HELP FILE

Verbundanmeldung mit ADFS für LastPass einrichten

Administratoren von LastPass-Enterprise- und -Identity-Konten können Active-Directory-Verbunddienste (ADFS) so einrichten und konfigurieren, dass sich Benutzer mit dem Active-Directory-Konto ihres Unternehmens bei LastPass anmelden können, ohne ein zweites Master-Passwort erstellen zu müssen.

Bevor Sie mit der Implementierung beginnen …

  • Gehen Sie die für Verbundbenutzerkonten geltenden Einschränkungen durch.
  • Es wird dringend empfohlen, eine nicht produktive Active-Directory-Umgebung mit Verbunddiensten einzurichten, damit Sie sich mit ADFS für LastPass Enterprise bzw. LastPass Identity vertraut machen können.
    • Ihre Testumgebung muss außerdem eine Testversion der in Schritt 1 aufgeführten Komponenten enthalten (dazu zählt auch das Erstellen eines separaten LastPass-Enterprise- oder Identity-Testkontos zu Testzwecken). Führen Sie alle unten aufgeführten Einrichtungsschritte zunächst mit Ihrem nicht produktiven LastPass-Enterprise- oder Identity-Konto in Ihrer Testumgebung aus, um jeglichen unbeabsichtigten Datenverlust bei Benutzerkonten zu vermeiden.
  • Es wird zudem dringend empfohlen, die Multifaktor-Authentifizierung für die Benutzer zu implementieren. Bitte beachten Sie dabei Folgendes:
    • Die Multifaktor-Authentifizierung muss auf der Ebene des Identitätsanbieters (ADFS) eingerichtet werden, nicht auf LastPass-Ebene (über die Administrationskonsole und/oder die Kontoeinstellungen für Endbenutzer). Die Verwendung der Multifaktor-Authentifizierung in LastPass wird für Verbundbenutzer nicht unterstützt und hat zur Folge, dass diese Benutzer nicht mehr auf ihren Vault zugreifen können.
    • Sie können keine Richtlinien für die Multifaktor-Authentifizierung in der Administrationskonsole von LastPass erzwingen, da diese Authentifizierung außerhalb von LastPass zwischen Ihrem Identitätsanbieter (ADFS) und Ihrem Authentifizierungsdienst erfolgt. Wir empfehlen Ihnen daher, Richtlinien für die Multifaktor-Authentifizierung in ADFS durchzusetzen.
  • Wir empfehlen, grundsätzlich einen unternehmensweiten Schlüssel für alle Benutzer zu verwenden, wie in der Einrichtungsanleitung für die vereinfachte Verbundanmeldung mit ADFS beschrieben. Die in diesem Artikel beschriebenen Schritte erfordern eine Änderung an Ihrem Schema für Active Directory. Wenn Sie dennoch für jeden Benutzer einen eigenen Schlüssel vorsehen wollen, folgen Sie bitte den Anweisungen in diesem Artikel.

Schritt 1: Sicherstellen, dass die Checkliste der erforderlichen Komponenten vollständig ist

Bevor Sie Active-Directory-Verbunddienste mit LastPass Enterprise oder LastPass Identity verwenden können, müssen Sie Folgendes eingerichtet haben (sowohl für nicht produktive Umgebungen als auch für Live-Umgebungen):

  • Ein aktives LastPass-Enterprise- oder LastPass-Identity-Konto, das Folgendes beinhaltet:
    • mindestens ein aktiviertes Administratorkonto
    • eine Anzahl von Benutzerarbeitsplätzen, die mit der Benutzeranzahl übereinstimmt (oder diese überschreitet), die mit Ihrem Active Directory synchronisiert wird (sowohl für nicht produktive als auch Live-Umgebungen)

      Hinweis: Wenn Sie den Testlauf in Ihrer Nicht-Produktionsumgebung durchführen, wird empfohlen, ein separates LastPass-Enterprise- oder Identity-Testkonto einzurichten, für das Sie sich hier registrieren können.

  • Active-Directory-Serverumgebungen (sowohl nicht produktive Umgebungen als auch Live-Umgebungen), die die folgenden Anforderungen erfüllen:
    • Beide Umgebungen müssen für die Verwendung der Verbunddienste (ADFS 3.0 oder ADFS 4.0 auf Windows Server 2012 R2 oder Windows Server 2016 mit den neuesten Updates, einschließlich .NET Framework) eingerichtet und konfiguriert worden sein.
    • Sie müssen ein Feld für ein benutzerdefiniertes Attribut erstellt (oder ein verfügbares anpassbares Attribut umfunktioniert) und als CONFIDENTIAL festgelegt haben. Dieser Schritt ermöglicht es Ihnen, nur privilegierten Administratoren Leseberechtigungen zu erteilen. Außerdem müssen Sie sichergestellt haben, dass das Attribut sowohl in Ihrer Nicht-Produktionsumgebung als auch in Ihrer Active-Directory-Live-Umgebung angeführt wird. Für eine erfolgreiche Konfiguration muss die attributeSyntax des benutzerdefinierten Attributs 2.5.5.4 = (NOCASE_STRING) entsprechen.
    • Hinweis: Der Name des benutzerdefinierten Attributs darf nur alphanumerische Zeichen enthalten (keine Sonderzeichen oder Leerzeichen). Das Attribut unterscheidet zudem zwischen Groß- und Kleinschreibung und sollte genau so notiert werden, wie es im Attribut-Editor von Active Directory angezeigt wird.

    • Ihre Firewall-Einstellungen müssen so konfiguriert sein, dass https://www.lastpass.com und die damit verbundenen Subdomains (*.lastpass.com) zulässig sind, und Sie müssen sich vergewissert haben, dass sie nicht durch eine Firewall-Regel auf Ihren ADFS-Servern blockiert werden.
    • Der AD-Benutzer, der den ADFS-Dienst ausführt (ADFS ruft den benutzerdefinierten Attributspeicher auf, der den K1 zum Zeitpunkt der Anmeldung liest), muss über die Berechtigung „Zugriff steuern“ verfügen.
  • Die Richtlinie „Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben“ muss aktiviert sein.
    • Diese Richtlinie muss sowohl in der nicht produktiven als auch in der Live-Version Ihrer LastPass-Enterprise- bzw. Identity-Konten aktiviert sein (sodass Sie das Master-Passwort eines Benutzers zurücksetzen können). Beachten Sie, dass das Zurücksetzen des Master-Passworts die einzige Möglichkeit ist, den Status von Verbundbenutzern auf „nicht verbunden“ zu ändern, da das Master-Passwort dann nicht mehr mit dem im Active Directory gespeicherten Passwort übereinstimmt – weitere Informationen.

Sobald alle diese Anforderungen erfüllt sind, müssen Sie während des Installationsprozesses einige grundlegende Informationen notieren. Öffnen Sie einen Texteditor und bereiten Sie die folgenden Felder vor:

  • Benutzerdefiniertes Active-Directory-Attribut:
  • URL des Identitätsanbieters:
  • Öffentlicher Schlüssel des Identitätsanbieters:
  • URL des Dienstanbieters:

Fahren Sie mit dem nächsten Schritt fort, nachdem Sie diese Felder in Ihrem Texteditor vorbereitet haben.

Schritt 2: URL und öffentlichen Schlüssel des Identitätsanbieters ermitteln

Als Nächstes müssen Sie sich bei Ihrem ADFS-Server anmelden und die vollständige URL Ihres Identitätsanbieters (Verbunddienstname + URL-Pfad der Endpunkt-Tokenausstellung) sowie den öffentlichen Schlüssel Ihres Identitätsanbieters abrufen.

URL des Identitätsanbieters:

  1. Melden Sie sich bei Ihrem ADFS-Server an und starten Sie das ADFS-Management-Tool.
  2. Klicken Sie mit der rechten Maustaste auf Dienst > Verbunddiensteigenschaften bearbeiten.
  3. Kopieren Sie auf der Registerkarte „Allgemein“ die URL im Feld Verbunddienstname (z. B. fs.fabrikam.com) und fügen Sie sie in einen Texteditor ein. Stellen Sie sicher, dass der in Ihren Texteditor eingegebene Verbunddienstname mit „https://“ beginnt, da es sich um ein sicheres Protokoll handeln muss (z. B. https://fs.fabrikam.com).

Verbunddienstnamen kopieren

URL-Pfad der Endpunkt-Tokenausstellung:

  1. Gehen Sie im ADFS-Management-Tool zu DienstEndpunkte.
  2. Suchen Sie im Abschnitt „Tokenausstellung“ den Eintrag, für den in der Spalte „Typ“ SAML 2.0/WS-Federation aufgeführt ist (z. B. „adfs/ls“ ist der Standardpfad, der jedoch je nach Umgebung unterschiedlich sein kann).
  3. Kopieren Sie den Wert im Feld URL-Pfad und fügen Sie ihn im Texteditor am Ende des URL-Pfads des Identitätsanbieters ein, sodass Folgendes angezeigt wird: https:// + . Beispiel: Alle drei Komponenten kombiniert würden „https://fs.fabrikam.com/adfs/ls“ als Ihre vollständige Identitätsanbieter-URL ergeben.

ADFS-URL-Pfad der Endpunkt-Tokenausstellung kopieren

Öffentlicher Schlüssel des Identitätsanbieters:

  1. Gehen Sie im ADFS-Management-Tool zu DienstZertifikate.
  2. Klicken Sie mit der rechten Maustaste auf den Eintrag Tokensignaturzertifikat und wählen Sie Zertifikat anzeigen.
  3. Klicken Sie auf die Registerkarte Details und wählen Sie dann Öffentlicher Schlüssel.
  4. Markieren und kopieren Sie im Abschnitt unten den gesamten öffentlichen Schlüssel und fügen Sie ihn in einen Texteditor ein.

Führen Sie den nächsten Schritt aus, nachdem Sie die vollständige URL und den öffentlichen Schlüssel Ihres Identitätsanbieters in einem Texteditor erfasst haben.

Öffentlicher Schlüssel aus „Details“ in Eigenschaften des Tokensignaturzertifikats

Zusätzlicher Schritt für ADFS-Farmumgebungen:

  • Stellen Sie sicher, dass jeder ADFS-Knoten über dasselbe Tokensignaturzertifikat verfügt.

Schritt 3: Einstellungen für die LastPass-Enterprise- oder Identity-Verbundanmeldung konfigurieren

Wenn Sie den Active Directory Connector (ADC) von LastPass bereits installiert haben, müssen Sie den Dienst stoppen und die ADC-Anwendung beenden. Sie müssen ihn zu einem späteren Zeitpunkt starten.

Nachdem Sie alle erforderlichen Informationen abgerufen haben, können Sie die LastPass-Enterprise- oder Identity-Verbundanmeldung wie folgt konfigurieren:

  1. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  2. Gehen Sie im linken Navigationsbereich zu EinstellungenVerbundanmeldung.
  3. Fügen Sie die vollständige URL Ihres Identitätsanbieters (d. h., https://+Verbunddienstname+URL-Pfad der Endpunkt-Tokenausstellung), die Sie in Schritt 2 ermittelt haben, in das FeldAnbieter-URL ein.
  4. Fügen Sie den öffentlichen Schlüssel Ihres Identitätsanbieters, den Sie in Schritt 2 ermittelt haben, in das Feld Öffentlicher Schlüssel ein.
  5. Nachdem alle Felder in beiden Abschnitten aktualisiert wurden, müssen Sie ein Häkchen in das Kontrollkästchen neben Aktiviert setzen.
  6. Klicken Sie auf Einstellungen speichern.
  7. Nach dem Speichern wird das darunter angezeigte Feld URL des Dienstanbieters automatisch generiert. Kopieren Sie die URL des Dienstanbieters und fügen Sie sie in einen Texteditor ein.
  8. Fügen Sie im Abschnitt „AD Connector konfigurieren“ den Namen des benutzerdefinierten Attributs hinzu (das Sie in Schritt 1 erstellt bzw. umfunktioniert und konfiguriert haben) und klicken Sie dann auf Speichern.

Schritt 4: Active Directory Connector von LastPass installieren

TIPP! Erstellen Sie eine kleine Kontrollgruppe von Benutzern in Active Directory, um die nachfolgenden Schritte mit dieser Gruppe zu testen.

  1. Installieren Sie den Active Directory Connector von LastPass (Anleitung). Ist der LastPass-AD-Connector bereits installiert, müssen Sie die Anwendung neu starten, bevor Sie die Einstellungen ändern.
  2. Konfigurieren Sie den Active Directory Connector von LastPass, indem Sie Folgendes auswählen: ActionsWhen a user is detected in Active Directory > Automatically create user in LastPass (Aktionen > Wenn ein Benutzer in Active Directory erkannt wird > Benutzer automatisch in LastPass erstellen) (in Ihrer lokalen nicht produktiven und Ihrer Live-Umgebung). Diese Option muss ausgewählt werden, damit Verbundbenutzer über ADFS erstellt werden. Zusätzlich:
    • Der AD-Benutzer, der den LastPass-AD-Connector ausführt, muss über die Berechtigung „Zugriff steuern“ verfügen.
    • Konfigurieren Sie mindestens eine mit LastPass zu synchronisierende Gruppe – wir empfehlen Ihnen, zu Testzwecken mit einer kleinen Kontrollgruppe mit nur wenigen Benutzern zu beginnen.
  3. Wechseln Sie nach dem Einrichten aller Konfigurationen zur Registerkarte Start im linken Navigationsbereich des LastPass-AD-Connectors. Setzen Sie dann ein Häkchen neben Enable sync (Synchronisation aktivieren), um mit dem Synchronisieren zu beginnen.
  4. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  5. Gehen Sie im Menü links zu Benutzer, um zu verfolgen, wie die Felder für Ihre Benutzer beim Synchronisieren aus Ihrem Active Directory ausgefüllt werden. Die Benutzernamen der Verbundbenutzer beginnen mit einem Sternchen (*) (z. B. *john.doe@acme.com).
  6. Überprüfen Sie in Ihrem Active Directory, dass das benutzerdefinierte Attribut (aus Schritt 1 im Abschnitt „Active-Directory-Serverumgebungen“) für mindestens einen LastPass-Verbundbenutzer vom Active Directory Connector ausgefüllt wurde und als zufällige Zeichenfolge angezeigt wird.
    • Wenn das benutzerdefinierte Attribut in Active Directory vorhanden ist = Erfolg: Dies bestätigt, dass der Active Directory Connector Schreibzugriff auf das benutzerdefinierte Attribut für alle Verbundbenutzer hat. Fahren Sie mit Schritt 5 fort, um Ihr benutzerdefiniertes Attribut zu registrieren.
    • Wenn das benutzerdefinierte Attribut in Active Directory leer ist = Fehler: Das bedeutet, dass der Active Directory Connector das benutzerdefinierte Attribut nicht in Active Directory schreiben kann, da dem AD-Benutzer, der den LastPass-AD-Connector ausführt, die Berechtigung „Zugriff steuern“ nicht erteilt wurde.

      Beheben wir diesen Fehler!
      1. Der AD-Benutzer muss den Dienst stoppen und die Active-Directory-Connector-Anwendung von LastPass beenden.
      2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole von LastPass an.
      3. Gehen Sie im linken Navigationsbereich zu Benutzer und wählen Sie dann alle neu eingegebenen (mit einem Sternchen gekennzeichneten) Verbundbenutzer aus.
      4. Klicken Sie oben rechts auf das Symbol „Mehr“ Drei Punkte und dann auf Ausgewählte Benutzer löschen und bestätigen Sie den Vorgang (da der Wert des benutzerdefinierten Attributs für alle Benutzer leer ist).
      5. Gewähren Sie in Active Directory dem Benutzer, der den LastPass-AD-Connector ausführt, die Berechtigung „Zugriff steuern“.
      6. Der AD-Benutzer kann jetzt den Active Directory Connector von LastPass nun wieder aufrufen und den Dienst starten.
      7. Überprüfen Sie erneut in Ihrem Active Directory, ob das benutzerdefinierte Attribut für einen der synchronisierten LastPass-Verbundbenutzer vorhanden ist.

Schritt 5: Benutzerdefiniertes Attribut bei LastPass registrieren

Als Nächstes müssen Sie das benutzerdefinierte Attribut (das Sie in Schritt 1 erstellt bzw. umfunktioniert und konfiguriert haben) bei LastPass registrieren, indem Sie auf Ihrem ADFS-Server das ADFS-Plugin-Installationsprogramm ausführen.

Hinweis: Der Name des benutzerdefinierten Attributs darf nur alphanumerische Zeichen enthalten (keine Sonderzeichen oder Leerzeichen). Das Attribut unterscheidet zudem zwischen Groß- und Kleinschreibung und sollte genau so notiert werden, wie es im Attribut-Editor von Active Directory angezeigt wird.

  1. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  2. Gehen Sie im Menü links zu EinstellungenVerbundanmeldung.
  3. Klicken Sie unten auf der Seite im Abschnitt „LastPass-Speicher für benutzerdefinierte Attribute“ entweder auf Download für ADFS-Server 3.0 (für Windows Server 2012 R2) oder auf Download für ADFS-Server 4.0 (für Windows Server 2016) und speichern Sie die MSI-Datei von LastPass.
  4. Melden Sie sich bei Ihrem primären ADFS-Server an und übertragen Sie die MSI-Datei auf den Desktop Ihres ADFS-Servers. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Als Administrator ausführen oder führen Sie das MSI-Installationsprogramm in einer Eingabeaufforderung mit höheren Rechten aus. Klicken Sie auf Ja, wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden.

    Hinweis: Das MSI-Installationsprogramm für das ADFS-Plugin muss als Administrator oder mit erhöhten Rechten ausgeführt werden, und zwar auch dann, wenn Sie als Domänenadministrator angemeldet sind.

  5. Klicken Sie auf Weiter.
  6. Geben Sie die URL Ihres Dienstanbieters für LastPass Enterprise oder LastPass Identity (aus Schritt 3, Aktion 6) und dann den Wert Ihres benutzerdefinierten Attributs (aus Schritt 1) ein und klicken Sie auf Weiter.
  7. Klicken Sie nach Abschluss des Registrierungsvorgangs auf Fertigstellen.
  8. Starten Sie den ADFS-Windows-Dienst erneut. Das ist ein erforderlicher Schritt.

ADFS-Plugin-Setup

Zusätzliche Schritte für ADFS-Farmumgebungen:

  1. Navigieren Sie auf dem ADFS-Server zum Verzeichnis C:\Windows\ADFS, in dem Sie die MSI-Datei von LastPass installiert haben.
  2. Kopieren Sie die folgenden Dateien in den Ordner C:\Windows\ADFS aller sekundären ADFS-Server:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Starten Sie den ADFS-Windows-Dienst auf den sekundären ADFS-Knoten neu. Das ist ein erforderlicher Schritt.

Schritt 6: Änderungen der Zugriffssteuerungsrichtlinie anwenden

Der LastPass-Speicher für benutzerdefinierte Attribute hat die Vertrauensstellung der vertrauenden Seite „LastPass Trust“ auf Ihren ADFS-Servern installiert.

  1. Melden Sie sich bei Ihrem primären ADFS-Server an.
  2. Navigieren Sie zu den ADFS-Management-Einstellungen.
  3. Gehen Sie im linken Navigationsbereich zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite und folgen Sie den nächsten Schritten Ihrer ADFS-Serverversion entsprechend:
    • ADFS 3.0 – Windows Server 2012 R2
      1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Anspruchsregeln bearbeiten....
      2. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und legen Sie die gewünschte Regel fest. Diese bestimmt, wie die Benutzer bei der Verbundanmeldung mit ADFS bei LastPass authentifiziert werden.
    • ADFS 4.0 – Windows Server 2016
      1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Zugriffssteuerungsrichtlinie bearbeiten....
      2. Legen Sie die gewünschte Regel fest. Diese bestimmt, wie die Benutzer bei der Verbundanmeldung mit ADFS bei LastPass authentifiziert werden.

Das war’s schon!

Sie haben die Active-Directory-Verbunddienste (ADFS) erfolgreich für Ihr LastPass-Enterprise- oder Identity-Konto eingerichtet. Alle neu synchronisierten Verbundbenutzer erhalten eine Begrüßungsmail, die sie informiert, dass sie sich jetzt anmelden und LastPass verwenden können.