HELP FILE

Configuración del inicio de sesión federado simplificado para LastPass con AD FS

Los administradores de cuentas de LastPass Enterprise y LastPass Identity pueden configurar Active Directory Federation Services (AD FS) para que los usuarios puedan utilizar la cuenta de Active Directory de su organización para iniciar sesión en LastPass sin tener que crear una segunda contraseña maestra.

Antes de comenzar la implementación…

  • Consulte las restricciones que se aplican a las cuentas de usuarios federados.
  • Se recomienda encarecidamente que cree con Federation Services un entorno de Active Directory que no sea de producción para poder familiarizarse con AD FS para LastPass Enterprise o LastPass Identity.
    • Su entorno de prueba también debe incluir una versión que no sea de producción de los componentes del Paso n.º 1 (lo que incluye crear una cuenta independiente de la versión de prueba de LastPass Enterprise o LastPass Identity para realizar pruebas). Siga los pasos de configuración que se indican a continuación usando su cuenta de LastPass Enterprise o LastPass Identity que no sea de producción con su entorno de prueba primero para evitar perder datos de cuentas de usuarios por accidente.
  • También se recomienda encarecidamente implementar la autenticación multifactor en un entorno de producción para sus usuarios, pero tenga en cuenta lo siguiente:
    • Debe configurar la autenticación multifactor a nivel de proveedor de identidades (AD FS), y no a nivel de LastPass (desde la Consola de administración o la Configuración de la cuenta del usuario final). El uso de la autenticación multifactor dentro de LastPass no es compatible con los usuarios federados, lo que provoca que dichos usuarios no puedan acceder a sus bóvedas.
    • No puede aplicar políticas de autenticación multifactor en la Consola de administración porque esa autenticación se produce fuera de LastPass, entre su proveedor de identidades (AD FS) y su servicio de autenticación. Por este motivo, le recomendamos aplicar políticas de autenticación multifactor en AD FS.
  • De forma predeterminada, le recomendamos que use la clave de la empresa, ya que los pasos descritos aquí no requieren un cambio en el esquema de Active Directory. Si desea configurar una clave única para cada uno de sus usuarios, siga estas instrucciones de configuración.

Paso n.º 1: Asegurarse de que la lista de comprobación de componentes obligatorios está completa

Para poder empezar a usar Active Directory Federation Services con LastPass Enterprise o LastPass Identity, debe tener configurado lo siguiente (en entornos que no sean de producción o que sí lo sean):

  • Una cuenta activa de LastPass Enterprise o LastPass Identity que incluya:
    • Al menos 1 cuenta de administrador activada.
    • Un recuento de puestos de usuario que coincida con el recuento de usuarios que se sincronizarán con Active Directory o lo supere (tanto para el entorno de no producción como para el de producción).
      Nota:  Si está realizando pruebas en el entorno que no es de producción, se recomienda configurar una cuenta independiente de prueba de LastPass Enterprise o LastPass Identity, que puede registrar aquí.
  • Entornos de servidor Active Directory (que no son de producción o que sí lo son) que cumplan los siguientes requisitos:
    • Ambos entornos se han configurado para utilizar Federation Services (AD FS 3.0 en Windows Server 2012 R2 o AD FS 4.0 en Windows Server 2016 o Windows Server 2019) con las actualizaciones más recientes instaladas, incluido .Net Framework.
    • Los ajustes de su firewall están configurados para conectarse a https://www.lastpass.com o https://www.lastpass.eu y sus subdominios (*.lastpass.com y *.lastpass.eu respectivamente), y ha confirmado que no están bloqueados por ninguna regla del firewall en los servidores de AD FS.
  • La política "Permitir que los superadministradores restablezcan las contraseñas maestras" debe estar activada
    • Es necesario activar la política Permitir que los superadministradores restablezcan las contraseñas maestras para al menos un administrador de LastPass (que también es el administrador no federado) en la Consola de administración de LastPass. Esto garantiza que todas las cuentas de usuario de LastPass se puedan recuperar (mediante el restablecimiento de contraseña maestra) si se ha configurado o modificado un ajuste fundamental para el inicio de sesión federado después de completar la configuración.

Una vez que haya configurado todos los requisitos, deberá capturar algunos datos imprescindibles durante el proceso de configuración.  Abra una aplicación de edición de texto y prepare los siguientes campos:

  • Clave de toda la empresa:
  • URL del proveedor de identidades:
  • Clave pública del proveedor de identidades:
  • URL del Servicio de consumidor de aserciones (ACS) de LastPass:

Cuando haya preparado todos estos campos en el editor de texto, continúe con el siguiente paso.

Paso n.º 2: Capture la URL del proveedor de identidades y la clave pública del proveedor de identidades

A continuación, tendrá que iniciar sesión en su servidor de Active Directory Federation Services (AD FS) y obtener la URL completa del proveedor de identidades (nombre de servicio de federación + ruta de dirección URL de emisión de token de punto de conexión) y la clave pública del proveedor de identidades.

URL del proveedor de identidades

  1. Inicie sesión en su servidor de Active Directory Federation Services (AD FS) e inicie la herramienta de administración de AD FS.
  2. Haga clic con el botón derecho en Servicio > Modificar las propiedades del Servicio de federación.
  3. En la pestaña General, copie la dirección URL del campo Nombre del servicio de federación (por ejemplo, fs.fabrikam.com) y péguelo en un editor de texto. Asegúrese de que el Nombre del servicio de federación que escriba en el editor de texto comience por "https://", ya que es necesario para considerarlo un protocolo seguro (por ejemplo, https://fs.fabrikam.com).

Copiar nombre de servicio de federación

Ruta de dirección URL de emisión de token de punto de conexión

  1. En la herramienta de administración de AD FS, diríjase a ServicioPuntos de conexión.
  2. En la sección de emisión de token, localice la entrada con SAML 2.0/WS-Federation en la columna "Tipo" (por ejemplo, adfs/ls es la ruta predeterminada, pero puede variar en función de su entorno).
  3. Copie el valor del campo Ruta de dirección URL y péguelo en un editor de texto al final de la ruta de dirección URL del proveedor de identidades, de forma que quede de la siguiente manera: https:// + . Por ejemplo, los tres componentes juntos formarían la siguiente URL completa del proveedor de identidades: https://fs.fabrikam.com/adfs/ls.

Copiar la ruta de dirección URL de emisión de token de punto de conexión de AD FS

Clave pública del proveedor de identidades

  1. En la herramienta de administración de AD FS, diríjase a ServicioCertificados.
  2. Haga clic con el botón derecho en la entrada Certificado de firma de token y seleccione Ver certificado.
  3. Haga clic en la pestaña Detalles y, a continuación, seleccione Clave pública.
  4. En la sección que aparece a continuación, seleccione y copie la clave pública completa y péguela en un editor de texto.

Cuando haya registrado la URL completa del proveedor de identidades y la clave pública del proveedor de identidades en el editor de texto, continúe con el siguiente paso.

Clave pública de la pestaña Detalles de las propiedades del certificado de firma de token

Paso adicional para entornos de granja de AD FS

  • Compruebe que todos los nodos de AD FS tienen el mismo certificado de firma de token.

Paso n.º 3: Configure los ajustes de inicio de sesión federado en LastPass Enterprise o LastPass Identity

Si ya ha instalado LastPass Active Directory Connector, debe interrumpir el servicio y salir de la aplicación ADC. Deberá iniciarla más adelante.

Ahora que ha obtenido toda la información necesaria, puede configurar sus ajustes de inicio de sesión federado de LastPass Enterprise o LastPass Identity como se indica a continuación:

  1. Inicie sesión y acceda a la Consola de administración:
  2. Diríjase a ConfiguraciónInicio de sesión federado en el menú de navegación de la izquierda.
  3. En el campo URL de proveedor, pegue la URL completa del proveedor de identidades (https:// + Nombre de servicio de federación + Ruta de dirección URL de emisión de token de punto de conexión) que obtuvo en el Paso n.º 2.
  4. En el campo Clave pública, pegue la clave pública del proveedor de identidades que obtuvo en el Paso n.º 2 .
  5. Cuando haya actualizado todos los campos en ambas secciones, marque la casilla del ajuste Activado.
  6. Haga clic en Guardar configuración.
  7. Una vez guardado, se generará el siguiente campo de LastPass Assertion Consumer Service (ACS) automáticamente. Copie la URL del Servicio de consumidor de aserciones (ACS) de LastPass y péguela en un editor de texto.

Paso n.º 4: Instale LastPass AD Connector

Consejo: Cree un pequeño grupo de control de usuarios en Active Directory para utilizarlo al principio en los siguientes pasos.
  1. Instale LastPass Active Directory Connector (instrucciones aquí). Si LastPass AD Connector ya se ha instalado, debe reiniciar la aplicación para continuar cambiando la configuración.
  2. Configure LastPass Active Directory Connector seleccionando AccionesCuando Active Directory detecta un usuario > Crear usuario en LastPass automáticamente (en el entorno local que no es de producción y en el que sí lo es).
    Advertencia: Esta opción debe estar seleccionada para crear usuarios federados con AD FS.
  3. Seleccione AD FS en el menú de navegación de la izquierda y, a continuación, haga clic en Editar.
  4. Haga clic en Generar nueva clave secreta.
    Importante: Debe guardar la nueva clave secreta (en el campo de la clave de toda la empresa) en un lugar seguro. Si tiene que volver a instalar LastPass AD Connector en el futuro, debe volver a introducir esta misma clave de toda la empresa.
  5. Una vez realizadas todas las configuraciones, seleccione la pestaña Inicio en el menú de navegación de la izquierda de LastPass AD Connector y, a continuación, active la casilla Activar sincronización para iniciar la sincronización.
  6. Inicie sesión y acceda a la Consola de administración:
  7. Diríjase a Usuarios en el menú de navegación de la izquierda para ver cómo se rellenan los usuarios a medida que se sincronizan desde su Active Directory. Los usuarios federados tienen un asterisco (*) antes del nombre de usuario (por ejemplo, *john.doe@acme.com).

Paso n.º 5: Registrar la clave de toda la empresa con LastPass

A continuación, tendrá que registrar la clave de toda la empresa con LastPass ejecutando el instalador del complemento de AD FS en su servidor AD FS.

  1. Inicie sesión y acceda a la Consola de administración:
  2. Diríjase a ConfiguraciónInicio de sesión federado en el menú de navegación de la izquierda.
  3. En la sección "Almacén de atributos personalizados de LastPass", que se encuentra en la parte inferior de la página, haga clic en Descargar para servidor ADFS 3.0 (para Windows Server 2012 R2) o Descargar para servidor ADFS 4.0 (para Windows Server 2016 o Windows Server 2019) y guarde el archivo .MSI de LastPass.
  4. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS) y, a continuación, transfiera el archivo .MSI al escritorio del servidor de AD FS. Haga clic con el botón derecho en el archivo y seleccione Ejecutar como administrador o ejecute el instalador .MSI desde un símbolo del sistema con privilegios elevados. Haga clic en si recibe una solicitud del Control de cuentas de usuario.
    Nota: Debe ejecutar el instalador .MSI del complemento de AD FS como administrador o con permisos elevados aunque haya iniciado sesión como administrador de dominio.
  5. Haga clic en Siguiente.
  6. Introduzca la URL del Servicio de consumidor de aserciones (ACS) de LastPass (del Paso n.º 3, Acción n.º 6) y, a continuación, introduzca la clave de toda la empresa (del Paso n.º 4, Acción n.º 4) y haga clic en Siguiente.
  7. Haga clic en Finalizar cuando se complete el registro.
  8. Reinicie el servicio de Windows AD FS. Esta acción es obligatoria.

Pasos adicionales para entornos de granja de AD FS

  1. En el servidor de AD FS, diríjase a C:\Windows\ADFS, donde instaló el archivo .MSI de LastPass.
  2. Copie los siguientes archivos en la carpeta C:\Windows\ADFS de todos los servidores secundarios de AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Reinicie el servicio de Windows AD FS en los nodos secundarios de AD FS. Esta acción es obligatoria.

Paso n.º 6: Aplicación de cambios en la política de control de acceso

El almacén de atributos personalizados de LastPass ha instalado la relación de confianza para usuario autenticado "Confianza de LastPass" en sus servidores de AD FS.

  1. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS).
  2. Diríjase a la configuración de administración de AD FS.
  3. Diríjase a Relaciones de confianza > Relación de confianza para usuario autenticado en el menú de navegación de la izquierda y, a continuación, realice las siguientes acciones según la versión del servidor de AD FS que tenga:
    • AD FS Server 3.0: Windows Server 2012 R2
      1. En la sección "LastPass Trust" (Confianza de LastPass) del menú de navegación de la derecha, haga clic en Edit Claim Rules... (Editar reglas de notificación...).
      2. Seleccione la pestaña Reglas de autorización de emisión y configure la regla que desee, que definirá cómo se autentican los usuarios al iniciar sesión en LastPass mediante un inicio de sesión federado con AD FS.
    • AD FS Server 4.0: Windows Server 2016 o Windows Server 2019
      1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar política de control de acceso....
      2. Configure la política que desee, que definirá cómo se autentican los usuarios al iniciar sesión en LastPass mediante un inicio de sesión federado con AD FS.

¡Ya está todo listo!

Ha configurado correctamente Active Directory Federation Services (AD FS) para su cuenta de LastPass Enterprise o LastPass Identity. Todos los usuarios federados recién completados recibirán un e-mail de bienvenida para informarles de que ya pueden iniciar sesión y usar LastPass.