HELP FILE

Fehlerbehebung bei der Verbundanmeldung mit Active-Directory-Verbunddiensten (ADFS)

Wenn nach dem Einrichten Ihrer LastPass-Enterprise- oder Identity-Umgebung für die Verwendung der Active-Directory-Verbunddienste (ADFS) Probleme auftreten, können Sie die Konfigurationseinstellungen anhand der folgenden Schritte überprüfen und grundlegende Fehlerbehebungsmaßnahmen durchführen. Stellen Sie sicher, dass Sie diese Prüfungen in der vorgeschriebenen Reihenfolge durchführen.

Schritt 1: Windows-Updates und Versionen der LastPass-Komponenten prüfen

Suchen Sie nach Updates und installieren Sie die neuesten Versionen der folgenden Komponenten:

  • Windows-Server-Updates (einschließlich der neuesten Version von .NET Framework)
  • LastPass Active Directory Connector muss Version 1.2.652 oder höher sein – jetzt aktualisieren, oder öffnen Sie den LastPass-AD-Connector und gehen Sie zu Home > Check for updates (Startseite > Auf Updates prüfen).
  • Die LastPass-Browsererweiterung muss die neueste verfügbare Version sein – jetzt aktualisieren

Schritt 2: Firewall-Einstellungen prüfen

Der benutzerdefinierte Attributspeicher muss in der Lage sein, mit LastPass-APIs zu kommunizieren. Dies bedeutet, dass es dem/den ADFS-Server(n) möglich sein muss, *.lastpass.com zu erreichen.

  • Öffnen Sie auf Ihrem ADFS-Server bzw. den Servern einen Browser und navigieren Sie zu https://lastpass.com. Wenn *.lastpass.com nicht erreichbar ist, müssen Sie die Domain *.lastpass.com in Ihrer Firewall in die Whitelist aufnehmen.

Hinweis: Wenn es sich bei Ihrer Umgebung um eine ADFS-Serverfarm mit primären und sekundären Knoten handelt, müssen Sie sicherstellen, dass die Domain *.lastpass.com auf allen Computern in der Whitelist geführt wird.

Schritt 3: Berechtigungen Ihrer AD-Benutzer prüfen

In Ihrer Active-Directory-Umgebung gibt es zwei Benutzer, die Lese- und Schreibrechte für das benutzerdefinierte Attribut haben müssen:

  • der AD-Benutzer, der den LastPass-AD-Connector ausführt (letzterer füllt das benutzerdefinierte Attribut zum Zeitpunkt der Bereitstellung aus)
  • der AD-Benutzer, der den ADFS-Dienst ausführt (ADFS ruft den Speicher für benutzerdefinierte Attribute auf, welcher das benutzerdefinierte Attribut zum Zeitpunkt der Anmeldung liest)

Beide Benutzer müssen über die Berechtigung „Zugriff steuern“ verfügen, um auf das als CONFIDENTIAL gekennzeichnete benutzerdefinierte Attribut zugreifen zu können. Wenn die Benutzer diese Berechtigung nicht haben, muss sie ihnen erteilt werden. Sie können die Berechtigungen Ihrer Benutzer auf eine der folgenden Arten überprüfen:

Mit dem LDP-Tool

Windows-Server-Betriebssysteme verfügen über ein integriertes Tool, mit dem Sie die Berechtigungen Ihrer AD-Benutzer auf Basis ihrer Gruppenmitgliedschaft überprüfen können.

  • Führen Sie auf Ihrem Active-Directory-Server ldp.exe aus und vergewissern Sie sich, dass die Option „Zugriff steuern“ für die zugewiesene Gruppe des AD-Benutzers aktiviert ist.

Mit dem Befehl „dsacls“

Sie können den Befehl „distinguishedName des benutzerdefinierten Attributs“ ausführen, um die Berechtigungen Ihrer AD-Benutzer zu überprüfen:

  1. Führen Sie auf Ihrem Active-Directory-Server die Eingabeaufforderung als Administrator aus.
  2. Geben Sie folgenden Befehl ein: dsacls
  3. Vergewissern Sie sich, dass die Berechtigung CONTROL ACCESS (Zugriff steuern) zugewiesen ist.

Schritt 4: Prüfen, ob das ADFS-Plugin installiert und mit dem richtigen benutzerdefinierten Attributwert registriert ist

Wenn das ADFS-Plugin ordnungsgemäß installiert wurde, wird der LastPassAttributeStore (LastPass-Attributspeicher) aufgeführt.

  1. Öffnen Sie das ADFS-Server-Manager-Tool auf Ihrem ADFS-Server.
  2. Gehen Sie zu AD FSDienstAttributspeicher.
  3. Prüfen Sie, ob LastPassAttributeStore (LastPass-Attributspeicher) aufgeführt ist.

WARNUNG! Wenn Sie den Attributspeicher nicht finden können, ist die Installation fehlgeschlagen. Installieren Sie das ADFS-Plugin neu und stellen Sie sicher, dass der Name des benutzerdefinierten Attributwerts und die Version korrekt sind.

  1. Deinstallieren Sie LastPassAttributeStore.msi.
  2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  3. Gehen Sie im Menü links zu EinstellungenVerbundanmeldung.
  4. Vergewissern Sie sich, dass der Name des benutzerdefinierten Attributwerts und die Version korrekt sind.
  5. Klicken Sie unten auf der Seite im Abschnitt „LastPass-Speicher für benutzerdefinierte Attribute“ entweder auf Download für ADFS-Server 3.0(für Windows Server 2012 R2) oder auf Download für ADFS-Server 4.0 (für Windows Server 2016) und speichern Sie die LastPass-CustomAttributeStore.msi-Datei.
  6. Melden Sie sich bei Ihrem primären ADFS-Server an. Übertragen Sie dann die CustomAttributeStore.msi-Datei auf den Desktop Ihres ADFS-Servers und doppelklicken Sie darauf, um sie auszuführen.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Ihre LastPass-Enterprise-Dienstanbieter-URL ein, geben Sie dann Ihren benutzerdefinierten Attributwert ein und klicken Sie auf Weiter.
  9. Klicken Sie nach Abschluss des Registrierungsvorgangs auf Fertigstellen.
  10. Starten Sie den ADFS-Windows-Dienst erneut. Das ist ein erforderlicher Schritt.

Schritt 5: Konfiguration des benutzerdefinierten Attributs überprüfen

Mit dem ADSI-Bearbeitungstool können Sie die Eigenschaften Ihres benutzerdefinierten Attributs überprüfen, um sicherzustellen, dass es ordnungsgemäß konfiguriert wurde.

  1. Führen Sie auf Ihrem Active-Directory-Server die Eingabeaufforderung als Administrator aus.
  2. Geben Sie folgenden Befehl ein: adsiedit.msc

    Hinweis: Wenn das ADSI-Bearbeitungstool nicht verfügbar ist, können Sie es registrieren, indem Sie die Eingabeaufforderung als Administrator öffnen und die folgenden Befehle ausführen: regsvr32 adsiedit.dll und dann adsiedit.msc

  3. Stellen Sie eine Verbindung zum „bekannten Namenskontext“ her: Schema.
  4. Suchen Sie das benutzerdefinierte Attribut und öffnen Sie die Eigenschaften.
  5. Suchen Sie die folgenden Attribute, deren Werte mit den folgenden (siehe unten) übereinstimmen müssen:
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Korrekt konfiguriert

WARNUNG! Wenn das Attribut „searchFlags“ nicht als CONFIDENTIAL konfiguriert ist (wenn beispielsweise INDEX angezeigt wird), dann müssen Sie es als CONFIDENTIAL konfigurieren.

Falsch konfiguriert

Schritt 6: Sicherstellen, dass das benutzerdefinierte Attribut ausgefüllt ist

Stellen Sie sicher, dass der LastPass-AD-Connector das benutzerdefinierte Attribut ordnungsgemäß ausgefüllt hat.

  1. Melden Sie sich bei Ihrem Active-Directory-Server an.
  2. Öffnen Sie das Verwaltungstool „Active Directory-Benutzer und -Computer“.
  3. Gehen Sie zu Anzeigen und vergewissern Sie sich, dass Erweiterte Funktionen aktiviert ist, oder klicken Sie auf die Menüoption Erweiterte Funktionen, um sie zu aktivieren.
  4. Gehen Sie im linken Navigationsbereich zu Benutzer.
  5. Klicken Sie mit der rechten Maustaste auf einen Benutzer und klicken Sie dann auf Eigenschaften.
  6. Klicken Sie auf die Registerkarte Attribut-Editor.
  7. Suchen Sie das benutzerdefinierte Attribut, das Sie erstellt haben (z. B. LastPassK1) und bestätigen Sie, dass ein Wert festgelegt wurde (siehe unten).

Korrekt konfiguriert

Attribut-Editor mit benutzerdefiniertem Attribut

WARNUNG! Wenn der benutzerdefinierte Attributwert ist (siehe unten), dann müssen Sie Folgendes prüfen:

Falsch konfiguriert

Schritt 7: Ggf. Konfiguration der ADFS-Serverfarm überprüfen

Stellen Sie wie folgt sicher, dass die DLLs auf den sekundären und nachfolgenden Knoten vorhanden sind:

  1. Navigieren Sie auf dem ADFS-Server zum Verzeichnis C:\Windows\ADFS, in dem Sie die LastPass-CustomAttributeStore.msi-Datei installiert haben.
  2. Kopieren Sie die folgenden Dateien in den Ordner C:\Windows\ADFS aller sekundären und nachfolgenden ADFS-Server.
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Starten Sie den ADFS-Windows-Dienst auf den sekundären und nachfolgenden ADFS-Knoten neu.

Bekannte Probleme und weitere Optionen für die Fehlerbehebung

Wenn Sie sich vergewissert haben, dass Ihre LastPass-Enterprise- und ADFS-Konfigurationen ordnungsgemäß eingerichtet wurden, können Sie abhängig vom aufgetretenen Problem weitere Schritte zur Fehlerbehebung ausführen.

Leerer Bildschirm nach der Anmeldung als Verbundbenutzer

Mögliche Ursachen und deren Behebung:

Benutzerdefiniertes Attribut ist leer

Mögliche Ursachen und deren Behebung:

Die Verbundanmeldung war zum Zeitpunkt der Bereitstellung über den LastPass-AD-Connector nicht in der Administrationskonsole von LastPass aktiviert.

 
  1. Beenden Sie den LastPass-AD-Connector-Dienst.
  2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  3. Gehen Sie im linken Navigationsbereich zu Benutzer und löschen Sie alle Benutzer, die als Verbundbenutzer bereitgestellt wurden.
  4. Gehen Sie im linken Navigationsbereich zu EinstellungenVerbundanmeldung.
  5. Aktivieren Sie das Kontrollkästchen für die Option „Aktivieren“.
  6. Starten Sie den LastPass-AD-Connector-Dienst neu, um Verbundbenutzer bereitzustellen.

Der LastPass-AD-Connector wurde nicht neu gestartet, nachdem die Verbundanmeldung in der Administrationskonsole von LastPass aktiviert wurde. Starten Sie den LastPass-AD-Connector-Dienst neu, um Verbundbenutzer bereitzustellen.

Zwischen der Administrationskonsole von LastPass und dem ADFS-Plugin gibt es beim Namen des benutzerdefinierten Attributs einen Übereinstimmungskonflikt. So beheben Sie dieses Problem.

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Der Attributspeicher „LastPassAttributeStore“ ist nicht konfiguriert.

So beheben Sie dieses Problem:

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: Die angeforderte Vertrauensstellung der vertrauenden Seite „https://accounts.lastpass.com/“ ist nicht angegeben oder wird nicht unterstützt. Wenn die Vertrauensstellung der vertrauenden Seite angegeben wurde, verfügen Sie möglicherweise nicht über die Berechtigung zum Zugriff auf die vertrauende Seite. Wenden Sie sich für weitere Informationen an Ihren Administrator.

So beheben Sie dieses Problem:

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: Die Autorisierung des Aufrufers für die Aufruferidentität DOMAIN\BENUTZERNAME für die Vertrauensstellung der vertrauenden Seite „https://accounts.lastpass.com/“ ist fehlgeschlagen.

So beheben Sie dieses Problem:

  • Überprüfen Sie die Vertrauensstellung der vertrauenden Seite und die Ausstellungsautorisierungsregeln des Benutzers (Windows Server 2012) bzw. die Zugriffssteuerungsrichtlinie (Windows Server 2016) auf dem ADFS-Server.
    1. Melden Sie sich bei Ihrem primären ADFS-Server an.
    2. Navigieren Sie zu den ADFS-Management-Einstellungen.
    3. Gehen Sie im linken Navigationsbereich zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite und folgen Sie den nächsten Schritten Ihrer ADFS-Serverversion entsprechend:
      • ADFS 3.0 – Windows Server 2012 R2
        1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Anspruchsregeln bearbeiten....
        2. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und legen Sie die gewünschte Regel fest.
      • ADFS 4.0 – Windows Server 2016
        1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Zugriffssteuerungsrichtlinie bearbeiten....
        2. Legen Sie die gewünschte Richtlinie fest.

Meldung „Wenden Sie sich an den LastPass-Administrator Ihres Unternehmens, um Hilfe zu erhalten“ nach Anmeldung als Verbundbenutzer

So beheben Sie dieses Problem: