HELP FILE

LastPass Active Directory Connector einrichten

Der Active Directory Connector ist eine Desktopanwendung, die Active Directory-Benutzer-Updates empfängt und automatisch die gleichen Änderungen in Ihrem LastPass-Geschäftskonto vornimmt.

Hinweis: Installieren Sie den Active Directory Connector nicht auf Ihrem Domänencontroller.

Sie können die Systemanforderungen und Installationsschritte anzeigen und sich dann informieren, wie Sie die Verbindungs-, Aktions-, Synchronisations-, Proxy-, Debug- und Migrationseinstellungen konfigurieren können.

Ggf. können Sie die Active-Directory-Verbunddienste (ADFS) in Ihrem LastPass-Enterprise- oder Identity-Konto einrichten, damit Ihre Benutzer ihre Active-Directory-Anmeldeinformationen beim Anmelden bei LastPass verwenden können.

Systemanforderungen

Für die Installation des AD-Connectors muss Ihre lokale Umgebung die folgenden Mindestanforderungen erfüllen.

Hinweis: Die Systemanforderungen können je nach Active-Directory-Umgebung variieren.
Prozessor Intel Core Duo
Betriebssystem
  • Windows 8.1 (x64) oder höher
  • Server 2012 R2 (x64) oder höher

*Im Betriebssystem muss .NET Framework 4.5.2 oder höher installiert sein

Arbeitsspeicher 8 GB RAM
Speicherplatz 500 MB oder mehr
Bandbreite Verbraucht mindestens 200 Mbit/s pro Tag
Software Desktopanwendung „LastPass Active Directory Connector“

Active Directory Connector installieren

Hinweis: Installieren Sie den Active Directory Connector nicht auf Ihrem Domänencontroller.

Zunächst müssen Sie den Active Directory Connector wie folgt installieren:

  1. Rufen Sie https://lastpass.com/company/#!/dashboard auf und melden Sie sich bei der Administrationskonsole an.
  2. Gehen Sie zu EinstellungenIntegration von VerzeichnisdienstenAD Connector herunterladen.
  3. Klicken Sie auf Aufforderung auf Speichern, Ausführen und dann auf die Datei „LastPassADConnector.msi“. Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, müssen Sie auf Ja klicken, um die Verwendung zu erlauben.
  4. Klicken Sie im Setup-Assistenten des LastPass-AD-Connectors auf Next (Weiter).
  5. Aktivieren Sie das Kontrollkästchen, um den Bedingungen in der Lizenzvereinbarung zuzustimmen, und klicken Sie auf Next (Weiter).
  6. Bestätigen Sie den gewünschten Installationspfad und klicken Sie auf Next (Weiter).
  7. Klicken Sie auf Install (Installieren). Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, müssen Sie auf Ja klicken, um die Verwendung zu erlauben.
  8. Klicken Sie nach Abschluss der Installation auf Finish (Fertigstellen). Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, müssen Sie auf Ja klicken, um die Verwendung zu erlauben.
  9. Nach der Installation wird eine Anmeldeaufforderung angezeigt.  Melden Sie sich mit Ihrer Admin-E-Mail-Adresse für LastPass und Ihrem Master-Passwort an und klicken Sie dann auf Anmelden.

Verbindungseinstellungen konfigurieren

Als Nächstes müssen Sie die Verbindung zwischen LastPass und Ihrem Active Directory konfigurieren, indem Sie die folgenden Informationen eingeben:

  • Connection configuration (Verbindungskonfiguration): Domain oder Server (z. B. lpadsync) oder ein Domänencontroller, mit dem – anstelle einer Domain – eine Verbindung hergestellt werden soll (z. B. lp-adsync-dc01.lpadsync.local)
  • Credentials (Zugangsdaten): Ihre aktuellen Benutzerzugangsdaten oder ein bestimmter Satz Benutzerzugangsdaten
  • Base DN (Basis-DN): Sie können den Basis-DN automatisch ermitteln oder einen Basis-DN angeben. Dies ist der Stammknoten, unter dem sich alle relevanten Benutzer- und Gruppenobjekte befinden. Für eine optimale Leistung sollten sich alle relevanten Benutzer und ihre eingebetteten Gruppen unter dem angegebenen Basis-DN befinden.

Klicken Sie nach Abschluss des Vorgangs auf Next (Weiter), um die Aktionseinstellungen zu konfigurieren.

Aktionseinstellungen konfigurieren

Sobald Ihre Verbindungseinstellungen konfiguriert sind, konfigurieren Sie im nächsten Schritt Ihre Aktionseinstellungen, um anzugeben, welche Aktionen auszuführen sind, wenn bestimmte Ereignisse für Benutzer in Ihrem Active Directory eintreten.

Hinweis: Es wird empfohlen, die Kontooption „Deaktivieren“ anstelle von „Löschen“ zu verwenden, um unerwünschte Aktionen für Benutzerkonten zu verhindern (d. h., vollständiger Verlust der Vault-Daten gelöschter Benutzer).

Treffen Sie Ihre Auswahl unter den folgenden Optionen:

When a user in Active Directory is detected (Wenn ein Benutzer in Active Directory erkannt wird):

  • Add the user in the Enterprise Console, but require approval (Benutzer der Enterprise-Konsole hinzufügen, jedoch Genehmigung anfordern): Hiermit werden Benutzer zwischen Active Directory und LastPass synchronisiert. Den Benutzern wird danach jedoch der Status „Ausstehend“ zugewiesen (und sie müssen manuell genehmigt werden), anstatt sofort ein Konto für jeden Benutzer zu erstellen.
  • Automatically create user in LastPass (Benutzer automatisch in LastPass erstellen): Hiermit wird automatisch für jeden neuen Benutzer ein Konto erstellt. Die Benutzer erhalten außerdem eine automatische Begrüßungsmail mit einem temporären Passwort und Anweisungen zum Anlegen ihres individuellen Master-Passworts.
    Hinweis: WARNUNG! Diese Option muss ausgewählt werden, wenn Sie Verbundbenutzer über die LastPass-Enterprise- oder Identity-Integration in die Active-Directory-Verbunddienste (ADFS) bereitstellen.
  • Nichts unternehmen: Es werden keine Aktionen ausgeführt.

Wenn ein Benutzer in Active Directory gelöscht wird:

  • LastPass-Konto administrativ deaktivieren: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und aus Ihrem LastPass-Enterprise- oder Identity-Konto entfernt. Das Konto wird jedoch in einen kostenlosen LastPass-Free-Benutzer umgewandelt, und der Benutzer kann weiterhin auf alle Vault-Daten im Konto zugreifen.
  • LastPass-Konto automatisch löschen: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden vollständig gelöscht.

Wenn ein Benutzer in Active Directory deaktiviert ist:

  • LastPass-Konto administrativ deaktivieren: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • LastPass-Konto automatisch löschen: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden vollständig gelöscht.
  • Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und aus Ihrem LastPass-Enterprise- oder Identity-Konto entfernt. Das Konto wird jedoch in einen kostenlosen LastPass-Free-Benutzer umgewandelt, und der Benutzer kann weiterhin auf alle Vault-Daten im Konto zugreifen.

Wenn ein Benutzer in Active Directory aus einer Gruppe im Filter entfernt wird:

  • LastPass-Konto administrativ deaktivieren: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • LastPass-Konto automatisch löschen: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden vollständig gelöscht.
  • Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen: Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und aus Ihrem LastPass-Enterprise- oder Identity-Konto entfernt. Das Konto wird jedoch in einen kostenlosen LastPass-Free-Benutzer umgewandelt, und der Benutzer kann weiterhin auf alle Vault-Daten im Konto zugreifen.
  • Nichts unternehmen: Es werden keine Aktionen ausgeführt.

Klicken Sie nach dem Konfigurieren aller Aktionseinstellungen auf Next (Weiter), um die Synchronisierungseinstellungen zu konfigurieren.

Synchronisierungseinstellungen konfigurieren

Nach dem Konfigurieren der Aktionseinstellungen konfigurieren Sie im nächsten Schritt Ihre Synchronisierungseinstellungen, um Ihre Felder, Gruppen und Benutzer anzugeben, die Sie zwischen LastPass und Ihrem Active Directory synchronisieren möchten.

Hinweis: Benutzer müssen in Active Directory mit einer E-Mail-Adresse gespeichert sein, damit sie mit LastPass synchronisiert werden können.

Synchronisierungskonfiguration:

  • Sync user's full name from AD (Vollständigen Namen des Benutzers aus AD synchronisieren): Mit dieser Option wird der vollständige Name jedes Benutzers synchronisiert und nach der Aktivierung in LastPass angezeigt. Standardmäßig listet LastPass Benutzer nur anhand ihrer Benutzernamen (d. h. E-Mail-Adresse) auf.
  • Create groups in LastPass (Gruppen in LastPass erstellen): Wenn eine Gruppe in Active Directory, jedoch nicht in LastPass vorhanden ist, werden diese Gruppen durch Aktivieren dieser Option in LastPass erstellt. Wenn Sie in LastPass Gruppen basierend auf Ihrem Active Directory erstellen, werden alle bestehenden Gruppen aus LastPass entfernt und durch die angegebenen Active-Directory-Gruppen ersetzt.
  • Sync search interval (Suchintervall synchronisieren): Hierdurch wird der AD Connector gezwungen, im festgelegten Zeitintervall (zwischen 5 und 3600 Sekunden) zyklisch nach Änderungen zu suchen und Änderungen vorzunehmen.

Filter users based on group membership (Benutzer anhand ihrer Gruppenmitgliedschaft filtern):

  • Sie müssen in diesem Abschnitt mindestens eine Gruppe angeben, um mit der Einrichtung fortzufahren, auch wenn Sie nicht vorhaben, in LastPass mit Gruppen zu arbeiten. Wenn keine Gruppe angegeben ist, erhalten Sie die Fehlermeldung „Login failed“ (Anmeldung fehlgeschlagen).
  • Sie können auf Browse (Durchsuchen) und Search (Suchen) klicken, um auf einfache Weise in den verbundenen Active-Directory-Gruppen zu navigieren und nur die Gruppen auszuwählen, die Sie synchronisieren möchten. Wenn Sie Benutzergruppen hinzugefügt haben, die Sie nicht synchronisieren möchten, müssen Sie die Gruppe durch Klicken auswählen und dann auf Remove selected groups (Ausgewählte Gruppen entfernen) klicken.
  • Sie können auch einschränken, welche Benutzer in Ihr Unternehmenskonto aufgenommen werden, indem Sie im AD-Connector einen Synchronisierungsfilter definieren. Dieses Feld sollte mit dem DN-String der zu filternden Gruppe gefüllt werden. Eine gute Quelle für korrekte DN-Strings ist das ADSI-Bearbeitungstool. Verwenden Sie beim Hinzufügen mehrerer Gruppen zu Synchronisierungsfiltern die vollständigen DN-Strings im folgenden Format:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Benutzermitgliedschaften:

  • Alle Gruppenmitgliedschaften synchronisieren: Hiermit werden alle Benutzergruppen in Ihrem Active Directory mit Ihrem LastPass-Enterprise-Konto synchronisiert.
  • Positivliste zum Filtern von Gruppen verwenden: Verwenden Sie die Optionen Durchsuchen oder Suchen, um eine Dachgruppe zu suchen und auszuwählen, der die synchronisierenden Gruppen direkt zugeordnet sind. Die ausgewählte Dachgruppe selbst wird jedoch nicht auf die Whitelist gesetzt.
  • Geschachtelte Gruppen einbeziehen: Aktivieren Sie das Kontrollkästchen für diese Option, wenn alle Untergruppen einer Gruppe während der Synchronisierung einbezogen werden sollen (wenn z. B. Gruppe A Gruppe B und Gruppe B Gruppe C enthält, dann werden die Gruppen A, B und C einbezogen). Auf diese Weise können Sie Benutzerkonten konsolidieren, doppelte Zugriffsrechte entfernen und verschachtelten Gruppen automatisch Zugriff auf Websites oder freigegebene Ordner gewähren.
  • Sync only the groups specified in the Filter users section (Nur die im Abschnitt „Benutzer filtern“ angegebenen Gruppen synchronisieren): Bitte gehen Sie bei Auswahl dieser Einstellung mit der größten Vorsicht vor. Mit dieser Option werden nur Benutzer in den Gruppen synchronisiert, die Sie in der Liste Filter users based on group membership (Benutzer nach Gruppenmitgliedschaft filtern) angegeben haben. Wenn ein Benutzer in Ihrem Active Directory die Mitgliedschaft in allen angegebenen Gruppen verliert, wird die Deaktivierungs-/Löschaktion ausgelöst, die Sie in Ihren Aktionseinstellungen angegeben haben. Dies kann dazu führen, dass Benutzer außerhalb Ihrer ausgewählten Gruppen deaktiviert oder gelöscht werden. Aus diesem Grund wird dringend empfohlen, einen Gruppensatz auszuwählen, der alle zu synchronisierenden Benutzer enthält, um unerwünschte Aktionen beim Aktivieren dieser Einstellung zu vermeiden.
    Hinweis: Stellen Sie sicher, dass sich alle relevanten Benutzer, Gruppen und Untergruppen unter dem ausgewählten Basis-DN befinden, den Sie in den Verbindungseinstellungen angegeben haben.
  • Do not sync group memberships (Gruppenmitgliedschaften nicht synchronisieren): Diese Option synchronisiert keine Benutzergruppen in Ihrem Active Directory mit Ihrem LastPass-Enterprise-Konto.

Excluded Groups (Ausgeschlossene Gruppen):

  • Use regular expressions to skip subgroups (Reguläre Ausdrücke zum Überspringen von Untergruppen verwenden): Wenn Sie die Option Sync all group memberships (Alle Gruppenmitgliedschaften synchronisieren) aktiviert haben, können Sie eine Blacklist erstellen, um durch Eingabe des regulären Ausdrucks (d. h. eines bestimmten Gruppennamens in Ihrem Active Directory) sicherzustellen, dass bestimmte Gruppen nicht synchronisiert werden. Wenn für den angegebenen regulären Ausdruck eine Übereinstimmung vorliegt, kann diese Gruppe (und Untergruppen, wenn die Option „Include nested groups“ (Geschachtelte Gruppen einbeziehen) aktiviert ist) nicht mit Ihrem LastPass-Enterprise-Konto synchronisiert werden.

Additional attributes to sync (Zusätzliche zu synchronisierende Attribute):

  • Comma separated list (Durch Kommas getrennte Liste): Hier können Sie einen Active-Directory-Benutzerattributnamen (z. B. sAMAccountName) angeben, der mit Ihrem LastPass-Enterprise-Konto synchronisiert werden soll.

Klicken Sie auf Next (Weiter), nachdem Sie alle Synchronisierungseinstellungen ausgewählt haben, um die Debug-Einstellungen zu konfigurieren.

Proxy-Einstellungen konfigurieren

Proxy-Einstellungen können pro ausführbarer Datei für alle .NET-Apps oder pro Benutzer mithilfe von IE-Einstellungen konfiguriert werden. Die Benutzeroberfläche kann die Kerberos-Authentifizierung mit den Zugangsdaten des aktuell angemeldeten Benutzers verwenden (der ein Domänenbenutzer sein muss); der Dienst mit den Zugangsdaten des Computers (der mit der Domain verbunden sein muss). Es genügt nicht, die Einstellungen nur für den aktuell angemeldeten Benutzer zu ändern, da nur der AD Connector als aktuell angemeldeter Benutzer ausgeführt wird; der Synchronisierungsdienst als NT AUTHORITY\SYSTEM .

Debug (Debuggen)

Sie können Ihre Debug-Einstellungen für die Behebung von Synchronisierungsproblemen mit dem AD-Connector konfigurieren.

Logging options (Protokollierungsoptionen):

  • Logging level (Protokollierungsstufe): Treffen Sie im Dropdown-Menü eine Auswahl aus den folgenden Optionen:
    • Error (Fehler)
    • Warning (Warnung)
    • Info (Info; Standardeinstellung)
    • Debug (Debuggen)
    • Trace (Verfolgen)
  • Maximum number of 100MB log files (5-90) (Maximale Anzahl von 100-MB-Protokolldateien (5–90)): Wählen Sie die gewünschte Menge Speicherplatz aus, die die Protokolldateien belegen dürfen.

Clear local cache (Lokalen Cache leeren):

  • Klicken Sie auf Clear local cache (Lokalen Cache leeren), um die standardmäßig lokal gespeicherten Gruppen- und Benutzerdaten manuell zu löschen (diese Option sollte verwendet werden, wenn Sie Ihr Active Directory aus einem Backup wiederherstellen müssen). Weitere Informationen.
  • Klicken Sie auf Open log folder (Protokollordner öffnen), um den Windows-Explorer zu öffnen, und navigieren Sie zu C:\ProgramData\LastPass, um Ihre ADConnector.log-Datei auszuwählen. Wenn Sie weitere Hilfe benötigen, können Sie ein Supportticket für den Kundensupport von LastPass anlegen. Wählen Sie dazu Support kontaktieren unter diesem Artikel. Nachdem der Kundensupport von LastPass geantwortet hat, fügen Sie bitte die Protokolldatei zur weiteren Prüfung zu Ihrem Ticket hinzu.

Klicken Sie nach Abschluss des Vorgangs auf Finish (Fertigstellen), wechseln Sie zu Home (Startseite) und aktivieren Sie das Kontrollkästchen Enable sync (Synchronisation aktivieren), um mit dem Synchronisieren zu beginnen.

Migration

Wenn Sie in Ihrem LastPass-Enterprise-Konto die Active-Directory-Verbunddienste (ADFS) eingerichtet haben, können Sie im AD-Connector von LastPass die Option Migration verwenden, um nicht verbundene Benutzer in Verbundbenutzerkonten zu konvertieren. Detaillierte Anweisungen finden Sie unter Wie kann ich einen bestehenden LastPass-Benutzer in einen Verbundbenutzer (ADFS) ändern?

Registerkarte „Migration“ im LastPass-AD-Connector