HELP FILE

Verbunddienste (AD FS) für LastPass Enterprise einrichten

Administratoren von LastPass-Enterprise-Konten können Active-Directory-Verbunddienste (AD FS) einrichten und konfigurieren, sodass sich Benutzer mit den Activ-Directory-Zugangsdaten ihrer Organisation bei LastPass anmelden können, ohne jemals ein zweites Master-Passwort erstellen zu müssen.

Bevor Sie mit der Implementierung beginnen...

  • Gehen Sie die für Verbundbenutzerkonten geltenden Beschränkungen durch.
  • Es wird dringend empfohlen, eine nicht produktive Active-Directory-Umgebung mit Verbunddiensten einzurichten, damit Sie sich mit AD FS für LastPass Enterprise vertraut machen können.
    • Ihre Testumgebung muss außerdem eine Testversion der in Schritt 1 aufgeführten Komponenten enthalten (dazu zählt auch das Erstellen eines separaten LastPass-Enterprise-Testkontos zu Testzwecken). Führen Sie alle unten aufgeführten Einrichtungsschritte zunächst mit Ihrem nicht produktiven LastPass-Enterprise-Konto in Ihrer Testumgebung aus, um jeglichen unbeabsichtigten Datenverlust auf Benutzerkonten zu vermeiden.
  • Es wird zudem dringend empfohlen, die Multifaktor-Authentifizierung für Ihre Benutzer zu implementieren. Bitte beachten Sie dabei Folgendes:
    • Die Multifaktor-Authentifizierung muss auf der Ebene des Identitätsanbieters (AD FS) eingerichtet werden, nicht auf LastPass-Ebene (über die Administrationskonsole und/oder die Kontoeinstellungen für Endbenutzer). Die Verwendung der Multifaktor-Authentifizierung in LastPass wird für Verbundbenutzer nicht unterstützt und hat zur Folge, dass diese Benutzer nicht mehr auf ihren Vault zugreifen können.
    • Sie können keine Richtlinien für die Multifaktor-Authentifizierung in der Administrationskonsole von LastPass erzwingen, da diese Authentifizierung außerhalb von LastPass zwischen Ihrem Identitätsanbieter (AD FS) und Ihrem Authentifizierungsdienst erfolgt. Aus diesem Grund wird empfohlen, die Richtlinien für die Multifaktor-Authentifizierung in AD FS durchzusetzen.

Schritt 1: Sicherstellen, dass die Checkliste der erforderlichen Komponenten vollständig ist

Bevor Sie Active-Directory-Verbunddienste mit LastPass Enterprise verwenden können, müssen Sie Folgendes eingerichtet haben (sowohl für nicht produktive Umgebungen als auch für Live-Umgebungen):

  • Ein aktives LastPass-Enterprise-Konto, das Folgendes beinhaltet:
    • Mindestens ein aktiviertes Administratorkonto
    • Eine Benutzerlizenzzahl, die mit der Benutzeranzahl übereinstimmt (oder diese überschreitet), die mit Ihrem Active Directory synchronisiert wird (sowohl nicht produktive Umgebungen als auch Live-Umgebungen). Hinweis: Wenn Sie den Testlauf in Ihrer Nicht-Produktionsumgebung durchführen, wird empfohlen, ein separates LastPass-Enterprise-Testkonto einzurichten, für das Sie sich hier registrieren können.
  • Active-Directory-Serverumgebungen (sowohl nicht produktive Umgebungen als auch Live-Umgebungen), die die folgenden Anforderungen erfüllen:
    • Beide Umgebungen sind für die Verwendung von Verbunddiensten eingerichtet und konfiguriert (AD FS 3.0 oder AD FS 4.0 auf Windows Server 2012 R2 oder Windows Server 2016 mit den aktuellsten Updates installiert, einschließlich .NET Framework).
    • Sie haben ein benutzerdefiniertes Attributfeld erstellt (oder ein anpassbares Attribut umfunktioniert) und als VERTRAULICH festgelegt (ein Schritt, der es Ihnen ermöglicht, die Leseberechtigungen nur privilegierten Administratoren zu erteilen), und Sie haben sichergestellt, dass es sowohl in Ihren Nicht-Produktionsumgebungen als auch Active-Directory-Live-Umgebungen ausgeführt wird. Für eine erfolgreiche Konfiguration muss die attributeSyntax des benutzerdefinierten Attributs 2.5.5.4 = (NOCASE_STRING) entsprechen.
    • Hinweis: Der Name des benutzerdefinierten Attributs darf nur alphanumerische Zeichen enthalten (keine Sonderzeichen oder Leerzeichen). Das Attribut unterscheidet zudem zwischen Groß- und Kleinschreibung und sollte genau so aufgezeichnet werden, wie es im Active-Directory-Attribut-Editor angezeigt wird.

    • Ihre Firewall-Einstellungen sind so konfiguriert, dass sie https://www.lastpass.com und ihre Subdomains (*.lastpass.com) erreichen, und Sie haben sich vergewissert, dass sie nicht durch eine Firewall-Regel auf Ihren AD-FS-Servern blockiert werden.
    • Der AD-Benutzer, der den AD-FS-Dienst ausführt (AD FS ruft den benutzerdefinierten Attributspeicher auf, der den K1 zum Zeitpunkt der Anmeldung liest), muss über die Berechtigung ZUGRIFFSSTEUERUNG verfügen.
  • Die Richtlinie „Superadministrator – Master-Passwort zurücksetzen“ ist aktiviert.

Sobald Sie alle diese Anforderungen erfüllt haben, müssen Sie während des Installationsprozesses grundlegende Informationen aufzeichnen.  Öffnen Sie einen Texteditor und bereiten Sie die folgenden Felder vor:

  • Benutzerdefiniertes Active-Directory-Attribut
  • URL des Identitätsanbieters
  • Öffentlicher Schlüssel des Identitätsanbieters
  • URL des Dienstanbieters

Nachdem Sie diese Felder in Ihrem Texteditor vorbereitet haben, fahren Sie mit dem nächsten Schritt fort.

Schritt 2: URL und öffentlichen Schlüssel des Identitätsanbieters abrufen

Als Nächstes müssen Sie sich bei Ihrem AD-FS-Server anmelden und die vollständige URL Ihres Identitätsanbieters (Verbunddienstname + URL-Pfad der Endpunkt-Tokenausstellung) sowie den öffentlichen Schlüssel Ihres Identitätsanbieters abrufen.

URL des Identitätsanbieters:

  1. Melden Sie sich bei Ihrem AD-FS-Server an und aktivieren Sie das AD-FS-Management-Tool.
  2. Klicken Sie mit der rechten Maustaste auf Dienst > Verbunddiensteigenschaften bearbeiten.
  3. Kopieren Sie auf der Registerkarte „Allgemein“ die URL im Feld Verbunddienstname (z. B. fs.fabrikam.com) und fügen Sie sie in einen Texteditor ein. Stellen Sie sicher, dass der in Ihren Texteditor eingegebene Verbunddienstname mit „https://“ beginnt, da es sich um ein sicheres Protokoll handeln muss (z. B. https://fs.fabrikam.com).

Verbunddienstnamen kopieren

URL-Pfad der Endpunkt-Tokenausstellung:

  1. Gehen Sie im AD-FS-Management-Tool zu DienstEndpunkte.
  2. Suchen Sie im Abschnitt „Tokenausstellung“ den Eintrag, für den SAML 2.0/WS-Federation in der Spalte „Typ“ aufgeführt ist („adfs/ls“ ist der Standardpfad, der jedoch je nach Umgebung unterschiedlich sein kann).
  3. Kopieren Sie den Wert im Feld URL-Pfad und fügen Sie ihn in einen Texteditor am Ende des URL-Pfads des Identitätsanbieters ein, sodass Folgendes angezeigt wird: https:// <Verbunddienstname> + <URL-Pfad der Endpunkt-Tokenausstellung>. Beispiel: Alle drei Komponenten miteinander kombiniert würden „https://fs.fabrikam.com/adfs/ls“ als Ihre vollständige URL des Identitätsanbieters ergeben.

AD-FS-URL-Pfad der Endpunkt-Tokenausstellung kopieren

Öffentlicher Schlüssel des Identitätsanbieters:

  1. Gehen Sie im AD-FS-Management-Tool zu DienstZertifikate.
  2. Klicken Sie mit der rechten Maustaste auf den Eintrag Tokensignaturzertifikat und wählen Sie Zertifikat anzeigen.
  3. Klicken Sie auf die Registerkarte Details und wählen Sie dann Öffentlicher Schlüssel.
  4. Markieren und kopieren Sie im Abschnitt unten den gesamten öffentlichen Schlüssel und fügen Sie ihn in einen Texteditor ein.

Führen Sie den nächsten Schritt aus, nachdem Sie die vollständige URL und den öffentlichen Schlüssel Ihres Identitätsanbieters in einem Texteditor erfasst haben.

Öffentlicher Schlüssel aus „Details“ in „Eigenschaften des Tokensignaturzertifikats“

Zusätzliche Schritte für AD FS -Farmumgebungen:

  • Stellen Sie sicher, dass jeder AD FS -Knoten über dasselbe Tokensignaturzertifikat verfügt.

Schritt 3: Einstellungen für die LastPass-Enterprise-Verbundanmeldung konfigurieren

Wenn Sie den LastPass-Active-Directory-Connector bereits installiert haben, müssen Sie den Dienst stoppen und die ADC-Anwendung beenden. Sie müssen ihn zu einem späteren Zeitpunkt starten.

Nachdem Sie alle erforderlichen Informationen abgerufen haben, können Sie Ihre Einstellungen für die LastPass-Enterprise-Verbundanmeldung wie folgt konfigurieren:

  1. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  2. Gehen Sie im linken Navigationsbereich zu EinstellungenVerbundanmeldung.
  3. Fügen Sie die vollständige URL Ihres Identitätsanbieters (d. h., https://+Verbunddienstname+URL-Pfad der Endpunkt-Tokenausstellung), die Sie in Schritt 2 abgerufen haben, in das Feld URL des Dienstanbieters ein.
  4. Fügen Sie den öffentlichen Schlüssel Ihres Identitätsanbieters, den Sie in Schritt 2 abgerufen haben, in das Feld Öffentlicher Schlüssel ein.
  5. Klicken Sie auf Einstellungen speichern.
  6. Nach dem Speichern wird automatisch das unten gezeigte Feld URL des Dienstanbieters generiert. Kopieren Sie die URL des Dienstanbieters und fügen Sie sie in einen Texteditor ein.
  7. Fügen Sie den Namen des benutzerdefinierten Attributs (das Sie in Schritt 1 erstellt oder umfunktioniert und konfiguriert haben) dem Abschnitt „AD Connector konfigurieren“ hinzu und klicken Sie dann auf Speichern.
  8. Nachdem alle Felder in beiden Abschnitten aktualisiert wurden, wird im Abschnitt „AD FS konfigurieren“ das Kontrollkästchen „Aktiviert" angezeigt.

Verbundanmeldung in der Enterprise-Administrationskonsole konfigurieren

Schritt 4: LastPass-Active-Directory-Connector installieren

TIPP!: Erstellen Sie eine kleine Kontrollgruppe von Benutzern in Active Directory, um sie zunächst für die nachfolgenden Schritte zu verwenden.

  1. Installieren Sie den LastPass-Active-Directory-Connector oder, falls dieser bereits installiert ist, öffnen Sie die Anwendung.
  2. Konfigurieren Sie den LastPass-Active-Directory-Connector, indem Sie Folgendes auswählen: AktionenWenn ein Benutzer in Active Directory erkannt wird > Benutzer automatisch in LastPass erstellen (in Ihren lokalen nicht produktiven Umgebungen und Live-Umgebungen). Diese Option muss ausgewählt werden, damit Verbundbenutzer über AD FS erstellt werden. Zusätzlich:
    • Der AD-Benutzer, der den LastPass-AD-Connector ausführt, muss über die Berechtigung ZUGRIFFSSTEUERUNG verfügen
    • Konfigurieren Sie mindestens eine mit LastPass zu synchronisierende Gruppe – wir empfehlen Ihnen, zu Testzwecken mit einer kleiner Kontrollgruppe mit nur wenigen Benutzern zu beginnen
  3. Sobald alle Konfigurationen eingerichtet sind, gehen Sie zu StartseiteSynchronisierung aktivieren.
  4. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  5. Gehen Sie im Menü links zu Benutzer, um zu verfolgen, wie die Felder für Ihre Benutzer beim Synchronisieren aus Ihrem Active Directory ausgefüllt werden. Die Benutzernamen der Verbundbenutzer beginnen mit einem Sternchen (*) (z. B. *john.doe@acme.com).
  6. Überprüfen Sie in Ihrem Active Directory, dass das benutzerdefinierte Attribut (aus Schritt 1 im Abschnitt „Active-Directory-Serverumgebungen“) für mindestens einen LastPass-Verbundbenutzer vom Active Directory Connector ausgefüllt wurde und als zufällige Zeichenfolge angezeigt wird.
    • Wenn das benutzerdefinierte Attribut in „Active Directory = Erfolg“ vorhanden ist – Hiermit wird bestätigt, dass Active Directory Connector Schreibzugriff für das benutzerdefinierte Attribut für alle Verbundbenutzer hat – fahren Sie mit Schritt 5 fort, um Ihr benutzerdefiniertes Attribut zu registrieren.
    • Wenn das benutzerdefinierte Attribut in „Active Directory = Fehler“ leer ist – Dies bedeutet, dass der Active Directory Connector das benutzerdefinierte Attribut nicht in Active Directory schreiben kann, da dem AD-Benutzer, der den LastPass-Active-Directory-Connector ausführt, die Berechtigung ZUGRIFFSSTEUERUNG nicht erteilt wurde.
      Lassen Sie uns diesen Fehler beheben!
      1. Der AD-Benutzer muss den Dienst stoppen und die LastPass-Active-Directory-Connector-Anwendung beenden.
      2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole von LastPass an und greifen Sie darauf zu.
      3. Gehen Sie im linken Navigationsbereich zu Benutzer und wählen Sie dann alle neu eingegebenen (mit einem Sternchen angezeigten) Verbundbenutzer aus.
      4. Klicken Sie oben rechts auf das Symbol „Mehr“ Elipsis und dann auf Ausgewählte Benutzer löschen und bestätigen Sie den Vorgang (da alle Benutzer über einen leeren benutzerdefinierten Attributwert verfügen).
      5. Gewähren Sie in Active Directory dem Benutzer, der den LastPass-Active-Directory-Connector ausführt, die Berechtigung ZUGRIFFSSTEUERUNG.
      6. Der AD-Benutzer kann jetzt die LastPass-Active-Directory-Connector-Anwendung neu starten und den Dienst starten.
      7. Überprüfen Sie erneut in Ihrem Active Directory, ob das benutzerdefinierte Attribut für einen der synchronisierten LastPass-Verbundbenutzer vorhanden ist.

Schritt 5: Ihre benutzerdefiniertes Attribut bei LastPass registrieren

Als Nächstes müssen Sie das benutzerdefinierte Attribut (das Sie in Schritt 1 erstellt bzw. umfunktioniert und konfiguriert haben) bei LastPass registrieren, indem Sie das AD-FS-Plugin-Installationsprogramm auf Ihrem AD-FS-Server ausführen.

Hinweis: Der Name des benutzerdefinierten Attributs darf nur alphanumerische Zeichen enthalten (keine Sonderzeichen oder Leerzeichen). Das Attribut unterscheidet zudem zwischen Groß- und Kleinschreibung und sollte genau so aufgezeichnet werden, wie es im Active-Directory-Attribut-Editor angezeigt wird.

  1. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  2. Gehen Sie im Menü links zu EinstellungenVerbundanmeldung.
  3. Klicken Sie unten auf der Seite im Abschnitt „Benutzerdefinierten Attributspeicher für LastPass“ entweder auf Download für ADFS-Server 3.0 (für Windows Server 2012 R2) oder auf Download für ADFS-Server 4.0 (für Windows Server 2016) und speichern Sie die LastPass-MSI-Datei.
  4. Melden Sie sich bei Ihrem primären AD-FS-Server an, übertragen Sie dann die .MSI-Datei auf den Desktop Ihres AD-FS-Servers und doppelklicken Sie darauf, um sie auszuführen.
  5. Klicken Sie auf Weiter.
  6. Geben Sie die URL Ihres Dienstanbieters für LastPass Enterprise (aus Schritt 3, Aktion 6) und dann Ihren benutzerdefinierten Attributwert (aus Schritt 1) ein und klicken Sie auf Weiter.
  7. Klicken Sie nach Abschluss des Registrierungsvorgangs auf Fertigstellen.
  8. Starten Sie den AD-FS-Windows-Dienst erneut. Dies ist ein erforderlicher Schritt.

AD-FS-Plugin-Setup

Zusätzliche Schritte für AD-FS-Farmumgebungen:

  1. Navigieren Sie auf dem AD-FS-Server zum Verzeichnis C:\Windows\ADFS, in dem Sie die LastPass-.MSI-Datei installiert haben.
  2. Kopieren Sie die folgenden Dateien in den Ordner „C:\Windows\ADFS“ aller sekundären AD-FS-Server.
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Starten Sie den AD-FS-Windows-Dienst auf den sekundären AD-FS-Knoten neu. Dies ist ein erforderlicher Schritt.

Schritt 6: Änderungen der Zugriffssteuerungsrichtlinie anwenden

Der benutzerdefinierte Attributspeicher von LastPass hat die Vertrauensstellung der vertrauenden Seite „LastPass Trust“ auf Ihren AD-FS-Servern installiert.

  1. Melden Sie sich bei Ihrem primären AD-FS-Server an.
  2. Navigieren Sie zu Ihren AD-FS-Management-Einstellungen.
  3. Gehen Sie im linken Navigationsbereich zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite und folgen Sie den nächsten Schritten Ihrer AD-FS-Serverversion entsprechend:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Anspruchsregeln bearbeiten....
      2. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und legen Sie die gewünschte Regel fest.
    • AD FS Server – 4.0 Windows Server 2016
      1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Zugriffssteuerungsrichtlinie bearbeiten....
      2. Legen Sie die gewünschte Richtlinie fest.

Das war‘s schon! Sie haben Active-Directory-Verbunddienste (AD FS) erfolgreich für Ihr LastPass-Enterprise-Konto eingerichtet. Alle neu eingegebenen Verbundbenutzer erhalten eine Begrüßungsmail, die sie informiert, dass sie sich jetzt anmelden und LastPass verwenden können.