HELP FILE

Configuración de los servicios de federación (AD FS) para LastPass Enterprise

Los administradores de cuentas de LastPass Enterprise pueden instalar y configurar Active Directory Federation Services (AD FS) para que los usuarios puedan usar las credenciales de Active Directory de su organización e iniciar sesión en LastPass sin tener que crear una segunda contraseña maestra.

Antes de comenzar la implementación

  • Consulte las restricciones que se aplican a las cuentas de usuarios federados.
  • Es muy recomendable crear un entorno de no producción de Active Directory con servicios de federación, para que pueda familiarizarse con AD FS para LastPass Enterprise.
    • Su entorno de prueba debe incluir también una versión de no producción de los componentes en el Paso n.º 1 (y esto incluye crear una cuenta de prueba de LastPass Enterprise independiente para realizar las pruebas). En primer lugar, siga todos los pasos de configuración indicados a continuación usando su cuenta de LastPass Enterprise de no producción que incluye el entorno de prueba para evitar pérdidas de datos de cuentas de usuario de forma no intencionada.
  • También es muy recomendable implementar la autenticación multifactor para sus usuarios, aunque debe tener en cuenta lo siguiente:
    • Debe configurar la autenticación multifactor en el proveedor de identidades (AD FS), y no en LastPass (desde la Consola de administración o en la sección Configuración de la cuenta del usuario final). El uso de la autenticación multifactor dentro de LastPass no es compatible con los usuarios federados, lo que provoca que dichos usuarios no puedan acceder a sus bóvedas.
    • No puede aplicar políticas de autenticación multifactor en la Consola de administración porque esa autenticación se produce fuera de LastPass, entre su proveedor de identidades (AD FS) y su servicio de autenticación. Por este motivo, le recomendamos aplicar políticas de autenticación multifactor en AD FS.

Paso n.º 1: Verificación de que la lista de componentes obligatorios está completa

Antes de poder utilizar los servicios de Active Directory Federation Services con LastPass Enterprise, debe haber configurado los siguientes elementos (para entornos de no producción y entornos de producción):

  • Una cuenta activa de LastPass Enterprise que incluya:
    • Al menos una cuenta de administrador activada.
    • Un recuento de puestos de usuario que coincida con el recuento de usuarios que se sincronizarán con Active Directory o lo supere (tanto para el entorno de no producción como para el de producción). Nota: Si está realizando pruebas en el entorno de no producción, le recomendamos configurar una cuenta de LastPass Enterprise independiente de prueba. Puede registrarse aquí.
  • Entornos para el servidor de Active Directory (de no producción y de producción) que cumplan los siguientes requisitos:
    • Ambos entornos se han instalado y configurado para utilizar servicios de federación (AD FS 3.0 o AD FS 4.0 en Windows Server 2012 R2 o Windows Server 2016 con las actualizaciones más recientes instaladas, incluido .NET Framework).
    • Ha creado un campo de atributo personalizado (o ha reutilizado un atributo existente que se podía personalizar) y lo ha establecido como CONFIDENTIAL (lo que le permite establecer que solo los administradores con privilegios puedan tener permisos de lectura). Además, ha confirmado que aparece tanto en el entorno de no producción como en el entorno de producción de Active Directory. El elemento attributeSyntax del atributo personalizado debe ser 2.5.5.4 = ( NOCASE_STRING ) para que este se configure correctamente.
    • Nota: El nombre del atributo personalizado debe contener únicamente caracteres alfanuméricos (y no caracteres especiales ni espacios). También distingue entre mayúsculas y minúsculas, y debe registrarse tal y como aparece en el Editor de atributos de Active Directory.

    • El cortafuegos está configurado para permitir el acceso a https://www.lastpass.com y sus subdominios (*.lastpass.com), y ha comprobado que estos no se encuentran bloqueados por ninguna regla del cortafuegos en todos los servidores de AD FS.
    • El usuario de Active Directory que ejecuta el servicio de AD FS (AD FS se conecta al almacén de atributos personalizados, que lee el K1 al iniciar sesión) debe tener permisos "CONTROL ACCESS".
  • La política "Superadministrador: restablecimiento de la contraseña maestra" está activada.
    • Es obligatorio activar esta política en la versión de no producción y en la de producción de sus cuentas de LastPass Enterprise, ya que le permite restablecer la contraseña maestra de un usuario. Tenga en cuenta que, para los usuarios federados, el restablecimiento de su contraseña maestra es la única forma de convertirlos en usuarios no federados, porque la contraseña maestra dejará de coincidir con la almacenada en Active Directory. Más información.

Una vez que haya configurado todos los requisitos, deberá capturar algunos datos imprescindibles durante el proceso de configuración.  Abra una aplicación de edición de texto y prepare los siguientes campos:

  • Atributo personalizado de Active Directory
  • URL del proveedor de identidades
  • Clave pública del proveedor de identidades
  • URL del proveedor de servicios

Cuando haya preparado estos campos en el editor de texto, continúe con el siguiente paso.

Paso n.º 2: Captura de la URL del proveedor de identidades y la clave pública del proveedor de identidades

A continuación, tendrá que iniciar sesión en su servidor de Active Directory Federation Services (AD FS) y obtener la URL completa del proveedor de identidades (nombre de servicio de federación + ruta de dirección URL de emisión de token de punto de conexión) y la clave pública del proveedor de identidades.

URL del proveedor de identidades:

  1. Inicie sesión en su servidor de Active Directory Federation Services (AD FS) e inicie la herramienta de administración de AD FS.
  2. Haga clic con el botón derecho en Servicio > Editar propiedades del servicio de federación.
  3. En la pestaña General, copie la dirección URL del campo Nombre del servicio de federación (por ejemplo, fs.fabrikam.com) y péguelo en un editor de texto. Asegúrese de que el Nombre del servicio de federación que escriba en el editor de texto comience por "https://", ya que es necesario para considerarlo un protocolo seguro (por ejemplo, https://fs.fabrikam.com).

Copiar nombre de servicio de federación

Ruta de dirección URL de emisión de token de punto de conexión:

  1. En la herramienta de administración de AD FS, diríjase a ServicioPuntos de conexión.
  2. En la sección de emisión de token, localice la entrada con SAML 2.0/WS-Federation en la columna "Tipo" (por ejemplo, adfs/ls es la ruta predeterminada, pero puede variar en función de su entorno).
  3. Copie el valor del campo Ruta de dirección URL y péguelo en un editor de texto al final de la ruta de dirección URL del proveedor de identidades, de forma que quede de la siguiente manera: https:// <Nombre de servicio de federación> + <Ruta de dirección URL de emisión de token de punto de conexión>. Por ejemplo, los tres componentes juntos formarían la siguiente URL completa del proveedor de identidades: https://fs.fabrikam.com/adfs/ls.

Copiar la ruta de dirección URL de emisión de token de punto de conexión de AD FS

Clave pública del proveedor de identidades:

  1. En la herramienta de administración de AD FS, diríjase a ServicioCertificados.
  2. Haga clic con el botón derecho en la entrada Certificado de firma de token y seleccione Ver certificado.
  3. Haga clic en la pestaña Detalles y, a continuación, seleccione Clave pública.
  4. En la sección que aparece a continuación, seleccione y copie la clave pública completa y péguela en un editor de texto.

Cuando haya registrado la URL completa del proveedor de identidades y la clave pública del proveedor de identidades en el editor de texto, continúe con el siguiente paso.

Clave pública de la pestaña Detalles de las propiedades del certificado de firma de token

Paso adicional para entornos de granja de AD FS:

  • Compruebe que todos los nodos de AD FS tienen el mismo certificado de firma de token.

Paso n.º 3: Configuración de los ajustes de inicio de sesión federado de LastPass Enterprise

Si ya ha instalado LastPass AD Connector, debe interrumpir el servicio y salir de la aplicación de Active Directory Connector. Deberá iniciarla más adelante.

Ahora que ya tiene toda la información necesaria, puede configurar los ajustes de inicio de sesión federado de LastPass Enterprise de la siguiente manera:

  1. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  2. Diríjase a ConfiguraciónInicio de sesión federado en el menú de navegación de la izquierda.
  3. En el campo URL de proveedor, pegue la URL completa del proveedor de identidades (https:// + Nombre de servicio de federación + Ruta de dirección URL de emisión de token de punto de conexión) que obtuvo en el Paso n.º 2.
  4. En el campo Clave pública campo, pegue la clave pública del proveedor de identidades que obtuvo en el Paso n.º 2.
  5. Haga clic en Guardar configuración.
  6. Una vez guardada la configuración, se generará el siguiente campo de URL del proveedor de servicios de forma automática. Copie la URL del proveedor de servicios y péguela en un editor de texto.
  7. Añada el nombre del atributo personalizado (que creó o reutilizó y configuró en el Paso n.º 1) a la sección "Configuración de AD Connector" y, a continuación, haga clic en Guardar.
  8. Cuando se hayan actualizado los campos de las dos secciones, aparecerá la casilla "Activado" en la sección "Configuración de AD FS".

Configuración de inicio de sesión federado en la Consola de administración de Enterprise

Paso n.º 4: Instalación de LastPass AD Connector

CONSEJO Cree un pequeño grupo de control de usuarios en Active Directory para utilizarlo al principio en los siguientes pasos.

  1. Instale LastPass AD Connector o, si ya está instalado, abra la aplicación.
  2. Seleccione AccionesCuando Active Directory detecta un usuario > Crear usuario en LastPass automáticamente para configurar LastPass AD Connector) (dentro del entorno local de no producción o el entorno local de producción). Esta opción debe estar activada para poder crear usuarios federados con AD FS. Además:
    • El usuario de AD que ejecute LastPass AD Connector debe tener permisos "CONTROL ACCESS".
    • Configure al menos un grupo para sincronizarlo con LastPass; se recomienda empezar con un grupo pequeño de control de varios usuarios para probar.
  3. Una vez realizadas todas las configuraciones, seleccione la pestaña Inicio en el menú de navegación izquierdo del conector de AD de LastPass y, a continuación, marque la casilla Activar sincronización para iniciar la sincronización.
  4. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  5. Diríjase a Usuarios en el menú de la izquierda para ver cómo se van cargando los usuarios a medida que se sincronizan desde Active Directory. Los usuarios federados aparecerán con un asterisco (*) antes del nombre de usuario (por ejemplo, *juan@acme.com).
  6. Compruebe en Active Directory que Active Directory Connector haya completado al menos el atributo personalizado (de la sección "Entornos del servidor de Active Directory" del Paso n.º 1) de un usuario federado de LastPass sincronizado y que este se muestra como una cadena aleatoria.
    • Si el atributo personalizado está en Active Directory, el proceso se ha realizado correctamente. De esta forma, se confirma que Active Directory Connector ha concedido acceso a todos los usuarios federados al atributo personalizado. Puede continuar con el Paso n.º 5 para registrar su atributo personalizado.
    • Si el atributo personalizado no está en Active Directory, el proceso no se ha realizado correctamente. Esto quiere decir que Active Directory Connector no puede registrar el atributo personalizado en Active Directory porque el usuario de Active Directory que está ejecutando LastPass AD Connector no tiene el permiso "CONTROL ACCESS" asignado.
      Solucionemos este problema.
      1. El usuario de Active Directory debe interrumpir el servicio y salir de la aplicación LastPass AD Connector.
      2. Inicie sesión y acceda a la Consola de administración de LastPass en https://lastpass.com/company/#!/dashboard.
      3. Diríjase a Usuarios en el menú de navegación de la izquierda y seleccione todos los usuarios federados nuevos que se hayan cargado (y que aparecen con un asterisco).
      4. Haga clic en el icono Más Elipsis en la parte superior derecha, haga clic en Eliminar usuarios seleccionados y confirme (porque todos ellos contienen valores vacíos de atributo personalizado).
      5. En Active Directory, conceda el permiso "CONTROL ACCESS" al usuario que ejecutará LastPass AD Connector.
      6. El usuario de Active Directory ya puede reiniciar la aplicación LastPass AD Connector e iniciar el servicio.
      7. Vuelva a comprobar en Active Directory si el atributo personalizado está presente para uno de los usuarios federados sincronizados de LastPass.

Paso n.º 5: Registro del atributo personalizado con LastPass

Ahora deberá registrar el atributo personalizado (que creó o reutilizó y configuró en el Paso n.º 1) con LastPass ejecutando el instalador del complemento de AD FS en su servidor de AD FS.

Nota: El nombre del atributo personalizado debe contener únicamente caracteres alfanuméricos (y no caracteres especiales ni espacios). También distingue entre mayúsculas y minúsculas, y debe registrarse tal y como aparece en el Editor de atributos de Active Directory.

  1. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  2. Diríjase a ConfiguraciónInicio de sesión federado en el menú de la izquierda.
  3. En la sección "Almacén de atributos personalizados de LastPass" que se encuentra en la parte inferior de la página, haga clic en Descargar para servidor de AD FS 3.0 (para Windows Server 2012 R2) o Descargar para servidor de AD FS 4.0 (para Windows Server 2016) y guarde el archivo .MSI de LastPass.
  4. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS), mueva el archivo .MSI al escritorio del servidor de AD FS y haga doble clic en dicho archivo para ejecutarlo.
  5. Haga clic en Siguiente.
  6. Escriba la URL del proveedor de servicios de LastPass Enterprise (del Paso n.º 3, Acción n.º 6), introduzca el valor del atributo personalizado (del Paso n.º 1) y haga clic en Siguiente.
  7. Haga clic en Finalizar cuando finalice el proceso de registro.
  8. Reinicie el servicio de Windows AD FS. Esta acción es obligatoria.

Configuración del complemento de AD FS

Pasos adicionales para entornos de granja de AD FS:

  1. En el servidor de AD FS, diríjase a C:\Windows\ADFS, donde instaló el archivo .MSI de LastPass.
  2. Copie los siguientes archivos en la carpeta C:\Windows\ADFS de todos los servidores secundarios de AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Reinicie el servicio de Windows AD FS en los nodos secundarios de AD FS. Esta acción es obligatoria.

Paso n.º 6: Aplicación de cambios en la política de control de acceso

El almacén de atributos personalizados de LastPass ha instalado la relación de confianza para usuario autenticado "LastPassTrust" en sus servidores de AD FS.

  1. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS).
  2. Diríjase a la configuración de administración de AD FS.
  3. Diríjase a Relaciones de confianza > Relación de confianza para usuario autenticado en el menú de navegación de la izquierda y, a continuación, realice las siguientes acciones según la versión del servidor de AD FS que tenga:
    • AD FS Server 3.0: Windows Server 2012 R2
      1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar reglas de notificación....
      2. Seleccione la pestaña Reglas de autorización de emisión y establezca la regla que desee.
    • AD FS Server 4.0: Windows Server 2016
      1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar política de control de acceso....
      2. Aplique la política deseada.

¡Ya está todo listo! Ha configurado correctamente Active Directory Federation Services (AD FS) para su cuenta de LastPass Enterprise. Todos los nuevos usuarios federados que se hayan cargado recibirán un e-mail de bienvenida para informarles de que ya pueden iniciar sesión y usar LastPass.