8 no Windows Server 2012. Escolha as seguintes opções ao instalar a função IIS no servidor.
Servidor Web (IIS)
Segurança
Autenticação do Windows
Desenvolvimento de aplicações
ASP
Ferramentas de gerenciamento
Console de Gerenciamento do IIS
Você precisa do ASP para hospedar o script ASP clássico e a Autenticação do Windows para autenticar usuários no Active Directory for Freshservice. Portanto, se você já instalou o IIS, verifique se esses recursos estão instalados.
Etapa 2: editar o arquivo de script ASP clássico
Faça o download dos arquivos ADScriptJWT.asp , Constants.asp e jwt.all.asp anexados abaixo.
Abra o arquivo Constants.aspe atribua os seguintes valores às variáveis.
sLdapReaderUsername = "domínio \ nome de usuário" ( nome de usuário da conta do AD que possui privilégio somente leitura para todos os usuários no AD)
sLdapReaderPassword = "senha" (senha dessa conta de usuário)
sRSAPrivateKey - Para criar a parte da assinatura, é necessário pegar o cabeçalho codificado, a carga útil codificada, a chave privada RSA e assinar isso. Você pode gerar a Chave RSA usando o seguinte script:
generate RSA key
ssh-keygen -t rsa -b 1024 -m PEM -f jwtRS256.key
# use a senha vazia
openssl rsa -in jwtRS256.key -pubout -outform PEM -out jwtRS256.key.pub
Ou use os geradores on-line Link1 , Link2
sReturnURL : o URL de redirecionamento do Freshservice para o qual o usuário será redirecionado assim que a autenticação for bem-sucedida < https://domain.freshworks.com/sp/OIDC/13415184120 >
Salve o arquivo Constants.asp.
Por exemplo:
sLdapReaderUsername = "FRESHSERVICE \ admin"
sLdapReaderPassword = "xxxxxxxxx"
sRSAPrivateKey = "----- COMEÇA A CHAVE PRIVADA RSA ----- <Chave Privada RSA como sequência de linhas única> ---- END CHAVE PRIVADA RSA -----"
sReturnURL = " https://domain.freshworks.com/sp/OIDC/134151841209466902/implicit "
 | Nota: Ao executar comandos no Linux / Mac, serão gerados dois arquivos que contêm as chaves pública e privada RSA jwtRS256.key e jwtRS256.key.pub Certifique-se de copiar o conteúdo de várias linhas dos arquivos .key, altere para um único linha entre aspas duplas antes de colar junto com o sRSAPrivateKey no arquivo Constants.asp. |
Etapa 3: Para configurar o script ASP no IIS
Criar um novo site no IIS, passar pela criação de um novo site a seção neste artigo (você pode criar um novo site ou usar o site existente disponível em IIS).
Clique no site e clique duas vezes em ASP no painel direito.
Defina Ativar caminhos pai como verdadeiro .
Clique no site novamente e clique duas vezes em Autenticação .
Clique com o botão direito do mouse em Autenticação do Windows e selecione Ativar .
Nota: Desative todos os outros tipos de autenticação. O IIS usará a autenticação integrada do Windows. Para tornar isso possível, o servidor IIS deve ser instalado no domínio do Active Directory que contém os usuários.Clique com o botão direito do mouse no site, selecione Explorar .
Cole os 3 arquivos - ADScriptJWT.asp , Constants.asp e jwt.all.asp que já estão configurados.
Navegue para o caminho ADScriptJWT.asp.
Você será autenticado e conectado ao Freshservice.
Pré-requisitos / Pontos a serem lembrados:
O script ASP clássico usa seu atributo de email como um titular de email. Ele buscará o endereço de email do seu atributo de email. Portanto, é obrigatório ter o atributo de email preenchido em Atributos do Usuário para efetuar login com êxito no Freshservice. Portanto, se você receber o erro “Não foi possível fazer login no Freshservice. Entre em contato com o administrador ”, verifique se o endereço de email está configurado para você no Active Directory.
Por padrão, a opção runat = "server" para tags Javascript será ativada quando você estiver criando um site no IIS.
Tente acessar o script em http: //dc-svr01/test.asp e veja se o script foi executado ou não. Verifique se o IIS chama esse script com autenticação integrada e NÃO via autenticação anônima.
Altere a autenticação para usar apenas NTLM e não negociar com o Kerberos.
Etapa 4: configurar o SSO para Freshservice
Faça login na sua conta Freshservice.
Clique no ícone Configurações do administrador .
Clique em Segurança do suporte técnico em Configurações gerais .
Clique no link - Gerenciar a segurança do suporte técnico a partir do Freshworks 360 Security . Isso abre a página Segurança da organização em uma nova guia.
Navegue até o cartão de logon único em Métodos de login .
Alterne o interruptor . Por padrão, o SAML SSO será selecionado.
Clique no menu suspenso e selecione JWT SSO . Um URL de redirecionamento será gerado automaticamente na caixa de campo URL de redirecionamento .
Nota: Copie o URL de redirecionamento gerado e cole-o junto com o sReturnURL enquanto atribui valores no arquivo Constants.asp .
Copie o conteúdo de jwtRS256.key e cole-o na caixa do campo Chave pública do RSA .
Nota: Certifique-se de omitir o conteúdo do cabeçalho e rodapé da jwtRS256.key antes de colá- lo no campo.Digite a autorização UR L
Formato do URL:
https: // <Domínio ou IP do Servidor AD>: <port> /ADScriptJWT.asp
(Opcional) Você também pode inserir o URL de logoff para o qual os usuários serão enviados quando efetuarem logout.
Clique em Salvar para finalizar suas alterações.