HELP FILE
Configurer la connexion fédérée pour LastPass avec AD FS
Les administrateurs de comptes LastPass Enterprise et LastPass Identity peuvent installer et configurer Active Directory Federation Services (AD FS) pour permettre aux utilisateurs qui utilisent le compte Active Directory de leur organisation de se connecter à LastPass sans jamais avoir à créer un deuxième mot de passe maître.
Avant de commencer la mise en œuvre...
- Consultez les limitations applicables aux comptes d’utilisateurs fédérés.
- Il est fortement recommandé de créer un environnement Active Directory hors production avec les services de fédération de façon à pouvoir vous familiariser avec AD FS pour LastPass Enterprise ou LastPass Identity.
- Votre environnement de test doit aussi inclure une version hors production des composants dans l’Étape 1 (y compris créer un compte d’essai LastPass Enterprise ou Identity séparé pour les tests). Suivez toutes les étapes d’installation ci-dessous avec votre compte LastPass Enterprise ou LastPass Identity avant leur mise en production dans votre environnement de test d’abord, pour éviter toute perte intempestive de données de compte d’utilisateur.
- Il est aussi fortement recommandé de mettre en œuvre l’authentification multifacteur pour vos utilisateurs dans un environnement en production, néanmoins, tenez compte de ce qui suit :
- Vous devez installer l’authentification multifacteur au niveau du fournisseur d’identité (AD FS) et non pas au niveau de LastPass (par la console d’administration et/ou les paramètres de compte d’utilisateur final). L’utilisation de l’authentification multifacteur dans LastPass n’est pas prise en charge pour les utilisateurs fédérés, et se traduira par l’incapacité pour ces utilisateurs d’accéder à leur coffre-fort.
- Vous ne pouvez pas appliquer de stratégie d’authentification multifacteur dans la console d’administration LastPass parce que cette authentification s’effectuera en dehors de LastPass, entre votre Fournisseur d’identité (AD FS) et votre service d’authentification. C’est pourquoi nous recommandons d’appliquer les stratégies d’authentification multifacteur dans AD FS.
- Par défaut, nous recommandons d’utiliser une même clé au niveau de l’entreprise pour tous les utilisateurs, ce point est détaillé dans nos Instructions de configuration simplifiée de connexion fédérée pour LastPass avec AD FS. Les instructions détaillées dans cet article exigent une modification de votre schéma Active Directory. Si vous souhaitez toujours configurer une clé unique pour chacun de vos utilisateurs, suivez les instructions détaillées dans cet article.
Étape 1 : Assurez-vous d’avoir rempli la liste de contrôle des composants nécessaires
Avant de pouvoir commencer à utiliser Active Directory Federation Services avec LastPass Enterprise ou LastPass Identity, vous devez avoir installé les éléments suivants (à la fois pour les environnements hors production et actif) :
- Un compte LastPass Enterprise ou LastPass Identity actif incluant :
- Au moins un compte administrateur activé
- Un nombre de postes d’utilisateur égal (ou supérieur) au nombre d’utilisateurs qui sera synchronisé avec votre Active Directory (pour les deux environnements hors production et actif)
Remarque : Si vous effectuez un essai dans votre environnement hors production, il est recommandé de configurer un compte d’essai LastPass Enterprise ou LastPass Identity séparé, pour lequel vous pouvez vous inscrire ici.
- Environnements de serveur Active Directory (à la fois hors production et actif) répondant aux exigences suivantes :
- Les deux environnements sont installés et configurés pour utiliser les services de fédération (AD FS 3.0 pour Windows Server 2012 R2 ou AD FS 4.0 pour Windows Server 2016 ou Windows Server 2019) avec les dernières mises à jour installées, y compris .Net Framework
- Vous avez créé un champ d’attribut personnalisé (ou réutilisé un attribut existant disponible pour le personnaliser) et il a été défini comme CONFIDENTIEL (ce qui vous permet de définir des autorisations en lecture seulement pour les administrateurs avec privilèges) et confirmé qu’il est répertorié dans vos deux environnements Active Directory hors production et actif. attributeSyntax de l’attribut personnalisé doit être 2.5.5.4 = ( NOCASE_STRING ) pour que la configuration réussisse.
Remarque :Le nom de l’attribut personnalisé doit être constitué de caractères alphanumériques seulement (pas de caractères spéciaux ni d’espaces). Il fait aussi la distinction entre majuscules et minuscules, et doit être enregistré exactement tel qu’il apparaît dans l’éditeur d’attributs Active Directory.
- Vos paramètres de pare-feu sont configurés pour atteindre https://www.lastpass.com ou https://www.lastpass.eu et leurs sous-domaines (*.lastpass.com; *.lastpass.eu respectivement) et vous avez vérifié qu’ils ne sont bloqués par aucune règle de pare-feu sur tous vos serveurs AD_FS.
- L’utilisateur AD qui exécute le service AD FS (AD FS appelle le magasin d’attributs personnalisés, qui lit le K1 au moment de la connexion) – doit avoir des autorisations « CONTRÔLER L’ACCÈS »
- La stratégie « Autoriser les super administrateurs à réinitialiser les mots de passe maîtres » activée
- Il est nécessaire que vous ayez activé la stratégie Autoriser les super administrateurs à réinitialiser les mots de passe maîtres pour au moins un administrateur LastPass (qui est également administrateur non fédéré) dans la console d’administration LastPass. Cette action permet de récupérer tous les comptes utilisateur LastPass (par réinitialisation de mot de passe maître) si un paramètre critique est mal configuré ou modifié pour la connexion fédérée une fois la configuration terminée.
Quand toutes ces exigences sont satisfaites, vous devez enregistrer plusieurs informations essentielles pendant la procédure d’installation. Ouvrez un éditeur de texte et préparez les champs suivants :
- Attribut personnalisé Active Directory :
- URL du fournisseur d’identité :
- Clé publique du fournisseur d’identité :
- URL du fournisseur de services :
Étape 2 : enregistrer l’URL de votre fournisseur d’identité et la clé publique de ce fournisseur d’identité
Vous devez ensuite vous connecter à votre serveur de Active Directory Federation Services (AD FS) et obtenir l’URL complète du fournisseur d’identité (Nom du service de fédération + chemin de l’URL d’émission du jeton de point de terminaison) et la clé publique de votre fournisseur d’identité.
URL du fournisseur d’identité
- Connectez-vous à votre serveur Active Directory Federation Services (AD FS) et lancez l’outil d’administration AD FS.
- Cliquez à droite sur Service > Modifier les propriétés du service de fédération.
- Sur l’onglet Général, copiez l’URL dans le champ Nom du service de fédération (par exemple fs.fabrikam.com) et collez-le dans un éditeur de texte. Assurez-vous que le Nom du service de fédération saisi dans votre éditeur de texte commence bien par « https:// » car le protocole sécurisé est obligatoire (par exemple https://fs.fabrikam.com).
Chemin d’URL d’émission du jeton de point de terminaison :
- Dans l’outil d’administration AD FS, accédez à Service > Points de terminaison.
- Dans la section Émission de jeton, trouvez l’entrée contenant SAML 2.0/WS-Federation répertoriée dans la colonne « Type » (adfs/ls est par exemple le chemin par défaut, mais il peut dépendre de votre environnement).
- Copiez la valeur dans le champ Chemin d’URL pour le coller dans un éditeur de texte à la fin du chemin d’URL du fournisseur d’identité de façon qu’elle se présente comme : https://
+ . Par exemple, les 3 composants combinés pourraient former comme URL complète de votre fournisseur d’identité https://fs.fabrikam.com/adfs/ls.
Clé publique du fournisseur d’identité
- Dans l’outil d’administration AD FS, accédez à Service > Certificats.
- Cliquez à droite sur l’entrée Certificat de signature de jeton et sélectionnez Afficher le certificat.
- Cliquez sur l’onglet Détails, puis cliquez pour sélectionner Clé publique.
- Dans la section ci-dessous, sélectionnez et copiez la clé publique complète, puis collez-la dans un éditeur de texte.
Une fois enregistrées l’URL complète du fournisseur d’identité et la clé publique de ce fournisseur d’identité dans un éditeur de texte, passez à l’étape suivante.
Étape supplémentaire pour les environnements de ferme AD FS :
- Vérifiez que chaque nœud AD FS a le même certificat de signature de jeton.
Étape 3 : Configurez vos paramètres de connexion fédérée LastPass Enterprise ou LastPass Identity
Si vous avez déjà installé l’application LastPass Active Directory Connector, vous devez arrêter le service et quitter l’application ADC. Vous devrez le redémarrer ultérieurement.
Maintenant que vous avez obtenu toutes les informations nécessaires, vous pouvez configurer vos paramètres de connexion fédérée LastPass Enterprise ou LastPass Identity comme suit :
- Connectez-vous et accédez à la Console d’administration :
- Pour les comptes dans les centres de données aux États-Unis – https://lastpass.com/company/#!/dashboard
- Pour les comptes dans les centres de données de l’UE – https://lastpass.eu/company/#!/dashboard
- Accédez à Paramètres > Connexion fédérée dans la navigation à gauche.
- Dans le champ URL de fournisseur, collez l’URL complète du fournisseur d’identité (par exemple https:// + Nom du service de fédération + Chemin d’URL d’émission du jeton de point de terminaison) obtenu à l’Étape 2.
- Dans le champ Clé publique, collez la clé publique de votre fournisseur d’identité obtenue à l’Étape 2.
- Une fois tous les champs mis à jour dans les deux sections, une case à cocher « Activé » apparaît dans la section « Configurer AD FS ». Cochez la case du paramètre Activé.
- Cliquez sur Enregistrer les paramètres.
- Une fois enregistré, le champ URL du fournisseur de service ci-dessous sera créé automatiquement. Copiez l’URL de votre fournisseur de services et collez-la dans un éditeur de texte.
- Dans la section « Configurer le connecteur AD », ajoutez le nom de l’attribut personnalisé (créé ou réutilisé et configuré à l’Étape 1) puis cliquez sur Enregistrer.
Étape 4 : Installer LastPass Active Directory Connector
- Installer LastPass Active Directory Connector (instructions ici). Si LastPass AD Connector est déjà installé, vous devez redémarrer l’application avant de poursuivre la modification des réglages.
- Configurez LastPass Active Directory Connector Actions > Quand un utilisateur est détecté dans Active Directory > Créer automatiquement l’utilisateur dans LastPass (dans les environnements local aussi bien avant leur mise en production et actifs). Cette option doit être sélectionnée pour que les utilisateurs fédérés soient créés par AD FS. De plus :
- L’utilisateur AD qui exécute LastPass AD Connector doit avoir les autorisations « CONTRÔLER L’ACCÈS »
- Configurez au moins 1 groupe à synchroniser vers LastPass – il est recommandé de commencer par un petit groupe de contrôle de quelques utilisateurs pour les essais
- Une fois toutes les configurations en place, sélectionnez l’onglet Accueil dans la navigation de gauche de LastPass AD Connector, puis cochez la case Activer la synchro pour démarrer la synchronisation.
- Connectez-vous et accédez à la Console d’administration :
- Pour les comptes dans les centres de données aux États-Unis – https://lastpass.com/company/#!/dashboard
- Pour les comptes dans les centres de données de l’UE – https://lastpass.eu/company/#!/dashboard
- Accédez à Utilisateurs dans le menu de gauche pour voir vos utilisateurs apparaître lors de leur synchronisation depuis Active Directory. Les utilisateurs fédérés sont affichés avec un astérisque (*) avant leur nom d’utilisateur (par exemple *jean.dupont@acme.com).
- Vérifiez dans votre Active Directory que l’attribut personnalisé (de l’Étape 1 de la section « Environnements de serveur Active Directory ») est rempli pour au moins 1 utilisateur fédéré LastPass synchronisé par Active Directory Connector et affiché sous forme d’une chaîne aléatoire.
- Si l’attribut personnalisé est présent dans Active Directory = réussite – Ceci confirme que Active Directory Connector a l’accès en écriture à l’attribut personnalisé pour tous les utilisateurs fédérés – accédez à l’Étape 5 pour enregistrer votre attribut personnalisé.
- Si l’attribut personnalisé est vide dans Active Directory = échec – C’est que Active Directory Connector ne peut pas écrire l’attribut personnalisé dans Active Directory parce que l’utilisateur AD qui exécute LastPass Active Directory Connector n’a pas reçu l’autorisation « CONTRÔLER L’ACCÈS ». Corrigeons ceci !
- L’utilisateur AD doit arrêter le service et quitter l’application LastPass Active Directory Connector.
- Connectez-vous et accédez à la Console d’administration :
- Pour les comptes dans les centres de données aux États-Unis – https://lastpass.com/company/#!/dashboard
- Pour les comptes dans les centres de données de l’UE – https://lastpass.eu/company/#!/dashboard
- Accédez à Utilisateurs dans la navigation à gauche, puis sélectionnez tous vos utilisateurs fédérés nouvellement apparus (affichés avec un astérisque).
- Cliquez sur l’icône Plus
en haut à gauche, puis cliquez sur Supprimer les utilisateurs sélectionnés et confirmez (ils ont tous une valeur d’attribut personnalisé vide).
- Dans Active Directory, attribuez l’autorisation « CONTRÔLER L’ACCÈS » à l’utilisateur qui devra exécuter LastPass Active Directory Connector.
- L’utilisateur AD peut maintenant relancer l’application LastPass Active Directory Connector et démarrer le service.
- Vérifiez une fois de plus dans votre Active Directory si l’attribut personnalisé est présent pour un des utilisateurs fédérés LastPass synchronisés.
Étape 5 : enregistrer votre attribut personnalisé avec LastPass
Vous devez ensuite enregistrer l’attribut personnalisé (que vous avez créé ou réutilisé et configuré dans l’Étape 1) avec LastPass en exécutant le programme d’installation du module externe AD FS sur votre serveur AD FS.
Remarque :Le nom de l’attribut personnalisé doit être constitué de caractères alphanumériques seulement (pas de caractères spéciaux ni d’espaces). Il fait aussi la distinction entre majuscules et minuscules, et doit être enregistré exactement tel qu’il apparaît dans l’éditeur d’attributs Active Directory.
- Connectez-vous et accédez à la Console d’administration :
- Pour les comptes dans les centres de données aux États-Unis – https://lastpass.com/company/#!/dashboard
- Pour les comptes dans les centres de données de l’UE – https://lastpass.eu/company/#!/dashboard
- Accédez à Paramètres > Connexion fédérée dans le menu de gauche.
- Dans la section « Magasin d’attribut personnalisé LastPass » en bas de la page, cliquez soit sur Télécharger pour le serveur ADFS 3.0 (pour Windows Server 2012 R2), soit sur Télécharger pour le serveur ADFS 4.0 (pour Windows Server 2016 ou pour Windows Server 2019) et enregistrez le fichier LastPass .MSI.
- Connectez-vous à votre serveur de Active Directory Federation Services (AD FS) principal, puis transférez le fichier .MSI sur le bureau de votre serveur AD FS. Cliquez à droite sur le fichier et sélectionnez Exécuter en tant qu’administrateur ou exécutez le programme d’installation .MSI depuis une invite de commande avec élévation de privilège. Cliquez sur Oui si vous y êtes invité par le contrôle de compte utilisateur.
Remarque :Le programme d’installation .MSI du module complémentaire AD FS doit être exécuté comme administrateur ou avec élévation de privilège, même si vous êtes connecté en tant qu’administrateur du domaine.
- Cliquez sur Suivant.
- Saisissez l’URL du fournisseur de services LastPass Enterprise ou LastPass Identity Service Provider (de l’Étape 3, Action 6), puis saisissez votre valeur d’attribut personnalisé (de l’Étape 1) et cliquez sur Suivant.
- Cliquez sur Terminer quand l’enregistrement est terminé.
- Redémarrez le service Windows AD FS. Cette étape est obligatoire.
Étapes supplémentaires pour les environnements de ferme AD FS :
- Sur le serveur AD FS, passez à C:\Windows\ADFS où vous avez installé le fichier .MSI LastPass.
- Copiez les fichiers suivants dans le dossier C:\Windows\ADFS de tous les serveurs AD FS secondaires :
- LastPassADFS.dll
- LastPassConfig.dll
- LastPassLib.dll
- LastPassLogger.dll
- LastPassSettings.dll
- BouncyCastle.Crypto.dll
- NLog.dll
- Redémarrez le service Windows AD FS sur les nœuds AD FS secondaires. Cette étape est obligatoire.
Étape 6 : Appliquez les modifications de stratégie de contrôle d’accès
Le magasin d’attribut personnalisé LastPass a installé l’approbation de partie de confiance « LastPass Trust » sur votre ou vos serveurs AD FS.
- Connectez-vous à votre serveur Active Directory Federation Services (AD FS) principal
- Passez aux paramètres de gestion AD FS.
- Passez à Relations d’approbation > Approbation de partie de confiance dans la navigation de gauche, puis procédez comme suit selon votre version du serveur AD FS :
- Serveur AD FS 3.0 – Windows Server 2012 R2
- Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
- Sélectionnez l’onglet Règles d’autorisation d’émission et définissez la règle voulue, qui précisera comment les utilisateurs sont authentifiés lors de leur connexion à LastPass par connexion fédérée avec AD FS.
- Serveur AD FS 4.0 – Serveur Windows 4.0 Server 2016 ou Serveur Windows 2019
- Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d’accès....
- Définissez la stratégie voulue, qui précisera comment les utilisateurs sont authentifiés lors de leur connexion à LastPass par connexion fédérée avec AD FS.
- Serveur AD FS 3.0 – Windows Server 2012 R2
C’est prêt !
Vous avez bien installé Active Directory Federation Services (AD FS) pour votre compte LastPass Enterprise ou LastPass Identity. Tous les utilisateurs fédérés nouvellement apparus recevront un e-mail de bienvenue pour les informer qu’ils peuvent maintenant se connecter et utiliser LastPass.
- Pour afficher l’interface de votre utilisateur final, veuillez consulter Interface de connexion fédérée pour les utilisateurs de LastPass.
- Pour de l’aide supplémentaire au dépannage, consultez Dépanner la connexion fédérée pour Active Directory Federation Services (AD FS).
- Pour provisionner des utilisateurs standards (non fédérés) avec un compte de connexion fédérée, consultez Comment convertir un utilisateur LastPass existant en utilisateur fédéré (AD FS) ?
- Pour savoir comment migrer de AD FS vers une connexion fédérée dans le cloud (Okta ou Azure AD), veuillez consulter Comment migrer d’une connexion fédérée via AD FS vers une connexion fédérée dans le cloud pour LastPass ?