HELP FILE

LastPass Active Directory Connector einrichten

Der Active Directory Connector (AD Connector) von LastPass ist ein lokal als Windows-Dienst ausgeführter Synchronisierungsclient, den Sie über die Administrationskonsole Ihres LastPass-Enterprise-Kontos herunterladen können. Er verbindet Sie mit Ihrer Active-Directory-Umgebung und unterstützt so eine Vielzahl von Bereitstellungs- und Verwaltungsprozessen in LastPass Enterprise.

Hinweis: Installieren Sie den Active Directory Connector nicht auf Ihrem Domänencontroller.

Sie können die Systemanforderungen und Installationsschritte anzeigen und sich dann informieren, wie Sie die Verbindungs-, Aktions-, Synchronisations-, Proxy-, Debug- und Migrationseinstellungen konfigurieren können.

Ggf. können Sie die Active-Directory-Verbunddienste (ADFS) in Ihrem LastPass-Enterprise-Konto einrichten, damit Ihre Benutzer ihre Active-Directory-Anmeldeinformationen beim Anmelden bei LastPass verwenden können.

Systemanforderungen

Für die Installation des AD-Connectors muss Ihre lokale Umgebung die folgenden Mindestanforderungen erfüllen.

Hinweis: Die Systemanforderungen können je nach Active-Directory-Umgebung variieren.

Prozessor Intel Core Duo
Betriebssystem
  • Windows 8.1 (x64) oder höher
  • Server 2012 R2 (x64) oder höher

*Im Betriebssystem muss .NET Framework 4.5.2 oder höher installiert sein

Arbeitsspeicher 8 GB RAM
Speicherplatz 500 MB oder mehr
Bandbreite Verbraucht 200 Mbps oder mehr am Tag
Software Desktopanwendung „LastPass Active Directory Connector“

Active Directory Connector installieren

Hinweis: Installieren Sie den Active Directory Connector nicht auf Ihrem Domänencontroller.

Zunächst müssen Sie den Active Directory Connector wie folgt installieren:

  1. Rufen Sie https://lastpass.com/company/#!/dashboard auf und melden Sie sich bei der Administrationskonsole an.
  2. Gehen Sie zu EinstellungenIntegration von VerzeichnisdienstenAD Connector herunterladen.
  3. Klicken Sie auf Aufforderung auf Speichern, Ausführen und dann auf die Datei „LastPassADConnector.msi“. Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, müsen Sie auf Ja klicken, um die Verwendung zu erlauben.
  4. Klicken Sie im Setup-Assistenten des LastPass-AD-Connectors auf Next (Weiter).
  5. Aktivieren Sie das Kontrollkästchen, um den Bedingungen in der Lizenzvereinbarung zuzustimmen, und klicken Sie auf Next (Weiter).
  6. Bestätigen Sie den gewünschten Installationspfad und klicken Sie auf Next (Weiter).
  7. Klicken Sie auf Install (Installieren). Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, müsen Sie auf Ja klicken, um die Verwendung zu erlauben.
  8. Klicken Sie nach Abschluss der Installation auf Finish (Fertigstellen). Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, müsen Sie auf Ja klicken, um die Verwendung zu erlauben.
  9. Nach der Installation wird eine Anmeldeaufforderung angezeigt.  Melden Sie sich mit Ihrer Admin-E-Mail-Adresse für LastPass Enterprise und Ihrem Master-Passwort an und klicken Sie dann auf Login (Anmelden).

Verbindungseinstellungen konfigurieren

Als Nächstes müssen Sie unter „Connections“ die Verbindung zwischen LastPass und Ihrem Active Directory konfigurieren, indem Sie die folgenden Informationen eingeben:

  • Connection configuration (Verbindungskonfiguration): Domain oder Server (z. B. lpadsync) oder ein Domänencontroller, mit dem – anstelle einer Domain – eine Verbindung hergestellt werden soll (z. B. lp-adsync-dc01.lpadsync.local)
  • Credentials (Zugangsdaten): Ihre aktuellen Benutzerzugangsdaten oder ein bestimmter Satz Benutzerzugangsdaten
  • Base DN (Basis-DN): Sie können den Basis-DN automatisch ermitteln oder einen Basis-DN angeben. Dies ist der Stammknoten, unter dem sich alle relevanten Benutzer- und Gruppenobjekte befinden. Für eine optimale Leistung sollten sich alle relevanten Benutzer und ihre eingebetteten Gruppen unter dem angegebenen Basis-DN befinden.

Klicken Sie nach Abschluss des Vorgangs auf Next (Weiter), um die Aktionseinstellungen zu konfigurieren.

Aktionseinstellungen konfigurieren

Nach dem Konfigurieren der Verbindungseinstellungen müssen Sie im nächsten Schritt unter „Actions“ Ihre Aktionseinstellungen festlegen. Diese bestimmen die auszuführenden Aktionen, wenn in Ihrem Active Directory bestimmte Benutzerereignisse eintreten.

Hinweis: Es wird empfohlen, die Kontooption „Deaktivieren“ anstelle von „Löschen“ zu verwenden, um unerwünschte Aktionen für Benutzerkonten zu verhindern (d. h., vollständiger Verlust der Vault-Daten gelöschter Benutzer).

Treffen Sie Ihre Auswahl unter den folgenden Optionen:

When a user in Active Directory is detected (Wenn ein Benutzer in Active Directory erkannt wird):

  • Add the user in the Enterprise Console, but require approval (Benutzer der Enterprise-Konsole hinzufügen, jedoch Genehmigung anfordern): Hiermit werden Benutzer zwischen Active Directory und LastPass synchronisiert. Den Benutzern wird danach jedoch der Status „Ausstehend“ zugewiesen (und sie müssen manuell genehmigt werden), anstatt sofort ein Konto für jeden Benutzer zu erstellen.
  • Automatically create user in LastPass (Benutzer automatisch in LastPass erstellen): Hiermit wird automatisch für jeden neuen Benutzer ein Konto erstellt. Die Benutzer erhalten außerdem eine automatische Begrüßungsmail mit einem temporären Passwort und Anweisungen zum Anlegen ihres individuellen Master-Passworts.

    WARNUNG! Diese Option muss ausgewählt werden, wenn Sie Verbundbenutzer über die LastPass-Enterprise-Integration in die Active-Directory-Verbunddienste (ADFS) bereitstellen.

  • Do nothing (Nichts unternehmen): Es werden keine Aktionen ausgeführt.

When a user in Active Directory is deleted (Wenn ein Benutzer in Active Directory gelöscht wird):

  • Administratively disable the LastPass account (LastPass-Konto administrativ deaktivieren): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • Remove from Enterprise account, but do not delete user (Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und der Benutzer aus Ihrem LastPass-Enterprise-Konto entfernt. Das Konto wird jedoch in ein kostenloses LastPass-Free-Konto umgewandelt und der Benutzer kann weiterhin auf alle Vault-Daten in seinem Konto zugreifen.
  • Automatically delete their LastPass account (LastPass-Konto automatisch löschen): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden vollständig gelöscht.

When a user in Active Directory is disabled (Wenn ein Benutzer in Active Directory deaktiviert wird):

  • Administratively disable the LastPass account (LastPass-Konto administrativ deaktivieren): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • Automatically delete their LastPass account (LastPass-Konto automatisch löschen): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden vollständig gelöscht.
  • Remove from Enterprise account, but do not delete user (Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und der Benutzer aus Ihrem LastPass-Enterprise-Konto entfernt. Das Konto wird jedoch in ein kostenloses LastPass-Free-Konto umgewandelt und der Benutzer kann weiterhin auf alle Vault-Daten in seinem Konto zugreifen.

When a user in Active Directory is removed from group in filter (Wenn ein Benutzer in Active Directory aus einer Gruppe im Filter entfernt wird):

  • Administratively disable the LastPass account (LastPass-Konto administrativ deaktivieren): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • Automatically delete their LastPass account (LastPass-Konto automatisch löschen): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden vollständig gelöscht.
  • Remove from Enterprise account, but do not delete user (Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen): Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und der Benutzer aus Ihrem LastPass-Enterprise-Konto entfernt. Das Konto wird jedoch in ein kostenloses LastPass-Free-Konto umgewandelt und der Benutzer kann weiterhin auf alle Vault-Daten in seinem Konto zugreifen.
  • Do nothing (Nichts unternehmen): Es werden keine Aktionen ausgeführt.

Klicken Sie nach dem Konfigurieren aller Aktionseinstellungen auf Next (Weiter), um die Synchronisierungseinstellungen zu konfigurieren.

Synchronisierungseinstellungen konfigurieren

Nach dem Konfigurieren der Aktionseinstellungen müssen Sie im nächsten Schritt unter „Sync“ Ihre Synchronisierungseinstellungen konfigurieren, um die Felder, Gruppen und Benutzer festzulegen, die Sie zwischen LastPass und Ihrem Active Directory synchronisieren möchten.

Hinweis: Benutzer müssen in Active Directory mit einer E-Mail-Adresse gespeichert sein, damit sie mit LastPass synchronisiert werden können.

Synchronisierungskonfiguration:

  • Sync user's full name from AD (Vollständigen Namen des Benutzers aus AD synchronisieren): Mit dieser Option wird der vollständige Name jedes Benutzers synchronisiert und nach der Aktivierung in LastPass angezeigt. Standardmäßig listet LastPass Benutzer nur anhand ihrer Benutzernamen (d. h. E-Mail-Adresse) auf.
  • Create groups in LastPass (Gruppen in LastPass erstellen): Wenn eine Gruppe in Active Directory, jedoch nicht in LastPass vorhanden ist, werden diese Gruppen durch Aktivieren dieser Option in LastPass erstellt. Wenn Sie in LastPass Gruppen basierend auf Ihrem Active Directory erstellen, werden alle bestehenden Gruppen aus LastPass entfernt und durch die angegebenen Active-Directory-Gruppen ersetzt.
  • Sync search interval (Suchintervall synchronisieren): Hierdurch wird der AD Connector gezwungen, im festgelegten Zeitintervall (zwischen 5 und 3600 Sekunden) zyklisch nach Änderungen zu suchen und Änderungen vorzunehmen.

Filter users based on group membership (Benutzer anhand ihrer Gruppenmitgliedschaft filtern):

  • Sie müssen in diesem Abschnitt mindestens eine Gruppe angeben, um mit der Einrichtung fortzufahren, auch wenn Sie nicht vorhaben, in LastPass mit Gruppen zu arbeiten. Wenn keine Gruppe angegeben ist, erhalten Sie die Fehlermeldung „Login failed“ (Anmeldung fehlgeschlagen).
  • Sie können auf Browse (Durchsuchen) und Search (Suchen) klicken, um auf einfache Weise in den verbundenen Active-Directory-Gruppen zu navigieren und nur die Gruppen auszuwählen, die Sie synchronisieren möchten. Wenn Sie Benutzergruppen hinzugefügt haben, die Sie nicht synchronisieren möchten, müssen Sie die Gruppe durch Klicken auswählen und dann auf Remove selected groups (Ausgewählte Gruppen entfernen) klicken.
  • Sie können auch einschränken, welche Benutzer in Ihr Unternehmenskonto aufgenommen werden, indem Sie im AD-Connector einen Synchronisierungsfilter definieren. Dieses Feld sollte mit dem DN-String der zu filternden Gruppe gefüllt werden. Eine gute Quelle für korrekte DN-Strings ist das ADSI-Bearbeitungstool. Verwenden Sie beim Hinzufügen mehrerer Gruppen zu Synchronisierungsfiltern die vollständigen DN-Strings im folgenden Format:

CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

User memberships (Benutzermitgliedschaften):

  • Sync all group memberships (Alle Gruppenmitgliedschaften synchronisieren): Hiermit werden alle Benutzergruppen in Ihrem Active Directory mit Ihrem LastPass-Enterprise-Konto synchronisiert.
  • Use whitelist to filter groups (Whitelist zum Filtern von Gruppen verwenden): Verwenden Sie die Optionen Browse (Durchsuchen) oder Search (Suchen), um eine Dachgruppe zu suchen und auszuwählen, der die synchronisierenden Gruppen direkt zugeordnet sind. Die ausgewählte Dachgruppe selbst wird jedoch nicht auf die Whitelist gesetzt.
  • Include nested groups (Geschachtelte Gruppen einbeziehen): Aktivieren Sie das Kontrollkästchen für diese Option, wenn alle Untergruppen einer Gruppe während der Synchronisierung einbezogen werden sollen (wenn z. B. Gruppe A Gruppe B und Gruppe B Gruppe C enthält, dann werden die Gruppen A, B und C einbezogen). Auf diese Weise können Sie Benutzerkonten konsolidieren, doppelte Zugriffsrechte entfernen und verschachtelten Gruppen automatisch Zugriff auf Websites oder freigegebene Ordner gewähren.
  • Sync only the groups specified in the Filter users section (Nur die im Abschnitt „Benutzer filtern“ angegebenen Gruppen synchronisieren): Bitte gehen Sie bei Auswahl dieser Einstellung mit der größten Vorsicht vor. Mit dieser Option werden nur Benutzer in den Gruppen synchronisiert, die Sie in der Liste Filter users based on group membership (Benutzer nach Gruppenmitgliedschaft filtern) angegeben haben. Wenn ein Benutzer in Ihrem Active Directory die Mitgliedschaft in allen angegebenen Gruppen verliert, wird die Deaktivierungs-/Löschaktion ausgelöst, die Sie in Ihren Aktionseinstellungen angegeben haben. Dies kann dazu führen, dass Benutzer außerhalb Ihrer ausgewählten Gruppen deaktiviert oder gelöscht werden. Aus diesem Grund wird dringend empfohlen, einen Gruppensatz auszuwählen, der alle zu synchronisierenden Benutzer enthält, um unerwünschte Aktionen beim Aktivieren dieser Einstellung zu vermeiden.

    Hinweis: Stellen Sie sicher, dass sich alle relevanten Benutzer, Gruppen und Untergruppen unter dem ausgewählten Basis-DN befinden, den Sie in den Verbindungseinstellungen angegeben haben.

  • Do not sync group memberships (Gruppenmitgliedschaften nicht synchronisieren): Diese Option synchronisiert keine Benutzergruppen in Ihrem Active Directory mit Ihrem LastPass-Enterprise-Konto.

Excluded Groups (Ausgeschlossene Gruppen):

  • Use regular expressions to skip subgroups (Reguläre Ausdrücke zum Überspringen von Untergruppen verwenden): Wenn Sie die Option Sync all group memberships (Alle Gruppenmitgliedschaften synchronisieren) aktiviert haben, können Sie eine Blacklist erstellen, um durch Eingabe des regulären Ausdrucks (d. h. eines bestimmten Gruppennamens in Ihrem Active Directory) sicherzustellen, dass bestimmte Gruppen nicht synchronisiert werden. Wenn für den angegebenen regulären Ausdruck eine Übereinstimmung vorliegt, kann diese Gruppe (und Untergruppen, wenn die Option „Include nested groups“ (Geschachtelte Gruppen einbeziehen) aktiviert ist) nicht mit Ihrem LastPass-Enterprise-Konto synchronisiert werden.

Additional attributes to sync (Zusätzliche zu synchronisierende Attribute):

  • Comma separated list (Durch Kommas getrennte Liste): Hier können Sie einen Active-Directory-Benutzerattributnamen (z. B. sAMAccountName) angeben, der mit Ihrem LastPass-Enterprise-Konto synchronisiert werden soll.

Klicken Sie auf Next (Weiter), nachdem Sie alle Synchronisierungseinstellungen ausgewählt haben, um die Debug-Einstellungen zu konfigurieren.

Proxy-Einstellungen konfigurieren

Proxy-Einstellungen können pro ausführbarer Datei für alle .NET-Apps oder pro Benutzer mithilfe von IE-Einstellungen konfiguriert werden. Die Benutzeroberfläche kann die Kerberos-Authentifizierung mit den Zugangsdaten des aktuell angemeldeten Benutzers verwenden (der ein Domänenbenutzer sein muss); der Dienst mit den Zugangsdaten des Computers (der mit der Domain verbunden sein muss). Es genügt nicht, die Einstellungen nur für den aktuell angemeldeten Benutzer zu ändern, da nur der AD Connector als aktuell angemeldeter Benutzer ausgeführt wird; der Synchronisierungsdienst als NT AUTHORITY\SYSTEM .

Für genaue Anweisungen können Sie Ihre Proxy-Einstellungen validieren.

Debug (Debuggen)

Sie können Ihre Debug-Einstellungen für die Behebung von Synchronisierungsproblemen mit dem AD-Connector konfigurieren.

Logging options (Protokollierungsoptionen):

  • Logging level (Protokollierungsstufe): Treffen Sie im Dropdown-Menü eine Auswahl aus den folgenden Optionen:
    • Error (Fehler)
    • Warning (Warnung)
    • Info (Info; Standardeinstellung)
    • Debug (Debuggen)
    • Trace (Verfolgen)
  • Maximum number of 100MB log files (5-90) (Maximale Anzahl von 100-MB-Protokolldateien (5–90)): Wählen Sie die gewünschte Menge Speicherplatz aus, die die Protokolldateien belegen dürfen.

Clear local cache (Lokalen Cache leeren):

  • Klicken Sie auf Clear local cache (Lokalen Cache leeren), um die standardmäßig lokal gespeicherten Gruppen- und Benutzerdaten manuell zu löschen (diese Option sollte verwendet werden, wenn Sie Ihr Active Directory aus einem Backup wiederherstellen müssen). Weitere Informationen.
  • Klicken Sie auf Open log folder (Protokollordner öffnen), um den Windows-Explorer zu öffnen, und navigieren Sie zu C:\ProgramData\LastPass, um Ihre ADConnector.log-Datei auszuwählen. Wenn Sie weitere Hilfe benötigen, können Sie ein Supportticket für den Kundensupport von LastPass anlegen. Wählen Sie dazu Support kontaktieren unter diesem Artikel. Nachdem der Kundensupport von LastPass geantwortet hat, fügen Sie bitte die Protokolldatei zur weiteren Prüfung zu Ihrem Ticket hinzu.

Klicken Sie nach Abschluss des Vorgangs auf Finish (Fertigstellen), wechseln Sie zu Home (Startseite) und aktivieren Sie das Kontrollkästchen Enable sync (Synchronisation aktivieren), um mit dem Synchronisieren zu beginnen.

Migration

Wenn Sie in Ihrem LastPass-Enterprise-Konto die Active-Directory-Verbunddienste (ADFS) eingerichtet haben, können Sie im AD-Connector von LastPass die Option Migration verwenden, um nicht verbundene Benutzer in Verbundbenutzerkonten zu konvertieren. Detaillierte Anweisungen finden Sie unter Wie ändere ich einen bestehenden LastPass-Benutzer in einen Verbundbenutzer (ADFS)?

Registerkarte „Migration“ im LastPass-AD-Connector

Verwandte Themen

Häufig gestellte Fragen zum Active Directory Connector

Verbundanmeldung mit ADFS für LastPass einrichten

Wie ändere ich einen bestehenden LastPass-Benutzer in einen Verbundbenutzer (ADFS)?