HELP FILE

Configuración de LastPass Active Directory Connector

El cliente de sincronización LastPass Active Directory Connector (AD Connector) es un servicio de Windows que se ejecuta de forma local y puede descargarse de la Consola de administración en su cuenta de LastPass Enterprise. Le conecta a su entorno de Active Directory para poder realizar muchos procesos de aprovisionamiento y gestión en LastPass Enterprise.

Nota: No instale Active Directory Connector en el controlador del dominio.

Puede consultar los requisitos del sistema y los pasos de instalación primero. A continuación, descubra cómo configurar las opciones de conexión, acciones, sincronización, proxy, depuración y migración.

Si lo desea, puede configurar Active Directory Federation Services (AD FS) en su cuenta de LastPass Enterprise para permitir a sus usuarios usar las credenciales de Active Directory al iniciar sesión en LastPass.

Requisitos del sistema

Para instalar Active Directory Connector, su entorno local debe reunir los requisitos mínimos indicados a continuación.

Nota: Los requisitos del sistema pueden variar en función del entorno de Active Directory que utilice.

Procesador Intel Core Duo
Sistema operativo
  • Windows 8.1 (x64) o superior
  • Server 2012 R2 (x64) o superior

*El sistema operativo debe tener instalado .NET Framework 4.5.2 o superior

Memoria 8 GB de RAM
Espacio en disco 500 MB o más
Ancho de banda Consume 200 Mbps o más al día
Software Aplicación para ordenador de LastPass Active Directory Connector

Instalación de Active Directory Connector

Nota: No instale Active Directory Connector en el controlador del dominio.

En primer lugar, tendrá que instalar Active Directory Connector de la siguiente manera:

  1. Diríjase a https://lastpass.com/company/#!/dashboard e inicie sesión para acceder a la Consola de administración.
  2. Diríjase a ConfiguraciónIntegraciones de directoriosDescargar AD Connector.
  3. Cuando se le solicite, haga clic en Guardar y ejecute el archivo LastPassADConnector.msi. Si aparece el Control de cuentas de usuario, haga clic en para permitir.
  4. Haga clic en Siguiente en el asistente de configuración de LastPass Active Directory Connector.
  5. Marque la casilla para activar la opción "Acepto los términos del contrato de licencia" y, a continuación, haga clic en Siguiente.
  6. Confirme la forma de instalación que desea aplicar y, a continuación, haga clic en Siguiente.
  7. Haga clic en Instalar. Si aparece el Control de cuentas de usuario, haga clic en para permitir.
  8. Cuando termine la instalación, haga clic en Finalizar. Si aparece el Control de cuentas de usuario, haga clic en para permitir.
  9. Una vez instalado, aparecerá una ventana de inicio de sesión.  Inicie sesión con su dirección de e-mail de administrador y su contraseña maestra de LastPass Enterprise y, a continuación, haga clic en Login (Iniciar sesión).

Configuración de Conexión

A continuación, debe configurar la conexión entre LastPass y Active Directory introduciendo la siguiente información:

  • Configuración de conexión: dominio o servidor (por ejemplo, lpadsync) o controlador de dominio que se va a conectar en lugar de un dominio (por ejemplo, lp-adsync-dc01.lpadsync.local).
  • Credenciales: credenciales de inicio de sesión del usuario actual o un conjunto específico de credenciales de usuario.
  • DN base: detectar o especificar automáticamente un DN base. Este será el nodo raíz en el que se ubicarán todos los objetos de usuarios y grupos relevantes. Para obtener un rendimiento óptimo, le recomendamos que coloque todos los usuarios relevantes y sus grupos integrados en el DN base especificado.

Cuando termine, haga clic en Siguiente para configurar los ajustes de las acciones.

Configuración de Acciones

Una vez configurados los ajustes de conexión, tendrá que configurar los ajustes de las acciones para especificar qué acciones deben realizarse en los usuarios cuando ocurran sucesos concretos en Active Directory.

Nota: Le recomendamos usar la opción de desactivar la cuenta en lugar de eliminarla, para evitar que se realicen acciones no deseadas en cuentas de usuarios (como perder todos los datos de la bóveda de un usuario eliminado).

Elija entre las siguientes opciones:

Cuando Active Directory detecta un usuario:

  • Añadir usuario a la consola de Enterprise, pero solicitar aprobación: esta opción sincronizará los usuarios entre Active Directory y LastPass, pero los dejará con el estado "pendiente" (es decir, hay que aprobarlos de forma manual) en lugar de crear de inmediato una cuenta para cada usuario.
  • Crear usuario en LastPass automáticamente: esta opción creará cuentas para cada nuevo usuario de forma automática, y les enviará un e-mail de bienvenida automatizado con una contraseña temporal e instrucciones para crear su propia contraseña maestra. ADVERTENCIA  Debe seleccionar esta opción si aprovisiona usuarios federados desde la integración de LastPass Enterprise en Active Directory Federation Services (AD FS).
  • No realizar ninguna acción: no se realizará ninguna acción.

Cuando se elimina un usuario en Active Directory:

  • Desactivar la cuenta de LastPass de forma administrativa: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario, aunque la cuenta del usuario seguirá existiendo en su cuenta de LastPass Enterprise, y el usuario no podrá iniciar sesión ni usar LastPass a menos que vuelvan a activar su cuenta.
  • Borrar de la cuenta de Enterprise, pero no eliminar el usuario: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario y borrará al usuario de su cuenta de LastPass Enterprise, pero la cuenta pasará a ser Free y todos los datos de la bóveda que contenga seguirán siendo accesibles para el usuario.
  • Eliminar automáticamente su cuenta de LastPass: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario y, además, eliminará por completo la cuenta de LastPass y todos los datos de la bóveda del usuario.

Cuando se desactiva un usuario en Active Directory:

  • Desactivar la cuenta de LastPass de forma administrativa: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario, aunque la cuenta del usuario seguirá existiendo en su cuenta de LastPass Enterprise, y el usuario no podrá iniciar sesión ni usar LastPass a menos que vuelvan a activar su cuenta.
  • Eliminar automáticamente su cuenta de LastPass: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario y, además, eliminará por completo la cuenta de LastPass y todos los datos de la bóveda del usuario.
  • Borrar de la cuenta de Enterprise, pero no eliminar el usuario: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario y borrará al usuario de su cuenta de LastPass Enterprise, pero la cuenta pasará a ser Free y todos los datos de la bóveda que contenga seguirán siendo accesibles para el usuario.

Cuando se borra un usuario de un grupo en un filtro de Active Directory:

  • Desactivar la cuenta de LastPass de forma administrativa: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario, aunque la cuenta del usuario seguirá existiendo en su cuenta de LastPass Enterprise, y el usuario no podrá iniciar sesión ni usar LastPass a menos que vuelvan a activar su cuenta.
  • Eliminar automáticamente su cuenta de LastPass: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario y, además, eliminará por completo la cuenta de LastPass y todos los datos de la bóveda del usuario.
  • Borrar de la cuenta de Enterprise, pero no eliminar el usuario: esta opción liberará el puesto del usuario para poder ofrecérselo a otro usuario y borrará al usuario de su cuenta de LastPass Enterprise, pero la cuenta pasará a ser Free y todos los datos de la bóveda que contenga seguirán siendo accesibles para el usuario.
  • No realizar ninguna acción: no se realizará ninguna acción.

Una vez seleccionados todos los ajustes de las acciones, haga clic en Siguiente para configurar los ajustes de sincronización.

Configuración de Sincronización

Una vez configurados los ajustes de las acciones, tendrá que configurar los ajustes de sincronización para especificar los campos, grupos y usuarios que le gustaría sincronizar entre LastPass y Active Directory.

Nota: Los usuarios deben tener una dirección de e-mail en Active Directory para poder sincronizarse en LastPass.

Configuración de sincronización:

  • Sincronizar el nombre completo del usuario desde Active Directory: esta opción sincronizará el nombre completo de cada usuario para que aparezca en LastPass cuando esté activada. De forma predeterminada, LastPass solo recopila los usuarios por el nombre de usuario (es decir, la dirección de e-mail).
  • Crear grupos en LastPass: si existe un grupo en Active Directory pero no en LastPass, se creará dicho grupo en LastPass al activar esta opción. Si está creando grupos en LastPass según su instancia de Active Directory, se eliminarán los grupos existentes en LastPass y se sustituirán por grupos especificados de Active Directory.
  • Intervalo de búsqueda de sincronización: esta opción obligará a Active Directory Connector a detectar cambios y realizar modificaciones en un ciclo según el intervalo de tiempo especificado (entre 5 y 3600 segundos).

Filtración de usuarios según su pertenencia a grupos:

  • puede hacer clic en Examinar y Buscar para navegar fácilmente por los grupos de Active Directory conectados y seleccionar solo los grupos que desee sincronizar. Si ha añadido grupos de usuarios que ha decidido no sincronizar, haga clic para seleccionar el grupo y, a continuación, haga clic en Borrar grupos seleccionados.
  • También puede limitar qué usuarios se añaden a su cuenta de Enterprise si especifica un filtro de sincronización en Active Directory Connector. Debe rellenar este campo en la cadena DN del grupo que le gustaría filtrar. Una buena fuente para obtener una cadena DN precisa es el uso del editor ADSI. Use cadenas DN completas en el siguiente formato cuando vaya a añadir varios grupos a filtros de sincronización:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Usuarios miembros:

  • Sincronizar todos los miembros del grupo: esta opción sincronizará todos los grupos de usuarios de Active Directory en su cuenta de LastPass Enterprise.
  • Usar lista aprobada para filtrar grupos: use Examinar o Buscar para buscar y seleccionar un grupo principal que contenga directamente los grupos que se vayan a sincronizar. No obstante, el grupo principal en sí no se incluirá en la lista aprobada.
  • Incluir grupos anidados: marque la casilla para activar esta opción si desea incluir en la sincronización todos los grupos secundarios de un grupo (por ejemplo, si el grupo A incluye el grupo B y el grupo B incluye el grupo C, se incluirán los grupos A, B y C). Esto le permite consolidar cuentas de usuario, eliminar accesos duplicados y conceder acceso automático a sitios o carpetas compartidas a grupos anidados.
  • Sincronizar únicamente los grupos especificados en la sección para filtrar usuarios: use este ajuste con especial cuidado. Esta opción solo sincronizará usuarios de grupos especificados en la sección Filtrar usuarios según una lista de miembros de un grupo. Si un usuario de Active Directory deja de ser miembro de todos los grupos especificados, se activará la acción para desactivar/eliminar que ha especificado en la configuración de Acciones, y esta podría desactivar o eliminar usuarios que se encuentren fuera de los grupos seleccionados. Por ese motivo, es muy recomendable seleccionar un conjunto de grupos que incluya todos los usuarios que deben sincronizarse para evitar que se realicen acciones no deseadas al activar este ajuste. Nota: Asegúrese de que todos los usuarios, grupos y grupos secundarios necesarios se encuentran en el DN base seleccionado que especificó en la configuración de Conexión.
  • No sincronizar miembros del grupo: esta opción no sincronizará grupos de usuarios de Active Directory en su cuenta de LastPass Enterprise.

Grupos excluidos:

  • Usar expresiones regulares para omitir grupos secundarios: si ha activado la opción Sincronizar todos los miembros del grupo, podrá crear una lista de grupos excluidos para garantizar que los grupos especificados no se sincronicen al introducir la expresión regular (esto es, el nombre del grupo específico de Active Directory). Si hay una coincidencia para la expresión regular determinada, ese grupo (y los grupos secundarios si está activada la opción "Incluir grupos anidados") no se sincronizará con su cuenta de LastPass Enterprise.

Atributos adicionales para sincronizar:

  • Lista separada por comas: en este apartado podrá especificar el nombre de atributo del usuario de Active Directory (por ejemplo, sAMAccountName) que desee sincronizar con su cuenta de LastPass Enterprise.

Una vez seleccionados todos los ajustes de sincronización, haga clic en Siguiente para configurar los ajustes de depuración.

Configuración del proxy

La configuración del proxy se puede configurar por elementos ejecutables, para todas las aplicaciones de .NET o por usuario mediante la configuración de IE. La interfaz de usuario puede usar la autenticación de Kerberos con las credenciales del usuario que ha iniciado sesión (debe ser un usuario del dominio), el servicio que contiene las credenciales del equipo (debe estar conectado al dominio). No basta con cambiar la configuración del usuario que tiene la sesión iniciada, porque solo Active Directory Connector se ejecuta como usuario actual y el servicio de sincronización se ejecuta como NT AUTHORITY\SYSTEM.

Si desea obtener instrucciones detalladas, puede validar la configuración del proxy.

Depurar

Puede configurar los ajustes de Depurar para resolver problemas de sincronización en Active Directory Connector.

Opciones de registro:

  • Nivel de registro: use el menú desplegable para seleccionar uno de los siguientes tipos de registro:
    • Error
    • Advertencia
    • Información: ajuste predeterminado
    • Depurar
    • Seguir
  • Número máximo de archivos de registro de 100 MB (5-90): seleccione la cantidad de espacio que desea que ocupen los archivos de registro.

Borrar caché local:

  • Haga clic en Borrar caché local para borrar manualmente los datos de grupos y usuarios guardados de forma local y predeterminada (debe usarlo si necesita restaurar Active Directory desde una copia de seguridad). Más información.
  • Haga clic en Abrir carpeta de registro para abrir el Explorador de Windows y dirigirse a C:\ProgramData\LastPass para seleccionar el archivo ADConnector.log y enviarlo a support@lastpass.com si necesita asistencia técnica o detecta problemas al usar LastPass AD Connector.

Cuando termine, haga clic en Finalizar, diríjase a Inicio y marque la casilla "Activar" para iniciar la sincronización.

Migración

Si ha configurado Active Directory Federation Services (AD FS) en su cuenta de LastPass Enterprise, puede usar la opción Migración de LastPass AD Connector para convertir usuarios no federados en cuentas de usuarios federados. Para obtener instrucciones detalladas, consulte ¿Cómo se convierte un usuario existente de LastPass Enterprise en un usuario federado (AD FS)?

Relacionado

Preguntas más frecuentes de Active Directory Connector

Configuración de los servicios de federación (AD FS) para LastPass Enterprise

¿Cómo puedo convertir un usuario existente de LastPass Enterprise en un usuario federado (AD FS)?