HELP FILE

Configuración del inicio de sesión federado en LastPass con AD FS

Los administradores de cuentas de LastPass Enterprise y LastPass Identity pueden configurar Active Directory Federation Services (AD FS) para que los usuarios puedan utilizar la cuenta de Active Directory de su organización para iniciar sesión en LastPass sin tener que crear una segunda contraseña maestra.

Antes de comenzar la implementación…

  • Consulte las restricciones que se aplican a las cuentas de usuarios federados.
  • Se recomienda encarecidamente que cree con Federation Services un entorno de Active Directory que no sea de producción para poder familiarizarse con AD FS para LastPass Enterprise o LastPass Identity.
    • Su entorno de prueba también debe incluir una versión que no sea de producción de los componentes del Paso n.º 1 (lo que incluye crear una cuenta independiente de la versión de prueba de LastPass Enterprise o LastPass Identity para realizar pruebas). Siga los pasos de configuración que se indican a continuación usando su cuenta de LastPass Enterprise o LastPass Identity que no sea de producción con su entorno de prueba primero para evitar perder datos de cuentas de usuarios por accidente.
  • También se recomienda encarecidamente implementar la autenticación multifactor para sus usuarios, pero tenga en cuenta lo siguiente:
    • Debe configurar la autenticación multifactor a nivel de proveedor de identidades (AD FS), y no a nivel de LastPass (desde la Consola de administración o la Configuración de la cuenta del usuario final). El uso de la autenticación multifactor dentro de LastPass no es compatible con los usuarios federados, lo que provoca que dichos usuarios no puedan acceder a sus bóvedas.
    • No puede aplicar políticas de autenticación multifactor en la Consola de administración porque esa autenticación se produce fuera de LastPass, entre su proveedor de identidades (AD FS) y su servicio de autenticación. Por este motivo, le recomendamos aplicar políticas de autenticación multifactor en AD FS.
  • De forma predeterminada, le recomendamos usar una clave para toda la empresa para todos los usuarios, que se describe en nuestras instrucciones de configuración del inicio de sesión federado simplificado de LastPass con AD FS. Las instrucciones descritas en este artículo requieren un cambio en su esquema de Active Directory. Si desea configurar una clave única para cada uno de sus usuarios, siga las instrucciones descritas en este artículo.

Paso n.º 1: Asegurarse de que la lista de comprobación de componentes obligatorios está completa

Para poder empezar a usar Active Directory Federation Services con LastPass Enterprise o LastPass Identity, debe tener configurado lo siguiente (en entornos que no sean de producción o que sí lo sean):

  • Una cuenta activa de LastPass Enterprise o LastPass Identity que incluya:
    • Al menos 1 cuenta de administrador activada.
    • Un recuento de puestos de usuario que coincida con el recuento de usuarios que se sincronizarán con Active Directory o lo supere (tanto para el entorno de no producción como para el de producción).

      Nota: Si está realizando pruebas en el entorno que no es de producción, se recomienda configurar una cuenta independiente de prueba de LastPass Enterprise o LastPass Identity, que puede registrar aquí.

  • Entornos de servidor Active Directory (que no son de producción o que sí lo son) que cumplan los siguientes requisitos:
    • Ambos entornos se han instalado y configurado para utilizar servicios de federación (AD FS 3.0 o AD FS 4.0 en Windows Server 2012 R2 o Windows Server 2016 con las actualizaciones más recientes instaladas, incluido .NET Framework).
    • Ha creado un campo de atributo personalizado (o ha reutilizado un atributo existente que se podía personalizar) y lo ha establecido como CONFIDENTIAL (lo que le permite establecer que solo los administradores con privilegios puedan tener permisos de lectura). Además, ha confirmado que aparece tanto en el entorno de no producción como en el entorno de producción de Active Directory. El elemento attributeSyntax del atributo personalizado debe ser 2.5.5.4 = ( NOCASE_STRING ) para que este se configure correctamente.
    • Nota: El nombre del atributo personalizado debe contener únicamente caracteres alfanuméricos (y no caracteres especiales ni espacios). También distingue entre mayúsculas y minúsculas, y debe registrarse tal y como aparece en el Editor de atributos de Active Directory.

    • El cortafuegos está configurado para permitir el acceso a https://www.lastpass.com y sus subdominios (*.lastpass.com), y ha comprobado que estos no se encuentran bloqueados por ninguna regla del cortafuegos en todos los servidores de AD FS.
    • El usuario de Active Directory que ejecuta el servicio de AD FS (AD FS se conecta al almacén de atributos personalizados, que lee el K1 al iniciar sesión) debe tener permisos "CONTROL ACCESS".
  • La política "Permitir que los superadministradores restablezcan las contraseñas maestras" está activada
    • Es obligatorio que esta política esté activada en las versiones que no sean de producción y en las que sí lo sean de sus cuentas de LastPass Enterprise o LastPass Identity (lo que le permite restablecer la contraseña maestra de un usuario). Tenga en cuenta que, en el caso de los usuarios federados, restablecer su contraseña maestra es la única forma de convertirlos en usuarios desfederados, porque la contraseña maestra ya no coincidirá con la guardada en Active Directory (más información).

Una vez que haya configurado todos los requisitos, deberá capturar algunos datos imprescindibles durante el proceso de configuración.  Abra una aplicación de edición de texto y prepare los siguientes campos:

  • Atributo personalizado de Active Directory:
  • URL del proveedor de identidades:
  • Clave pública del proveedor de identidades:
  • URL del Proveedor de servicios:

Cuando haya preparado estos campos en el editor de texto, continúe con el siguiente paso.

Paso n.º 2: Capture la URL del proveedor de identidades y la clave pública del proveedor de identidades

A continuación, tendrá que iniciar sesión en su servidor de Active Directory Federation Services (AD FS) y obtener la URL completa del proveedor de identidades (nombre de servicio de federación + ruta de dirección URL de emisión de token de punto de conexión) y la clave pública del proveedor de identidades.

URL del proveedor de identidades:

  1. Inicie sesión en su servidor de Active Directory Federation Services (AD FS) e inicie la herramienta de administración de AD FS.
  2. Haga clic con el botón derecho en Servicio > Editar propiedades del servicio de federación.
  3. En la pestaña General, copie la dirección URL del campo Nombre del servicio de federación (por ejemplo, fs.fabrikam.com) y péguelo en un editor de texto. Asegúrese de que el Nombre del servicio de federación que escriba en el editor de texto comience por "https://", ya que es necesario para considerarlo un protocolo seguro (por ejemplo, https://fs.fabrikam.com).

Copiar nombre de servicio de federación

Ruta de dirección URL de emisión de token de punto de conexión:

  1. En la herramienta de administración de AD FS, diríjase a ServicioPuntos de conexión.
  2. En la sección de emisión de token, localice la entrada con SAML 2.0/WS-Federation en la columna "Tipo" (por ejemplo, adfs/ls es la ruta predeterminada, pero puede variar en función de su entorno).
  3. Copie el valor del campo Ruta de dirección URL y péguelo en un editor de texto al final de la ruta de dirección URL del proveedor de identidades, de forma que quede de la siguiente manera: https:// + . Por ejemplo, los tres componentes juntos formarían la siguiente URL completa del proveedor de identidades: https://fs.fabrikam.com/adfs/ls.

Copiar la ruta de dirección URL de emisión de token de punto de conexión de AD FS

Clave pública del proveedor de identidades:

  1. En la herramienta de administración de AD FS, diríjase a ServicioCertificados.
  2. Haga clic con el botón derecho en la entrada Certificado de firma de token y seleccione Ver certificado.
  3. Haga clic en la pestaña Detalles y, a continuación, seleccione Clave pública.
  4. En la sección que aparece a continuación, seleccione y copie la clave pública completa y péguela en un editor de texto.

Cuando haya registrado la URL completa del proveedor de identidades y la clave pública del proveedor de identidades en el editor de texto, continúe con el siguiente paso.

Clave pública de la pestaña Detalles de las propiedades del certificado de firma de token

Paso adicional para entornos de granja de AD FS:

  • Compruebe que todos los nodos de AD FS tienen el mismo certificado de firma de token.

Paso n.º 3: Configure los ajustes de inicio de sesión federado en LastPass Enterprise o LastPass Identity

Si ya ha instalado LastPass Active Directory Connector, debe interrumpir el servicio y salir de la aplicación ADC. Deberá iniciarla más adelante.

Ahora que ha obtenido toda la información necesaria, puede configurar sus ajustes de inicio de sesión federado de LastPass Enterprise o LastPass Identity como se indica a continuación:

  1. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  2. Diríjase a ConfiguraciónInicio de sesión federado en el menú de navegación de la izquierda.
  3. En el campo URL de proveedor, pegue la URL completa del proveedor de identidades (https:// + Nombre de servicio de federación + Ruta de dirección URL de emisión de token de punto de conexión) que obtuvo en el Paso n.º 2.
  4. En el campo Clave pública, pegue la clave pública del proveedor de identidades que obtuvo en el Paso n.º 2.
  5. Cuando se hayan actualizado todos los campos en las dos secciones, aparecerá la casilla "Activado" en la sección "Configuración de AD FS". Marque la casilla del ajuste Activado.
  6. Haga clic en Guardar configuración.
  7. Una vez guardada, el campo URL del proveedor de servicios que se muestra a continuación se generará automáticamente. Copie la URL del proveedor de servicios y péguela en un editor de texto.
  8. En la sección "Configurar AD Connector", añada el nombre del atributo personalizado (que creó o readaptó y configuró en el Paso n.º 1) y, a continuación, haga clic en Guardar.

Paso n.º 4: Instale LastPass AD Connector

CONSEJO Cree un pequeño grupo de control de usuarios en Active Directory para utilizarlo al principio en los siguientes pasos.

  1. Instale LastPass Active Directory Connector (instrucciones aquí). Si LastPass AD Connector ya se ha instalado, debe reiniciar la aplicación para continuar cambiando la configuración.
  2. Configure LastPass Active Directory Connector seleccionando AccionesCuando Active Directory detecta un usuario > Crear usuario en LastPass automáticamente (en el entorno local que no es de producción y en el que sí lo es). Esta opción debe estar activada para poder crear usuarios federados con AD FS. Además:
    • El usuario de AD que ejecute LastPass AD Connector debe tener permisos "CONTROL ACCESS".
    • Configure al menos un grupo para sincronizarlo con LastPass; se recomienda empezar con un grupo pequeño de control de varios usuarios para probar.
  3. Una vez realizadas todas las configuraciones, seleccione la pestaña Inicio en el menú de navegación de la izquierda de LastPass AD Connector y, a continuación, active la casilla Activar sincronización para iniciar la sincronización.
  4. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  5. Diríjase a Usuarios en el menú de la izquierda para ver cómo se van cargando los usuarios a medida que se sincronizan desde Active Directory. Los usuarios federados aparecerán con un asterisco (*) antes del nombre de usuario (por ejemplo, *juan@acme.com).
  6. Compruebe en Active Directory que Active Directory Connector haya completado al menos el atributo personalizado (de la sección "Entornos del servidor de Active Directory" del Paso n.º 1) de un usuario federado de LastPass sincronizado y que este se muestra como una cadena aleatoria.
    • Si el atributo personalizado está en Active Directory, el proceso se ha realizado correctamente. De esta forma, se confirma que Active Directory Connector ha concedido acceso a todos los usuarios federados al atributo personalizado. Puede continuar con el Paso n.º 5 para registrar su atributo personalizado.
    • Si el atributo personalizado no está en Active Directory, el proceso no se ha realizado correctamente. Esto quiere decir que Active Directory Connector no puede registrar el atributo personalizado en Active Directory porque el usuario de Active Directory que está ejecutando LastPass AD Connector no tiene el permiso "CONTROL ACCESS" asignado.

      Solucionemos este problema.
      1. El usuario de Active Directory debe interrumpir el servicio y salir de la aplicación LastPass AD Connector.
      2. Inicie sesión y acceda a la Consola de administración de LastPass en https://lastpass.com/company/#!/dashboard.
      3. Diríjase a Usuarios en el menú de navegación de la izquierda y seleccione todos los usuarios federados nuevos que se hayan cargado (y que aparecen con un asterisco).
      4. Haga clic en el icono Más Elipsis en la parte superior derecha, haga clic en Eliminar usuarios seleccionados y confirme (porque todos ellos contienen valores vacíos de atributo personalizado).
      5. En Active Directory, conceda el permiso "CONTROL ACCESS" al usuario que ejecutará LastPass AD Connector.
      6. El usuario de Active Directory ya puede reiniciar la aplicación LastPass AD Connector e iniciar el servicio.
      7. Vuelva a comprobar en Active Directory si el atributo personalizado está presente para uno de los usuarios federados sincronizados de LastPass.

Paso n.º 5: Registro del atributo personalizado con LastPass

Ahora deberá registrar el atributo personalizado (que creó o reutilizó y configuró en el Paso n.º 1) con LastPass ejecutando el instalador del complemento de AD FS en su servidor de AD FS.

Nota: El nombre del atributo personalizado debe contener únicamente caracteres alfanuméricos (y no caracteres especiales ni espacios). También distingue entre mayúsculas y minúsculas, y debe registrarse tal y como aparece en el Editor de atributos de Active Directory.

  1. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  2. Diríjase a ConfiguraciónInicio de sesión federado en el menú de la izquierda.
  3. En la sección "Almacén de atributos personalizados de LastPass" que se encuentra en la parte inferior de la página, haga clic en Descargar para servidor de AD FS 3.0 (para Windows Server 2012 R2) o Descargar para servidor de AD FS 4.0 (para Windows Server 2016) y guarde el archivo .MSI de LastPass.
  4. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS) y, a continuación, transfiera el archivo .MSI al escritorio del servidor de AD FS. Haga clic con el botón derecho en el archivo y seleccione Ejecutar como administrador o ejecute el instalador .MSI desde un símbolo del sistema con privilegios elevados. Haga clic en si recibe una solicitud del Control de cuentas de usuario.

    Nota: Debe ejecutar el instalador .MSI del complemento de AD FS como administrador o con permisos elevados aunque haya iniciado sesión como administrador de dominio.

  5. Haga clic en Siguiente.
  6. Introduzca la URL de su proveedor de servicio de identidad de LastPass Enterprise o LastPass Identity (del Paso n.º 3, Acción n.º 6) y, a continuación, introduzca el valor del atributo personalizado (del Paso n.º 1) y haga clic en Siguiente.
  7. Haga clic en Finalizar cuando se complete el registro.
  8. Reinicie el servicio de Windows AD FS. Esta acción es obligatoria.

Configuración del complemento de AD FS

Pasos adicionales para entornos de granja de AD FS:

  1. En el servidor de AD FS, diríjase a C:\Windows\ADFS, donde instaló el archivo .MSI de LastPass.
  2. Copie los siguientes archivos en la carpeta C:\Windows\ADFS de todos los servidores secundarios de AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Reinicie el servicio de Windows AD FS en los nodos secundarios de AD FS. Esta acción es obligatoria.

Paso n.º 6: Aplicación de cambios en la política de control de acceso

El almacén de atributos personalizados de LastPass ha instalado la relación de confianza para usuario autenticado "Confianza de LastPass" en sus servidores de AD FS.

  1. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS).
  2. Diríjase a la configuración de administración de AD FS.
  3. Diríjase a Relaciones de confianza > Relación de confianza para usuario autenticado en el menú de navegación de la izquierda y, a continuación, realice las siguientes acciones según la versión del servidor de AD FS que tenga:
    • AD FS Server 3.0: Windows Server 2012 R2
      1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar reglas de notificación....
      2. Seleccione la pestaña Reglas de autorización de emisión y configure la regla que desee, que definirá cómo se autentican los usuarios al iniciar sesión en LastPass mediante un inicio de sesión federado con AD FS.
    • Servidor AD FS: 4.0 Windows Server 2016
      1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar política de control de acceso...
      2. Configure la política que desee, que definirá cómo se autentican los usuarios al iniciar sesión en LastPass mediante un inicio de sesión federado con AD FS.

¡Ya está todo listo!

Ha configurado correctamente Active Directory Federation Services (AD FS) para su cuenta de LastPass Enterprise o LastPass Identity. Todos los usuarios federados recién completados recibirán un e-mail de bienvenida para informarles de que ya pueden iniciar sesión y usar LastPass.