HELP FILE

LastPass Active Directory Connector einrichten

Der Synchronisierungsclient von LastPass Active Directory Connector (AD Connector) ist ein lokal ausgeführter Windows-Dienst, den Sie von der Administrationskonsole in Ihrem LastPass-Enterprise-Konto herunterladen können. Er verbindet Sie mit Ihrer Active Directory-Umgebung, um eine Vielzahl von Bereitstellungs- und Verwaltungsprozessen in LastPass Enterprise zu unterstützen..

Hinweis: Installieren Sie Active Directory Connector nicht auf Ihrem Domain-Controller.

Sie können die Systemanforderungen und Installationsschritte anzeigen und sich dann informieren, wie Sie die Verbindungs-, Aktions-, Synchronisations-, Proxy-, Debug- und Migrationseinstellungen konfigurieren können.

Nach Bedarf können Sie Active-Directory-Verbunddienste (AD FS) in Ihrem LastPass-Enterprise-Konto einrichten, damit Ihre Benutzer ihre Active-Directory-Anmeldeinformationen beim Anmelden bei LastPass verwenden können.

Systemanforderungen

Um Active Directory Connector zu installieren, muss Ihre lokale Umgebung die folgenden Mindestanforderungen erfüllen.

Hinweis: Die Systemanforderungen können je nach Active Directory-Umgebung variieren.

Prozessor Intel Core Duo
Betriebssystem
  • Windows 8.1 (x64) oder höher
  • Server 2012 R2 (x64) oder höher

*Im Betriebssystem muss .NET Framework 4.5.2 oder höher installiert sein

Arbeitsspeicher 8 GB RAM
Speicherplatz 500 MB oder mehr
Bandbreite Verbraucht 200 Mbit/s oder mehr pro Tag
Software Computer-App für LastPass-Active-Directory-Connector

Active Directory Connector installieren

Hinweis: Installieren Sie Active Directory Connector nicht auf Ihrem Domain-Controller.

Zunächst müssen Sie Active Directory Connector wie folgt installieren:

  1. Rufen Sie https://lastpass.com/company/#!/dashboard auf und melden Sie sich an, um auf die Administrationskonsole zuzugreifen.
  2. Gehen Sie zu EinstellungenIntegration von VerzeichnisdienstenAD Connector herunterladen.
  3. Klicken Sie auf Aufforderung auf Speichern, Ausführen und dann auf die LastPassADConnector.msi-Datei. Wenn Sie von der Benutzerkontensteuerung (UAC) dazu aufgefordert werden, klicken Sie auf Ja, um die Verwendung zu erlauben.
  4. Klicken Sie im LastPass AD Connector-Setup-Assistenten auf Weiter.
  5. Aktivieren Sie das Kontrollkästchen, um die Option „Ich stimme den Bedingungen in der Lizenzvereinbarung zu“ zu aktivieren, und klicken Sie dann auf Weiter.
  6. Bestätigen Sie den gewünschten Installationspfad und klicken Sie auf Weiter.
  7. Klicken Sie auf Installieren. Wenn Sie von der Benutzerkontensteuerung (UAC) dazu aufgefordert werden, klicken Sie auf Ja, um die Verwendung zu erlauben.
  8. Klicken Sie nach Abschluss der Installation auf Fertigstellen. Wenn Sie von der Benutzerkontensteuerung (UAC) dazu aufgefordert werden, klicken Sie auf Ja, um die Verwendung zu erlauben.
  9. Nach der Installation wird eine Anmeldeaufforderung angezeigt.  Melden Sie sich mit Ihrer Admin-E-Mail-Adresse für LastPass Enterprise und Ihrem Master-Passwort an und klicken Sie dann auf Anmelden.

Konfigurationseinstellungen konfigurieren

Als Nächstes müssen Sie die Verbindung zwischen LastPass und Ihrem Active Directory konfigurieren, indem Sie die folgenden Informationen eingeben:

  • Verbindungskonfiguration – Domain oder Server (z. B. lpadsync) oder ein Domänencontroller, mit dem – anstelle einer Domain – eine Verbindung hergestellt werden soll (z. B. lp-adsync-dc01.lpadsync.local)
  • Zugangsdaten – Aktuelle Benutzerzugangsdaten oder einen bestimmten Satz von Benutzerzugangsdaten
  • Basis-DN – Basis-DN automatisch ermitteln lassen oder eine Basis-DN angeben. Dies ist der Stammknoten, unter dem sich alle relevanten Benutzer- und Gruppenobjekte befinden. Für eine optimale Leistung wird empfohlen, sollten sich alle relevanten Benutzer und ihre eingebetteten Gruppen unter der angegebenen Basis-DN befinden.

Klicken Sie nach Abschluss des Vorgangs auf Weiter, um die Aktionseinstellungen zu konfigurieren.

Aktionseinstellungen konfigurieren

Sobald Ihre Verbindungseinstellungen konfiguriert sind, konfigurieren Sie im nächsten Schritt Ihre Aktionseinstellungen, um anzugeben, welche Aktionen auszuführen sind, wenn bestimmte Ereignisse für Benutzer in Ihrem Active Directory eintreten.

Hinweis: Es wird empfohlen, die Kontooption „Deaktivieren“ anstelle von „Löschen“ zu verwenden, um unerwünschte Aktionen für Benutzerkonten zu verhindern (d. h., vollständiger Verlust der Vault-Daten für einen gelöschten Benutzer)..

Treffen Sie Ihre Auswahl unter den folgenden Optionen:

Wenn ein Benutzer in Active Directory erkannt wird:

  • Benutzer der Enterprise-Konsole hinzufügen, jedoch Genehmigung anfordern – Hiermit werden Benutzer zwischen Active Directory und LastPass synchronisiert. Den Benutzern wird danach jedoch der Status „ausstehend“ zugewiesen (und für jeden Benutzer muss eine manuelle Genehmigung angefordert werden), anstatt sofort ein Konto für jeden Benutzer zu erstellen.
  • Benutzer automatisch in LastPass erstellen – Hiermit werden automatisch Konten für jeden neuen Benutzer erstellt. Die Benutzer erhalten außerdem eine automatische Begrüßungsmail mit einem temporären Passwort und Anweisungen zum Erstellen ihres individuellen Master-Passworts. WARNUNG! Diese Option muss ausgewählt werden, wenn Sie Verbundbenutzer über die LastPass-Enterprise-Integration mit Active-Directory-Verbunddiensten (AD FS) bereitstellen.
  • Nichts unternehmen – Es werden keine Aktionen ausgeführt.

Wenn ein Benutzer in Active Directory gelöscht wird:

  • Das LastPass-Konto durch den Administrator deaktivieren – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und aus Ihrem LastPass-Enterprise-Konto entfernt. Das Konto wird jedoch in einen kostenlosen LastPass-Free-Benutzer umgewandelt, und der Benutzer kann weiterhin auf alle Vault-Daten im Konto zugreifen.
  • Ihr LastPass-Konto automatisch löschen – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden jedoch vollständig gelöscht.

Wenn ein Benutzer in Active Directory deaktiviert ist:

  • Das LastPass-Konto durch den Administrator deaktivieren – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • Ihr LastPass-Konto automatisch löschen – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden jedoch vollständig gelöscht.
  • Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und aus Ihrem LastPass-Enterprise-Konto entfernt. Das Konto wird jedoch in einen kostenlosen LastPass-Free-Benutzer umgewandelt, und der Benutzer kann weiterhin auf alle Vault-Daten im Konto zugreifen.

Wenn ein Benutzer in Active Directory aus einer Gruppe im Filter entfernt wird:

  • Das LastPass-Konto durch den Administrator deaktivieren – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das Benutzerkonto bleibt jedoch in Ihrem LastPass-Enterprise-Konto bestehen. Der Benutzer kann sich erst dann anmelden und LastPass verwenden, wenn er erneut aktiviert wird.
  • Ihr LastPass-Konto automatisch löschen – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben. Das LastPass-Konto und alle Daten im Vault des Benutzers werden jedoch vollständig gelöscht.
  • Aus dem Enterprise-Konto entfernen, den Benutzer jedoch nicht löschen – Hierdurch wird die Benutzerlizenz zur Verteilung an einen anderen Benutzer freigegeben und aus Ihrem LastPass-Enterprise-Konto entfernt. Das Konto wird jedoch in einen kostenlosen LastPass-Free-Benutzer umgewandelt, und der Benutzer kann weiterhin auf alle Vault-Daten im Konto zugreifen.
  • Nichts unternehmen – Es werden keine Aktionen ausgeführt.

Klicken Sie nach dem Konfigurieren aller Aktionseinstellungen auf Weiter, um die Synchronisierungseinstellungen zu konfigurieren.

Synchronisierungseinstellungen konfigurieren

Nach dem Konfigurieren der Aktionseinstellungen konfigurieren Sie im nächsten Schritt Ihre Synchronisierungseinstellungen, um Ihre Felder, Gruppen und Benutzer anzugeben, die Sie zwischen LastPass und Ihrem Active Directory synchronisieren möchten.

Hinweis: Benutzer müssen über eine E-Mail-Adresse in Active Directory verfügen, um mit LastPass synchronisiert zu werden.

Synchronisierungskonfiguration:

  • Den vollständigen Namen des Benutzers aus AD synchronisieren – Mit dieser Option wird der vollständige Name jedes Benutzers synchronisiert, der bei Aktivierung in LastPass angezeigt wird. Standardmäßig listet LastPass-Benutzer nur anhand ihrer Benutzernamen (d. h. E-Mail-Adresse) auf.
  • Gruppen in LastPass erstellen – Wenn eine Gruppe in Active Directory, jedoch nicht in LastPass vorhanden ist, werden diese Gruppen durch Aktivieren dieser Option in LastPass erstellt. Wenn Sie in LastPass Gruppen basierend auf Ihrem Active Directory erstellen, werden alle bestehenden Gruppen in LastPass entfernt und durch die angegebenen Active Directory-Gruppen ersetzt.
  • Suchintervall synchronisieren – Hierdurch wird der AD Connector gezwungen, in einem dem festgelegten Zeitintervall (zwischen 5 - 3600 Sekunden) entsprechenden Zyklus nach Änderungen zu suchen und Änderungen vorzunehmen.

Benutzer anhand ihrer Gruppenmitgliedschaft filtern:

  • Sie können auf Durchsuchen und Suchen klicken, um auf einfache Weise in den verbundenen Active Directory-Gruppen zu navigieren und nur die Gruppen auszuwählen, die Sie synchronisieren möchten. Wenn Sie Benutzergruppen hinzugefügt haben, die Sie nicht synchronisieren möchten, klicken Sie, um die Gruppe auszuwählen, und klicken Sie dann auf Ausgewählte Gruppen entfernen.
  • Sie können auch einschränken, welche Benutzer Ihrem Unternehmen hinzugefügt werden, indem Sie im AD Connector einen Synchronisierungsfilter angeben. Dieses Feld sollte mit dem DN-String der Gruppe aufgefüllt werden, die Sie filtern möchten. Eine gute Ressource für einen präzisen DN-String ist die Verwendung des ADSI-Bearbeitungstools. Verwenden Sie beim Hinzufügen mehrerer Gruppen zu Synchronisierungsfiltern die vollständigen DN-Strings im folgenden Format:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Benutzermitgliedschaften:

  • Alle Gruppenmitgliedschaften synchronisieren – Hiermit werden alle Benutzergruppen in Ihrem Active Directory mit Ihrem LastPass-Enterprise-Konto synchronisiert.
  • Whitelist zum Filtern von Gruppen verwenden – Verwenden Sie Durchsuchen oder Suchen, um eine Dachgruppe zu suchen und auszuwählen, der die synchronisierenden Gruppen direkt zugeordnet sind. Die ausgewählte Dachgruppe selbst wird jedoch nicht auf die Whitelist gesetzt.
  • Geschachtelte Gruppen einbeziehen – Aktivieren Sie das Kontrollkästchen für diese Option, wenn alle Untergruppen einer Gruppe während der Synchronisierung einbezogen werden sollen (wenn z. B. Gruppe A Gruppe B und Gruppe B Gruppe C enthält, dann werden Gruppen A, B und C einbezogen). Auf diese Weise können Sie Benutzerkonten konsolidieren, doppelten Zugriff entfernen und verschachtelten Gruppen automatisch den Zugriff auf Websites oder freigegebene Ordner gewähren.
  • Nur die im Abschnitt „Benutzer filtern“ angegebenen Gruppen synchronisieren – Bitte gehen Sie beim Festlegen dieser Einstellung mit der größten Vorsicht vor. Mit dieser Option werden nur Benutzer in den Gruppen synchronisiert, die Sie in der Liste Benutzer nach Gruppenmitgliedschaft filtern angegeben haben. Wenn ein Benutzer in Ihrem Active Directory die Mitgliedschaft in allen angegebenen Gruppen verliert, wird die Deaktivierungs-/Löschaktion ausgelöst, die Sie in Ihren Aktionseinstellungen angegeben haben. Dies kann dazu führen, dass Benutzer außerhalb Ihrer ausgewählten Gruppen deaktiviert oder gelöscht werden. Aus diesem Grund wird dringend empfohlen, einen Gruppensatz auszuwählen, der alle Benutzer enthält, die synchronisiert werden sollen, um unerwünschte Aktionen beim Aktivieren dieser Einstellung zu vermeiden. Hinweis: Stellen Sie sicher, dass sich alle relevanten Benutzer, Gruppen und Untergruppen unter dem ausgewählten Basis-DN befinden, den Sie in den Verbindungseinstellungen angegeben haben.
  • Gruppenmitgliedschaften nicht synchronisieren – Diese Option synchronisiert keine Benutzergruppen in Ihrem Active Directory mit Ihrem LastPass-Enterprise-Konto.

Ausgeschlossene Gruppen:

  • Reguläre Ausdrücke zum Überspringen von Untergruppen verwenden – Wenn Sie die Option Alle Gruppenmitgliedschaften synchronisieren, aktiviert haben, können Sie eine Blacklist erstellen, um sicherzustellen, dass bestimmte Gruppen nicht durch Eingabe des regulären Ausdrucks (d. h. eines bestimmten Gruppennamens) in Ihrem Active Directory synchronisiert werden). Wenn für den angegebenen regulären Ausdruck eine Übereinstimmung vorliegt, kann diese Gruppe (und Untergruppen, wenn die Option „Geschachtelte Gruppen einbeziehen“ aktiviert ist) nicht mit Ihrem LastPass-Enterprise-Konto synchronisiert werden.

Zusätzliche zu synchronisierende Attribute:

  • Durch Kommas getrennte Liste – Hier können Sie einen Active Directory-Benutzerattributnamen (z. B. sAMAccountName) angeben, der mit Ihrem LastPass-Enterprise-Konto synchronisiert werden soll.

Nachdem Sie alle Synchronisierungseinstellungen ausgewählt haben, klicken Sie auf Weiter, um die Debug-Einstellungen zu konfigurieren.

Proxy-Einstellungen konfigurieren

Proxy-Einstellungen können pro ausführbarer Datei für alle .NET-Apps oder pro Benutzer mithilfe von IE-Einstellungen konfiguriert werden. Die Benutzeroberfläche kann die Kerberos-Authentifizierung mit den Zugangsdaten des aktuell angemeldeten Benutzers (muss ein Domain-Benutzer sein), den Dienst mit den Zugangsdaten des Computers (muss mit der Domäne verbunden sein) verwenden.. Es genügt nicht, die Einstellungen nur für den aktuell angemeldeten Benutzer zu ändern, da nur der AD Connector als aktuell angemeldeter Benutzer und der Synchronisierungsdienst als NT AUTHORITY\SYSTEM ausgeführt wird.

Für genaue Anweisungen können Sie Ihre Proxy-Einstellungen validieren.

Debuggen

Sie können Ihre Debug-Einstellungen für die Behebung von AD Connector-Synchronisierungsproblemen konfigurieren.

Protokollierungsoptionen:

  • Protokollierungsstufe – Treffen Sie mit dem Dropdown-Menü eine Auswahl aus den folgenden Optionen:
    • Fehler
    • Warnung
    • Info (Standard)
    • Debuggen
    • Ablauf verfolgen
  • Maximale Anzahl von 100 MB-Protokolldaten (5 - 90) – Wählen Sie die gewünschte Menge Speicherplatz aus, die Sie mit den Protokolldateien belegen möchten.

Lokalen Cache leeren:

  • Klicken Sie auf Lokalen Cache leeren, um die standardmäßig lokal gespeicherten Gruppen- und Benutzerdaten manuell zu löschen (sollte verwendet werden, wenn Sie Ihr Active Directory aus einem Backup wiederherstellen müssen). Weitere Informationen.
  • Klicken Sie auf Protokollordner öffnen, um Windows Explorer zu öffnen, und navigieren Sie zu C:\ProgramData\LastPass, um Ihre ADConnector.log-Datei auszuwählen und an support@lastpass.com zu senden, falls Sie Support benötigen oder Probleme mit LastPass AD Connector haben.

Klicken Sie nach Abschluss des Vorgangs auf Fertigstellen, gehen Sie zur Startseite und aktivieren Sie das Kontrollkästchen „Aktivieren“, um mit dem Synchronisieren zu beginnen.

Migration

Wenn Sie Active-Directory-Verbunddienste (AD FS) in Ihrem LastPass-Enterprise-Konto eingerichtet haben, können Sie die Option Migration im LastPass AD Connector verwenden, um nicht verbundene Benutzer in Verbundbenutzerkonten zu konvertieren. Detaillierte Anweisungen finden Sie unter Wie ändere ich einen bestehenden LastPass-Enterprise-Benutzer in einen Verbundbenutzer (AD FS)?

Verwandte Themen

Häufig gestellte Fragen zu Active Directory Connector

Verbunddienste (AD FS) für LastPass Enterprise einrichten

Wie ändere ich einen bestehenden LastPass-Enterprise-Benutzer in einen Verbundbenutzer (AD FS)?