HELP FILE

Verbundanmeldung für LastPass mit ADFS einrichten

Kontoadministratoren von LastPass Enterprise- und Identity-Konten können Active Directory-Verbunddienste (AD FS) einrichten und konfigurieren, sodass sich Benutzer mit dem Active Directory-Konto ihres Unternehmens bei LastPass anmelden können, ohne jemals ein zweites Master-Passwort erstellen zu müssen.

Bevor Sie mit der Implementierung beginnen …

  • Gehen Sie die für Verbundbenutzerkonten geltenden Einschränkungen durch.
  • Es wird dringend empfohlen, eine nicht produktive Active-Directory-Umgebung mit Verbunddiensten einzurichten, damit Sie sich mit ADFS für LastPass Enterprise bzw. LastPass Identity vertraut machen können.
    • Ihre Testumgebung muss außerdem eine Testversion der in Schritt 1 aufgeführten Komponenten enthalten (dazu zählt auch das Erstellen eines separaten LastPass-Enterprise- oder Identity-Testkontos zu Testzwecken). Führen Sie alle unten aufgeführten Einrichtungsschritte zunächst mit Ihrem nicht produktiven LastPass-Enterprise- oder Identity-Konto in Ihrer Testumgebung aus, um jeglichen unbeabsichtigten Datenverlust bei Benutzerkonten zu vermeiden.
  • Es wird zudem dringend empfohlen, die Multifaktor-Authentifizierung für Ihre Benutzer in einer Live-Umgebung zu implementieren. Beachten Sie dabei jedoch Folgendes:
    • Die Multifaktor-Authentifizierung muss auf der Ebene des Identitätsanbieters (ADFS) eingerichtet werden, nicht auf LastPass-Ebene (über die Administrationskonsole und/oder die Kontoeinstellungen für Endbenutzer). Die Verwendung der Multifaktor-Authentifizierung in LastPass wird für Verbundbenutzer nicht unterstützt und hat zur Folge, dass diese Benutzer nicht mehr auf ihren Vault zugreifen können.
    • Sie können keine Richtlinien für die Multifaktor-Authentifizierung in der Administrationskonsole von LastPass erzwingen, da diese Authentifizierung außerhalb von LastPass zwischen Ihrem Identitätsanbieter (ADFS) und Ihrem Authentifizierungsdienst erfolgt. Wir empfehlen Ihnen daher, Richtlinien für die Multifaktor-Authentifizierung in ADFS durchzusetzen.
  • Wir raten standardmäßig zur Verwendung des unternehmensweiten Schlüssels, da die hier beschriebenen Schritte keine Änderung Ihres Active Directory-Schemas erfordern. Wenn Sie dennoch für jeden Benutzer einen eigenen Schlüssel einrichten wollen, folgen Sie bitte den Anweisungen in diesem Artikel.

Schritt 1: Sicherstellen, dass die Checkliste der erforderlichen Komponenten vollständig ist

Bevor Sie Active-Directory-Verbunddienste mit LastPass Enterprise oder LastPass Identity verwenden können, müssen Sie Folgendes eingerichtet haben (sowohl für nicht produktive Umgebungen als auch für Live-Umgebungen):

  • Ein aktives LastPass-Enterprise- oder LastPass-Identity-Konto, das Folgendes beinhaltet:
    • mindestens ein aktiviertes Administratorkonto
    • eine Anzahl von Benutzerarbeitsplätzen, die mit der Benutzeranzahl übereinstimmt (oder diese überschreitet), die mit Ihrem Active Directory synchronisiert wird (sowohl für nicht produktive als auch Live-Umgebungen)
      Hinweis: Wenn Sie den Testlauf in Ihrer Nicht-Produktionsumgebung durchführen, wird empfohlen, ein separates LastPass-Enterprise- oder Identity-Testkonto einzurichten, für das Sie sich hier registrieren können.
  • Active-Directory-Serverumgebungen (sowohl nicht produktive Umgebungen als auch Live-Umgebungen), die die folgenden Anforderungen erfüllen:
    • Beide Umgebungen müssen für die Verwendung der Verbunddienste (ADFS 3.0 oder ADFS 4.0 auf Windows Server 2012 R2 oder Windows Server 2016 mit den neuesten Updates, einschließlich .NET Framework) sind für die Verwendung der Verbunddienste (AD FS 3.0 für Windows Server 2012 R2 oder AD FS 4.0 für Windows Server 2016 oder Windows Server 2019) eingerichtet und konfiguriert, wobei die neuesten Updates, einschließlich .NET Framework, installiert sind.
    • Ihre Firewall-Einstellungen sind so konfiguriert, dass sie https://www.lastpass.com oder https://www.lastpass.eu und deren Subdomains (*.lastpass.com bzw. *.lastpass.eu) erreichen. Zudem haben Sie sichergestellt, dass sie nicht durch eine Firewall-Regel auf Ihren AD FS-Servern blockiert werden.
  • Richtlinie „Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben“ aktiviert
    • In der Administrationskonsole von LastPass muss die Richtlinie Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben für mindestens einen LastPass-Administrator (der auch der Nicht-Verbundadministrator ist) aktiviert werden. Dies stellt sicher, dass alle LastPass-Benutzerkonten weiterhin wiederhergestellt werden können (über das Zurücksetzen von Master-Passwörtern), wenn eine kritische Einstellung für die Verbundanmeldung falsch konfiguriert oder geändert werden kann, nachdem die Einrichtung abgeschlossen ist.

Sobald alle diese Anforderungen erfüllt sind, müssen Sie während des Installationsprozesses einige grundlegende Informationen notieren. Öffnen Sie einen Texteditor und bereiten Sie die folgenden Felder vor:

  • Unternehmensweiter Schlüssel:
  • URL des Identitätsanbieters:
  • Öffentlicher Schlüssel des Identitätsanbieters:
  • ACS-URL (Assertion Consumer Service) von LastPass:

Fahren Sie mit dem nächsten Schritt fort, nachdem Sie diese Felder in Ihrem Texteditor vorbereitet haben.

Schritt 2: URL und öffentlichen Schlüssel des Identitätsanbieters ermitteln

Als Nächstes müssen Sie sich bei Ihrem ADFS-Server anmelden und die vollständige URL Ihres Identitätsanbieters (Verbunddienstname + URL-Pfad der Endpunkt-Tokenausstellung) sowie den öffentlichen Schlüssel Ihres Identitätsanbieters abrufen.

URL des Identitätsanbieters

  1. Melden Sie sich bei Ihrem ADFS-Server an und aktivieren Sie das ADFS-Management-Tool.
  2. Klicken Sie mit der rechten Maustaste auf Dienst > Verbunddiensteigenschaften bearbeiten.
  3. Kopieren Sie auf der Registerkarte „Allgemein“ die URL im Feld Verbunddienstname (z. B. fs.fabrikam.com) und fügen Sie sie in einen Texteditor ein. Stellen Sie sicher, dass der in Ihren Texteditor eingegebene Verbunddienstname mit „https://“ beginnt, da es sich um ein sicheres Protokoll handeln muss (z. B. https://fs.fabrikam.com).

Verbunddienstnamen kopieren

URL-Pfad der Endpunkt-Tokenausstellung:

  1. Gehen Sie im ADFS-Management-Tool zu DienstEndpunkte.
  2. Suchen Sie im Abschnitt „Tokenausstellung“ den Eintrag, für den in der Spalte „Typ“ SAML 2.0/WS-Federation aufgeführt ist (z. B. „adfs/ls“ ist der Standardpfad, der jedoch je nach Umgebung unterschiedlich sein kann).
  3. Kopieren Sie den Wert im Feld URL-Pfad und fügen Sie ihn in einen Texteditor am Ende des URL-Pfads des Identitätsanbieters ein, sodass Folgendes angezeigt wird: https:// < Verbunddienstname > + < URL-Pfad der Endpunkt-Tokenausstellung >. Beispiel: Alle drei Komponenten kombiniert würden „https://fs.fabrikam.com/adfs/ls“ als Ihre vollständige Identitätsanbieter-URL ergeben.

ADFS-URL-Pfad der Endpunkt-Tokenausstellung kopieren

Öffentlicher Schlüssel des Identitätsanbieters

  1. Gehen Sie im ADFS-Management-Tool zu DienstZertifikate.
  2. Klicken Sie mit der rechten Maustaste auf den Eintrag Tokensignaturzertifikat und wählen Sie Zertifikat anzeigen.
  3. Klicken Sie auf die Registerkarte Details und wählen Sie dann Öffentlicher Schlüssel.
  4. Markieren und kopieren Sie im Abschnitt unten den gesamten öffentlichen Schlüssel und fügen Sie ihn in einen Texteditor ein.

Führen Sie den nächsten Schritt aus, nachdem Sie die vollständige URL und den öffentlichen Schlüssel Ihres Identitätsanbieters in einem Texteditor erfasst haben.

Öffentlicher Schlüssel aus „Details“ in Eigenschaften des Tokensignaturzertifikats

Zusätzlicher Schritt für ADFS-Farmumgebungen:

  • Stellen Sie sicher, dass jeder ADFS-Knoten über dasselbe Tokensignaturzertifikat verfügt.

Schritt 3: Einstellungen für die LastPass-Enterprise- oder Identity-Verbundanmeldung konfigurieren

Wenn Sie den Active Directory Connector (ADC) von LastPass bereits installiert haben, müssen Sie den Dienst stoppen und die ADC-Anwendung beenden. Sie müssen ihn zu einem späteren Zeitpunkt starten.

Nachdem Sie alle erforderlichen Informationen abgerufen haben, können Sie die LastPass-Enterprise- oder Identity-Verbundanmeldung wie folgt konfigurieren:

  1. Melden Sie sich an und greifen Sie auf die Administrationskonsole zu:
  2. Gehen Sie im linken Navigationsbereich zu EinstellungenVerbundanmeldung.
  3. Fügen Sie die vollständige URL Ihres Identitätsanbieters (d. h., https://+Verbunddienstname+URL-Pfad der Endpunkt-Tokenausstellung), die Sie in Schritt 2 ermittelt haben, in das FeldAnbieter-URL ein.
  4. Fügen Sie den öffentlichen Schlüssel Ihres Identitätsanbieters, den Sie in Schritt 2 ermittelt haben, in das Feld Öffentlicher Schlüssel ein.
  5. Nachdem alle Felder in beiden Abschnitten aktualisiert wurden, aktivieren Sie das Kontrollkästchen Enabled (Aktiviert).
  6. Klicken Sie auf Einstellungen speichern.
  7. Nach dem Speichern wird das darunter angezeigte Feld LastPass-ACS-URL (Assertion Consumer Service) automatisch generiert. Kopieren Sie Ihre ACS-URL von LastPass von fügen Sie sie in einen Texteditor ein.

Schritt 4: LastPass-Active-Directory-Connector installieren

Tipp: Erstellen Sie eine kleine Kontrollgruppe von Benutzern in Active Directory, um sie zunächst für die nachfolgenden Schritte zu verwenden.
  1. Installieren Sie den Active Directory Connector von LastPass (Anleitung). Ist der LastPass-AD-Connector bereits installiert, müssen Sie die Anwendung neu starten, bevor Sie die Einstellungen ändern.
  2. Konfigurieren Sie den Active Directory Connector von LastPass, indem Sie Folgendes auswählen: ActionsWhen a user is detected in Active Directory > Automatically create user in LastPass (Aktionen > Wenn ein Benutzer in Active Directory erkannt wird > Benutzer automatisch in LastPass erstellen) (in Ihrer lokalen nicht produktiven und Ihrer Live-Umgebung).
    Warnung: Diese Option muss ausgewählt werden, damit Verbundbenutzer über AD FS erstellt werden.
  3. Wählen Sie im linken Navigationsbereich AD FS aus und klicken Sie dann auf Edit (Bearbeiten).
  4. Klicken Sie auf Generate New Secret (Neuen geheimen Schlüssel erstellen).
    Achtung: Speichern Sie den neuen geheimen Schlüssel (der im Feld „Company-wide key“ (Unternehmensweiter Schlüssel) angezeigt wird) an einem sicheren Ort. Sollte je eine Neuinstallation des LastPass-AD-Connectors erforderlich sein, dann müssen Sie dabei diesen unternehmensweiten Schlüssel eingeben.
  5. Wechseln Sie nach dem Einrichten aller Konfigurationen zur Registerkarte Start im linken Navigationsbereich des LastPass-AD-Connectors. Setzen Sie dann ein Häkchen neben Enable sync (Synchronisation aktivieren), um mit dem Synchronisieren zu beginnen.
  6. Melden Sie sich an und greifen Sie auf die Administrationskonsole zu:
  7. Gehen Sie im Menü links zu Benutzer, um zu verfolgen, wie die Benutzerfelder beim Synchronisieren mit Ihrem Active Directory ausgefüllt werden. Die Benutzernamen der Verbundbenutzer beginnen mit einem Sternchen (*) (z. B. *john.doe@acme.com).

Schritt 5: Unternehmensweiten Schlüssel in LastPass registrieren

Als Nächstes müssen Sie Ihren unternehmensweiten Schlüssel in LastPass registrieren, indem Sie den ADFS-Plugin-Installer auf Ihrem ADFS-Server ausführen.

  1. Melden Sie sich an und greifen Sie auf die Administrationskonsole zu:
  2. Gehen Sie im linken Navigationsbereich zu EinstellungenVerbundanmeldung.
  3. Klicken Sie unten auf der Seite im Abschnitt „LastPass-Speicher für benutzerdefinierte Attribute“ auf Download für AD FS-Server 3.0 (für Windows Server 2012 R2) oder auf Download für AD FS-Server 4.0 (für Windows Server 2016 oder Windows Server 2019) und speichern Sie die MSI-Datei von LastPass.
  4. Melden Sie sich bei Ihrem primären ADFS-Server an und übertragen Sie die MSI-Datei auf den Desktop Ihres ADFS-Servers. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Als Administrator ausführen oder führen Sie das MSI-Installationsprogramm in einer Eingabeaufforderung mit höheren Rechten aus. Klicken Sie auf Ja, wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden.
    Hinweis: Das MSI-Installationsprogramm für das ADFS-Plugin muss als Administrator oder mit erhöhten Rechten ausgeführt werden, und zwar auch dann, wenn Sie als Domänenadministrator angemeldet sind.
  5. Klicken Sie auf Nächste.
  6. Geben Sie Ihre LastPass-ACS-URL (Assertion Consumer Service) (aus Schritt 3, Aktion 6) gefolgt von Ihrem unternehmensweiten Schlüssel (aus Schritt 4, Aktion 4) ein und klicken Sie auf Weiter.
  7. Klicken Sie nach Abschluss des Registrierungsvorgangs auf Fertigstellen.
  8. Starten Sie den ADFS-Windows-Dienst erneut. Das ist ein erforderlicher Schritt.

Zusätzliche Schritte für ADFS-Farmumgebungen:

  1. Navigieren Sie auf dem ADFS-Server zum Verzeichnis C:\Windows\ADFS, in dem Sie die MSI-Datei von LastPass installiert haben.
  2. Kopieren Sie die folgenden Dateien in den Ordner C:\Windows\ADFS aller sekundären ADFS-Server:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Starten Sie den ADFS-Windows-Dienst auf den sekundären ADFS-Knoten neu. Das ist ein erforderlicher Schritt.

Schritt 6: Änderungen der Zugriffssteuerungsrichtlinie anwenden

Der LastPass-Speicher für benutzerdefinierte Attribute hat die Vertrauensstellung der vertrauenden Seite „LastPass Trust“ auf Ihren ADFS-Servern installiert.

  1. Melden Sie sich bei Ihrem primären ADFS-Server an.
  2. Navigieren Sie zu den ADFS-Management-Einstellungen.
  3. Gehen Sie im linken Navigationsbereich zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite und folgen Sie den nächsten Schritten Ihrer ADFS-Serverversion entsprechend:
    • ADFS 3.0 – Windows Server 2012 R2
      1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Anspruchsregeln bearbeiten....
      2. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und legen Sie die gewünschte Regel fest. Diese bestimmt, wie die Benutzer bei der Verbundanmeldung mit ADFS bei LastPass authentifiziert werden.
    • AD FS Server – 4.0 Windows Server 2016 oder Windows Server 2019
      1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Zugriffssteuerungsrichtlinie bearbeiten....
      2. Legen Sie die gewünschte Regel fest. Diese bestimmt, wie die Benutzer bei der Verbundanmeldung mit ADFS bei LastPass authentifiziert werden.

Das war’s schon!

Sie haben die Active-Directory-Verbunddienste (ADFS) erfolgreich für Ihr LastPass-Enterprise- oder Identity-Konto eingerichtet. Alle neu synchronisierten Verbundbenutzer erhalten eine Begrüßungsmail, die sie informiert, dass sie sich jetzt anmelden und LastPass verwenden können.