HELP FILE

Configurer la connexion fédérée pour LastPass avec AD FS

Les administrateurs de comptes LastPass Enterprise et LastPass Identity peuvent installer et configurer Active Directory Federation Services (AD FS) pour permettre aux utilisateurs qui utilisent le compte Active Directory de leur organisation de se connecter à LastPass sans jamais avoir à créer un deuxième mot de passe maître.

Avant de commencer la mise en œuvre...

• Consultez les limitations applicables aux comptes d’utilisateurs fédérés.
• Il est fortement recommandé de créer un environnement Active Directory hors production avec les services de fédération de façon à pouvoir vous familiariser avec AD FS pour LastPass Enterprise ou LastPass Identity.
  • Votre environnement de test doit aussi inclure une version hors production des composants dans l’Étape 1 (y compris création d’un compte d’essai LastPass Enterprise ou LastPass Identity séparé pour les tests). Suivez toutes les étapes d’installation ci-dessous avec votre compte LastPass Enterprise ou LastPass Identity hors production dans votre environnement d’essai d’abord, pour éviter toute perte intempestive de données de compte d’utilisateur.
• Il est aussi hautement recommandé de mettre en œuvre l’authentification multifacteur pour vos utilisateurs, mais n’oubliez pas ce qui suit :
  • Vous devez installer l’authentification multifacteur au niveau du fournisseur d’identité (AD FS) et non pas au niveau de LastPass (par la console d’administration et/ou les paramètres de compte d’utilisateur final). L’utilisation de l’authentification multifacteur dans LastPass n’est pas prise en charge pour les utilisateurs fédérés, et se traduira par l’incapacité pour ces utilisateurs d’accéder à leur coffre-fort.
  • Vous ne pouvez pas appliquer de stratégie d’authentification multifacteur dans la console d’administration LastPass parce que cette authentification s’effectuera en dehors de LastPass, entre votre Fournisseur d’identité (AD FS) et votre service d’authentification. C’est pourquoi nous recommandons d’appliquer les stratégies d’authentification multifacteur dans AD FS.
• Par défaut, nous recommandons d’utiliser une même clé au niveau de l’entreprise pour tous les utilisateurs, ce point est détaillé dans nos Instructions de configuration simplifiée de connexion fédérée pour LastPass avec AD FS. Les instructions détaillées dans cet article exigent une modification de votre schéma Active Directory. Si vous souhaitez toujours configurer une clé unique pour chacun de vos utilisateurs, suivez les instructions détaillées dans cet article.

Étape 1 : Assurez-vous d’avoir rempli la liste de contrôle des composants nécessaires

Avant de pouvoir commencer à utiliser Active Directory Federation Services avec LastPass Enterprise ou LastPass Identity, vous devez avoir installé les éléments suivants (à la fois pour les environnements hors production et actif) :

• Un compte LastPass Enterprise ou LastPass Identity actif incluant :
  • Au moins 1 compte administrateur activé
  • Un nombre de postes d’utilisateur égal (ou supérieur) au nombre d’utilisateurs qui sera synchronisé avec votre Active Directory (pour les deux environnements hors production et actif)

    Remarque :Si vous effectuez un essai dans votre environnement hors production, il est recommandé d’installer un compte de test LastPass Enterprise ou LastPass Identity séparé, pour cela vous pouvez vous enregistrer ici.

• Environnements de serveur Active Directory (à la fois hors production et actif) répondant aux exigences suivantes :
  • Les deux environnements sont installés et configurés pour utiliser les services de fédération (AD FS 3.0 ou AD FS 4.0 sur Windows Server 2012 R2 ou Windows Server 2016 avec les dernières mises à jour installées, notamment .Net Framework)
  • Vous avez créé un champ d’attribut personnalisé (ou réutilisé un attribut existant disponible pour le personnaliser) et il a été défini comme CONFIDENTIEL (ce qui vous permet de définir des autorisations en lecture seulement pour les administrateurs avec privilèges) et confirmé qu’il est répertorié dans vos deux environnements Active Directory hors production et actif. attributeSyntax de l’attribut personnalisé doit être 2.5.5.4 = ( NOCASE_STRING ) pour que la configuration réussisse.

  Remarque :Le nom de l’attribut personnalisé doit être constitué de caractères alphanumériques seulement (pas de caractères spéciaux ni d’espaces). Il fait aussi la distinction entre majuscules et minuscules, et doit être enregistré exactement tel qu’il apparaît dans l’éditeur d’attributs Active Directory.

  • Vos paramètres de pare-feu sont configurés pour atteindre https://www.lastpass.com et ses sous-domaines (*.lastpass.com) et vous avez confirmé qu’ils ne sont bloqués par aucune règle de pare-feu sur tous vos serveurs AD FS.
  • L’utilisateur AD qui exécute le service AD FS (AD FS appelle le magasin d’attributs personnalisés, qui lit le K1 au moment de la connexion) – doit avoir des autorisations « CONTRÔLER L’ACCÈS »
• La stratégie « Autoriser les super administrateurs à réinitialiser les mots de passe maîtres » est activée
  • Il est obligatoire que cette stratégie soit activée sur les deux versions hors production et active de vos comptes LastPass Enterprise ou LastPass Identity (elle vous permet de réinitialiser un mot de passe maître d’utilisateur) – veuillez remarquer que pour les utilisateurs fédérés, la réinitialisation de ce mot de passe maître est la seule façon de les convertir à l’état d’utilisateur défédéré parce que le mot de passe maître ne correspondra plus à celui qui est enregistré dans Active Directory – en savoir plus

Quand toutes ces exigences sont satisfaites, vous devez enregistrer plusieurs informations essentielles pendant la procédure d’installation. Ouvrez un éditeur de texte et préparez les champs suivants :

• Attribut personnalisé Active Directory :
• URL du fournisseur d’identité :
• Clé publique du fournisseur d’identité :
• URL du fournisseur de services :

Après préparation de ces champs dans votre éditeur de texte, passez à l’étape suivante.

Étape 2 : Enregistrer l’URL de votre fournisseur d’identité et la clé publique de ce fournisseur d’identité

Vous devez ensuite vous connecter à votre serveur de Active Directory Federation Services (AD FS) et obtenir l’URL complète du fournisseur d’identité (Nom du service de fédération + chemin de l’URL d’émission du jeton de point de terminaison) et la clé publique de votre fournisseur d’identité.

URL du fournisseur d’identité :

1. Connectez-vous à votre serveur Active Directory Federation Services (AD FS) et lancez l’outil d’administration AD FS.
2. Cliquez à droite sur Service > Modifier les propriétés du service de fédération.
3. Sur l’onglet Général, copiez l’URL dans le champ Nom du service de fédération (par exemple fs.fabrikam.com) et collez-le dans un éditeur de texte. Assurez-vous que le Nom du service de fédération saisi dans votre éditeur de texte commence bien par « https:// » car le protocole sécurisé est obligatoire (par exemple https://fs.fabrikam.com).

Chemin d’URL d’émission du jeton de point de terminaison :

1. Dans l’outil d’administration AD FS, passez à Service > Points de terminaison.
2. Dans la section Émission de jeton, trouvez l’entrée contenant SAML 2.0/WS-Federation répertoriée dans la colonne « Type » (adfs/ls est par exemple le chemin par défaut, mais il peut dépendre de votre environnement).
3. Copiez la valeur dans le champ Chemin d’URL pour le coller dans un éditeur de texte à la fin du chemin d’URL du fournisseur d’identité de façon qu’elle se présente comme : https:// + . Par exemple, les 3 composants combinés pourraient donner comme URL complète de votre fournisseur d’identité https://fs.fabrikam.com/adfs/ls.

Clé publique du fournisseur d’identité :

1. Dans l’outil d’administration AD FS, passez à Service > Certificats.
2. Cliquez à droite sur l’entrée Certificat de signature de jeton et sélectionnez Afficher le certificat.
3. Cliquez sur l’onglet Détails, puis cliquez pour sélectionner Clé publique.
4. Dans la section ci-dessous, sélectionnez et copiez la clé publique complète, puis collez-la dans un éditeur de texte.

Une fois enregistrées l’URL complète du fournisseur d’identité et la clé publique de ce fournisseur d’identité dans un éditeur de texte, passez à l’étape suivante.

Étape supplémentaire pour les environnements à ferme AD FS :

• Vérifiez que chaque nœud AD FS a le même certificat de signature de jeton.

Étape 3 : Configurez vos paramètres de connexion fédérée LastPass Enterprise ou LastPass Identity

Si vous avez déjà installé l’application LastPass Active Directory Connector, vous devez arrêter le service et quitter l’application ADC. Vous devrez le redémarrer ultérieurement.

Maintenant que vous avez obtenu toutes les informations nécessaires, vous pouvez configurer vos paramètres de connexion fédérée LastPass Enterprise ou LastPass Identity comme suit :

1. Connectez-vous et accédez à la console d’administration à l’adresse https://lastpass.com/company/#!/dashboard.
2. Allez dans Paramètres > Connexion fédérée dans la navigation à gauche.
3. Dans le champ URL de fournisseur, collez l’URL complète du fournisseur d’identité (par exemple https:// + Nom du service de fédération + Chemin d’URL d’émission du jeton de point de terminaison) obtenu à l’Étape 2.
4. Dans le champ Clé publique, collez la clé publique de votre fournisseur d’identité obtenue à l’Étape 2.
5. Une fois tous les champs mis à jour dans les deux sections, cochez la case pour le paramètre « Activé ». Cochez la case du paramètre Activé.
6. Cliquez sur Enregistrer les paramètres.
7. Une fois enregistré, le champ URL du fournisseur de service ci-dessous sera créé automatiquement. Copiez l’URL de votre fournisseur de services et collez-la dans un éditeur de texte.
8. Dans la section « Configuration du connecteur AD », ajoutez le nom de l’attribut personnalisé (créé ou réutilisé et configuré à l’Étape 1) et cliquez sur Enregistrer.

Étape 4 : Installation de LastPass Active Directory Connector

CONSEIL ! Créez un petit groupe de contrôle d’utilisateurs dans Active Directory à utiliser au départ pour les opérations ci-dessous.

1. Installation de LastPass Active Directory Connector (instructions ici). Si LastPass AD Connector est déjà installé, vous devez redémarrer l’application avant de poursuivre la modification des réglages.
2. Configurez LastPass Active Directory Connector Actions > Quand un utilisateur est détecté dans Active Directory > Créer automatiquement l’utilisateur dans LastPass (dans les environnements local hors production et actif). Cette option doit être sélectionnée pour que les utilisateurs fédérés soient créés par AD FS. De plus :
   • L’utilisateur AD qui exécute LastPass AD Connector doit avoir les autorisations « CONTRÔLER L’ACCÈS »
   • Configurez au moins 1 groupe à synchroniser vers LastPass – il est recommandé de commencer par un petit groupe de contrôle de quelques utilisateurs pour les essais
3. Une fois toutes les configurations en place, sélectionnez l’onglet Accueil dans la navigation de gauche de LastPass AD Connector, puis cochez la case Activer la synchro pour démarrer la synchronisation.
4. Connectez-vous et accédez à la console d’administration à l’adresse https://lastpass.com/company/#!/dashboard.
5. Passez à Utilisateurs dans le menu de gauche pour voir vos utilisateurs apparaître lors de leur synchronisation depuis Active Directory. Les utilisateurs fédérés sont affichés avec un astérisque (*) avant leur nom d’utilisateur (par exemple *jean.dupont@acme.com).
6. Vérifiez dans votre Active Directory que l’attribut personnalisé (de l’Étape 1 de la section « Environnements de serveur Active Directory ») est rempli pour au moins 1 utilisateur fédéré LastPass synchronisé par Active Directory Connector et affiché sous forme d’une chaîne aléatoire.
   • Si l’attribut personnalisé est présent dans Active Directory = réussite – Ceci confirme que Active Directory Connector a l’accès en écriture à l’attribut personnalisé pour tous les utilisateurs fédérés – passez à l’Étape 5 pour enregistrer votre attribut personnalisé.
   • Si l’attribut personnalisé est vide dans Active Directory = échec – C’est que Active Directory Connector ne peut pas écrire l’attribut personnalisé dans Active Directory parce que l’utilisateur AD qui exécute LastPass Active Directory Connector n’a pas reçu l’autorisation « CONTRÔLER L’ACCÈS ».
     
     Corrigeons ceci !
     1. L’utilisateur AD doit arrêter le service et quitter l’application LastPass Active Directory Connector.
     2. Connectez-vous et accédez à la console d’administration LastPass à l’adresse https://lastpass.com/company/#!/dashboard.
     3. Passez à Utilisateurs dans la navigation à gauche, puis sélectionnez tous vos utilisateurs fédérés nouvellement apparus (affichés avec un astérisque).
     4. Cliquez sur l’icône Plus en haut à gauche, puis cliquez sur Supprimer les utilisateurs sélectionnés et confirmez (ils ont tous une valeur d’attribut personnalisé vide).
     5. Dans Active Directory, attribuez l’autorisation « CONTRÔLER L’ACCÈS » à l’utilisateur qui devra exécuter LastPass Active Directory Connector.
     6. L’utilisateur AD peut maintenant relancer l’application LastPass Active Directory Connector et démarrer le service.
     7. Vérifiez une fois de plus dans votre Active Directory si l’attribut personnalisé est présent pour un des utilisateurs fédérés LastPass synchronisés.

Étape 5 : Enregistrer votre attribut personnalisé avec LastPass

Vous devez ensuite enregistrer l’attribut personnalisé (que vous avez créé ou réutilisé et configuré dans l’Étape 1) avec LastPass en exécutant le programme d’installation du module externe AD FS sur votre serveur AD FS.

Remarque :Le nom de l’attribut personnalisé doit être constitué de caractères alphanumériques seulement (pas de caractères spéciaux ni d’espaces). Il fait aussi la distinction entre majuscules et minuscules, et doit être enregistré exactement tel qu’il apparaît dans l’éditeur d’attributs Active Directory.

1. Connectez-vous et accédez à la console d’administration à l’adresse https://lastpass.com/company/#!/dashboard.
2. Passez à Paramètres > Connexion fédérée dans le menu de gauche.
3. Dans la section « Magasin d’attribut personnalisé LastPass » en bas de la page, cliquez soit sur Télécharger pour le serveur ADFS 3.0 (pour Windows Server 2012 R2), soit sur Télécharger pour le serveur ADFS 4.0 (pour Windows Server 2016) et enregistrez le fichier .MSI LastPass.
4. Connectez-vous à votre serveur de Active Directory Federation Services (AD FS) principal, puis transférez le fichier .MSI sur le bureau de votre serveur AD FS. Cliquez à droite sur le fichier et sélectionnez Exécuter en tant qu’administrateur ou exécutez le programme d’installation .MSI depuis une invite de commande avec élévation de privilège. Cliquez sur Oui si vous y êtes invité par le contrôle de compte utilisateur.

   Remarque :Le programme d’installation .MSI du module complémentaire AD FS doit être exécuté comme administrateur ou avec élévation de privilège, même si vous êtes connecté en tant qu’administrateur du domaine.

5. Cliquez sur Suivant.
6. Saisissez l’URL du fournisseur de services LastPass Enterprise ou LastPass Identity (de l’Étape 3, Action 6), puis saisissez votre valeur d’attribut personnalisé (de l’Étape 1) et cliquez sur Suivant.
7. Cliquez sur Terminer quand l’enregistrement est achevé.
8. Redémarrez le service Windows AD FS. C’est obligatoire.

Étapes supplémentaires pour les environnements de ferme AD FS :

1. Sur le serveur AD FS, passez à C:\Windows\ADFS où vous avez installé le fichier .MSI LastPass.
2. Copiez les fichiers suivants dans le dossier C:\Windows\ADFS de tous les serveurs AD FS secondaires :
   • LastPassADFS.dll
   • LastPassConfig.dll
   • LastPassLib.dll
   • LastPassLogger.dll
   • LastPassSettings.dll
   • BouncyCastle.Crypto.dll
   • NLog.dll
3. Redémarrez le service Windows AD FS sur les nœuds AD FS secondaires. C’est obligatoire.

Étape 6 : Appliquez les modifications de stratégie de contrôle d’accès

Le magasin d’attribut personnalisé LastPass a installé l’approbation de partie de confiance « LastPass Trust » sur votre ou vos serveurs AD FS.

1. Connectez-vous à votre serveur Active Directory Federation Services (AD FS) principal
2. Passez aux paramètres de gestion AD FS.
3. Passez à Relations d’approbation > Approbation de partie de confiance dans la navigation de gauche, puis procédez comme suit selon votre version du serveur AD FS :
   • Serveur AD FS 3.0 – Windows Server 2012 R2
     1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
     2. Sélectionnez l’onglet Règles d’autorisation d’émission et définissez la règle voulue, qui précisera comment les utilisateurs sont authentifiés lors de leur connexion à LastPass par connexion fédérée avec AD FS.
   • Serveur AD FS 4.0 – Windows Server 2016
     1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d’accès....
     2. Définissez la stratégie voulue, qui précisera comment les utilisateurs sont authentifiés lors de leur connexion à LastPass par connexion fédérée avec AD FS.

C’est prêt !

Vous avez bien installé Active Directory Federation Services (AD FS) pour votre compte LastPass Enterprise ou LastPass Identity. Tous les utilisateurs fédérés nouvellement apparus recevront un e-mail de bienvenue pour les informer qu’ils peuvent maintenant se connecter et utiliser LastPass.

• Pour voir l’interface de votre utilisateur final, consultez Interface de connexion fédérée pour les utilisateurs de LastPass.
• Pour de l’aide supplémentaire au dépannage, consultez Dépannage de la connexion fédérée pour Active Directory Federation Services (AD FS).
• Pour approvisionner des utilisateurs standard (non fédérés) avec un compte de connexion fédérée, consultez Comment convertir un utilisateur LastPass existant en utilisateur fédéré (AD FS) ?
• Pour apprendre à migrer depuis l’utilisation de AD FS vers une connexion fédérée en nuage (Okta ou Azure AD), voir Comment migrer depuis l’utilisation de AD FS vers une connexion fédérée en nuage pour LastPass ?