HELP FILE

Fehlerbehebung für Verbundanmeldung bei Active-Directory-Verbunddiensten (ADFS)

Wenn nach dem Einrichten Ihrer LastPass-Enterprise- oder Identity-Umgebung für den Einsatz von Active-Directory-Verbunddiensten (ADFS) Probleme auftreten, können Sie die Konfigurationseinstellungen anhand der folgenden Schritte überprüfen und grundlegende Fehlerbehebungsmaßnahmen durchführen. Stellen Sie sicher, dass Sie diese Prüfungen in der vorgeschriebenen Reihenfolge durchführen.

Schritt 1: Windows-Updates und Versionen der LastPass-Komponenten prüfen

Suchen Sie nach Updates und installieren Sie die neuesten Versionen der folgenden Komponenten:

  • Windows-Server-Updates (einschließlich der neuesten Version von .NET Framework)
  • LastPass Active Directory Connector muss Version 1.2.652 oder höher sein – Jetzt aktualisieren, oder öffnen Sie den LastPass-AD-Connector und gehen Sie dann zur Startseite > Auf Updates prüfen.
  • Die LastPass-Browsererweiterung muss die neueste verfügbare Version sein – Jetzt aktualisieren

Schritt 2: Firewall-Einstellungen prüfen

Der Speicher für benutzerdefinierte Attribute muss in der Lage sein, mit LastPass-APIs zu kommunizieren. Dies bedeutet, dass es dem/den ADFS-Server(n) möglich sein muss, *.lastpass.com zu erreichen.

  • Öffnen Sie einen Webbrowser auf Ihren ADFS-Servern und navigieren Sie zu https://lastpass.com. Wenn *.lastpass.com nicht erreichbar ist, müssen Sie die Domain *.lastpass.com in Ihrer Firewall in die Whitelist aufnehmen.

Hinweis: Wenn es sich bei Ihrer Umgebung um eine ADFS-Serverfarm mit primären und sekundären Knoten handelt, stellen Sie sicher, dass die Domain *.lastpass.com auf allen Computern in der Whitelist geführt wird.

Schritt 3: Berechtigungen Ihrer AD-Benutzer prüfen

In Ihrer Active-Directory-Umgebung gibt es zwei Benutzer, die Lese- und Schreibrechte für das benutzerdefinierte Attribut haben müssen:

  • der AD-Benutzer, der den LastPass-AD-Connector ausführt (letzterer füllt das benutzerdefinierte Attribut zum Zeitpunkt der Bereitstellung aus)
  • der AD-Benutzer, der den ADFS-Dienst ausführt (ADFS ruft den Speicher für benutzerdefinierte Attribute auf, der das benutzerdefinierte Attribut zum Zeitpunkt der Anmeldung liest)

Beide Benutzer müssen über die Berechtigung ZUGRIFFSSTEUERUNG verfügen, um auf das als VERTRAULICH gekennzeichnete benutzerdefinierte Attribut zugreifen zu können. Wenn die Benutzer diese Berechtigung nicht haben, muss sie ihnen erteilt werden. Sie können auf eine der folgenden Arten die Berechtigungen Ihrer Benutzer überprüfen:

Mit dem LDP-Tool

Die Windows-Server-Betriebssysteme verfügen über ein integriertes Tool, mit dem Sie die Berechtigungen Ihrer AD-Benutzer auf Basis ihrer Gruppenmitgliedschaft überprüfen können.

  • Führen Sie auf Ihrem Active-Directory-Server ldp.exe aus und bestätigen Sie, dass für die zugewiesene Gruppe des AD-Benutzers ZUGRIFFSSTEUERUNG aktiviert ist.

Mit dem Befehl „dsacls“

Sie können den Befehl „distinguishedName des benutzerdefinierten Attributs“ ausführen, um die Berechtigungen Ihrer AD-Benutzer zu überprüfen:

  1. Führen Sie auf Ihrem Active-Directory-Server die Eingabeaufforderung als Administrator aus.
  2. Geben Sie folgenden Befehl ein: dsacls
  3. Vergewissern Sie sich, dass die Berechtigung ZUGRIFFSSTEUERUNG zugewiesen ist.

Schritt 4: Prüfen, ob das ADFS-Plugin installiert und mit dem richtigen benutzerdefinierten Attributwert registriert ist

Wenn das ADFS-Plugin ordnungsgemäß installiert wurde, wird der LastPassAttributeStore (LastPass-Attributspeicher) aufgeführt.

  1. Öffnen Sie das ADFS-Server-Manager-Tool auf Ihrem ADFS-Server.
  2. Gehen Sie zu AD FSDienstAttributspeicher.
  3. Prüfen Sie, ob LastPassAttributeStore (LastPass-Attributspeicher) aufgeführt ist.

WARNUNG! Wenn Sie den Attributspeicher nicht finden können, ist die Installation fehlgeschlagen. Installieren Sie das ADFS-Plugin neu und stellen Sie sicher, dass der Name des benutzerdefinierten Attributwerts und die Version korrekt sind.

  1. LastPassAttributeStore.msi. deinstallieren
  2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  3. Gehen Sie im Menü links zu EinstellungenVerbundanmeldung.
  4. Vergewissern Sie sich, dass der Name des benutzerdefinierten Attributwerts und die Version korrekt sind.
  5. Klicken Sie unten auf der Seite im Abschnitt „LastPass-Speicher für benutzerdefinierte Attribute“ entweder auf Download für ADFS-Server 3.0(für Windows Server 2012 R2) oder auf Download für ADFS-Server 4.0 (für Windows Server 2016) und speichern Sie die LastPass-CustomAttributeStore.msi-Datei.
  6. Melden Sie sich bei Ihrem primären ADFS-Server (Active-Directory-Verbunddienste) an. Übertragen Sie dann die CustomAttributeStore.msi -Datei auf den Desktop Ihres ADFS-Servers und doppelklicken Sie darauf, um sie auszuführen.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Ihre LastPass-Enterprise-Dienstanbieter-URL ein, geben Sie dann Ihren benutzerdefinierten Attributwert ein und klicken Sie auf Weiter.
  9. Klicken Sie nach Abschluss des Registrierungsvorgangs auf Fertigstellen.
  10. Starten Sie den ADFS-Windows-Dienst erneut. Dies ist ein erforderlicher Schritt.

Schritt 5: Konfiguration des benutzerdefinierten Attributs überprüfen

Mit dem ADSI-Bearbeitungstool können Sie die Eigenschaften Ihres benutzerdefinierten Attributs überprüfen, um sicherzustellen, dass es ordnungsgemäß konfiguriert wurde.

  1. Führen Sie auf Ihrem Active-Directory-Server die Eingabeaufforderung als Administrator aus.
  2. Geben Sie folgenden Befehl ein: adsiedit.msc

    Hinweis: Wenn das ADSI-Bearbeitungstool nicht verfügbar ist, können Sie es registrieren, indem Sie die Eingabeaufforderung als Administrator öffnen und die folgenden Befehle ausführen: regsvr32 adsiedit.dll und dann adsiedit.msc

  3. Stellen Sie eine Verbindung zum „bekannten Namenskontext“ her. Schema.
  4. Suchen Sie das benutzerdefinierte Attribut und öffnen Sie die Eigenschaften.
  5. Suchen Sie die folgenden Attribute, deren Werte mit den folgenden (siehe unten) übereinstimmen müssen:
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Korrekt konfiguriert

WARNUNG! Wenn das Attribut „searchFlags“ nicht als VERTRAULICH konfiguriert ist (wenn beispielsweise INDEX angezeigt wird), dann müssen Sie es als VERTRAULICH konfigurieren.

Falsch konfiguriert

Schritt 6: Sicherstellen, dass das benutzerdefinierte Attribut ausgefüllt ist

Stellen Sie sicher, dass der LastPass-AD-Connector das benutzerdefinierte Attribut ordnungsgemäß ausgefüllt hat.

  1. Melden Sie sich bei Ihrem Active-Directory-Server an.
  2. Öffnen Sie das Verwaltungstool „Active Directory-Benutzer und -Computer“.
  3. Gehen Sie zu Anzeigen und vergewissern Sie sich, dass Erweiterte Funktionen aktiviert ist, oder klicken Sie auf die Menüoption Erweiterte Funktionen, um sie zu aktivieren.
  4. Gehen Sie im linken Navigationsbereich zu Benutzer.
  5. Klicken Sie mit der rechten Maustaste auf einen Benutzer und klicken Sie dann auf Eigenschaften.
  6. Klicken Sie auf die Registerkarte Attribut-Editor.
  7. Suchen Sie das benutzerdefinierte Attribut, das Sie erstellt haben (z. B. LastPassK1) und bestätigen Sie, dass ein Wert festgelegt wurde (siehe unten).

Korrekt konfiguriert

Attributeditor mit benutzerdefiniertem Attribut

WARNUNG! Wenn der benutzerdefinierte Attributwert <nicht festgelegt> ist (siehe unten), dann müssen Sie Folgendes prüfen:

Falsch konfiguriert

Schritt 7: Ggf. Konfiguration der ADFS-Serverfarm überprüfen

Stellen Sie sicher, dass die DLLs auf den sekundären und nachfolgenden Knoten wie folgt aufgeführt sind:

  1. Navigieren Sie auf dem ADFS-Server zum Verzeichnis C:\Windows\ADFS, in dem Sie die LastPass-CustomAttributeStore.msi-Datei installiert haben.
  2. Kopieren Sie die folgenden Dateien in den Ordner C:\Windows\ADFS aller sekundären und nachfolgenden ADFS-Server.
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Starten Sie den ADFS-Windows-Dienst auf den sekundären und nachfolgenden ADFS-Knoten neu.

Bekannte Probleme und weitere Optionen für die Fehlerbehebung

Wenn Sie sich vergewissert haben, dass Ihre LastPass-Enterprise- und ADFS-Konfigurationen ordnungsgemäß eingerichtet wurden, können Sie anhand des auftretenden Problems weitere Schritte zur Fehlerbehebung ausführen.

Leerer Bildschirm nach der Anmeldung als Verbundbenutzer

Mögliche Ursachen und deren Behebung:

Das benutzerdefinierte Attribut ist leer

Mögliche Ursachen und deren Behebung:

Die Verbundanmeldung war in der Administrationskonsole von LastPass zum Zeitpunkt der Bereitstellung über den LastPass-AD-Connector nicht aktiviert.

 

  1. Beenden Sie den LastPass-AD-Connector-Dienst.
  2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  3. Gehen Sie im linken Navigationsbereich zu Benutzer und löschen Sie alle Benutzer, die als Verbundbenutzer bereitgestellt wurden.
  4. Gehen Sie im linken Navigationsbereich zu EinstellungenVerbundanmeldung.
  5. Aktivieren Sie das Kontrollkästchen für die Option „Aktivieren“.
  6. Starten Sie den LastPass-AD-Connector-Dienst neu, um Verbundbenutzer bereitzustellen.

Der LastPass-AD-Connector wurde nicht neu gestartet, nachdem die Verbundanmeldung in der Administrationskonsole von LastPass aktiviert wurde. Starten Sie den LastPass-AD-Connector-Dienst neu, um Verbundbenutzer bereitzustellen.

Zwischen der Administrationskonsole von LastPass und dem ADFS-Plugin gibt es beim Namen des benutzerdefinierter Attributs einen Übereinstimmungskonflikt. Informationen zum Beheben dieses Problems.

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Der Attributspeicher „LastPassAttributeStore“ ist nicht konfiguriert.

Informationen zum Beheben dieses Problems:

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: Die angeforderte Vertrauensstellung der vertrauenden Seite „https://accounts.lastpass.com/“ ist nicht angegeben oder wird nicht unterstützt. Wenn eine Vertrauensstellung der vertrauenden Seite angegeben wurde, haben Sie möglicherweise keine Berechtigung, auf die vertrauende Seite zuzugreifen. Wenden Sie sich an Ihren Administrator, um nähere Informationen zu erhalten.

Informationen zum Beheben dieses Problems:

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: Die Autorisierung des Aufrufers für die Aufruferidentität DOMAIN\BENUTZERNAME für die Vertrauensstellung der vertrauenden Seite „https://accounts.lastpass.com/“ ist fehlgeschlagen

Informationen zum Beheben dieses Problems:

  • Überprüfen Sie die Vertrauensstellung der vertrauenden Seite und die Ausstellungsautorisierungsregeln des Benutzers (Windows Server 2012) oder die Zugriffssteuerungsrichtlinie (Windows Server 2016) auf dem ADFS-Server.
    1. Melden Sie sich bei Ihrem primären ADFS-Server an.
    2. Navigieren Sie zu Ihren ADFS-Management-Einstellungen.
    3. Gehen Sie im linken Navigationsbereich zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite und folgen Sie den nächsten Schritten Ihrer ADFS-Serverversion entsprechend:
      • ADFS 3.0 – Windows Server 2012 R2
        1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Anspruchsregeln bearbeiten....
        2. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und legen Sie die gewünschte Regel fest.
      • ADFS 4.0 – Windows Server 2016
        1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Zugriffssteuerungsrichtlinie bearbeiten....
        2. Legen Sie die gewünschte Richtlinie fest.

Meldung „Bitte wenden Sie sich an den Administrator Ihres Unternehmens, um Hilfe zu erhalten“ nach Anmeldung als Verbundbenutzer

Informationen zum Beheben dieses Problems: