HELP FILE

Configuration des services de fédération (AD FS) pour LastPass Enterprise

Les administrateurs de comptes LastPass Enterprise peuvent installer et configurer les services de fédération Active Directory (AD FS) pour permettre aux utilisateurs qui utilisent les identifiants Active Directory de leur organisation de se connecter à LastPass sans jamais avoir à créer un deuxième mot de passe maître.

Avant de commencer la mise en œuvre...

• Consultez les limitations applicables aux comptes d'utilisateurs fédérés.
• Il est fortement recommandé de créer un environnement Active Directory hors production avec les services de fédération de façon à pouvoir vous familiariser avec AD FS pour LastPass Enterprise.
  • Votre environnement de test doit aussi inclure une version hors production des composants dans l'Étape n°1 (y compris création d'un compte d'essai LastPass Enterprise séparé pour les tests). Suivez toutes les étapes d'installation ci-dessous avec votre compte LastPass Enterprise hors production dans votre environnement d'essai d'abord, pour éviter toute perte intempestive de données de compte d'utilisateur.
• Il est aussi fortement recommandé de mettre en œuvre l'authentification multifacteur pour vos utilisateurs, mais n'oubliez pas ce qui suit :
  • Vous devez installer l'authentification multifacteur au niveau du fournisseur d'identité (AD FS) et non pas au niveau de LastPass (par la console d'administration et/ou les paramètres de compte d'utilisateur final). L'utilisation de l'authentification multifacteur dans LastPass n'est pas prise en charge pour les utilisateurs fédérés, et se traduira par l'incapacité pour ces utilisateurs d'accéder à leur coffre-fort.
  • Vous ne pouvez pas appliquer de stratégie d'authentification multifacteur dans la console d'administration LastPass parce que cette authentification s'effectuera en dehors de LastPass, entre votre Fournisseur d'identité (AD FS) et votre service d'authentification. C'est pourquoi nous recommandons d'appliquer les stratégies d'authentification multifacteur dans AD FS.

Étape 1 : Assurez-vous d'avoir rempli la liste de contrôle des composants nécessaires

Avant de pouvoir commencer à utiliser les services de fédération Active Directory avec LastPass Enterprise, vous devez avoir installé les éléments suivants (à la fois pour les environnements hors production et actif) :

• Un compte LastPass Enterprise actif incluant :
  • Au moins 1 compte administrateur activé
  • Un nombre de postes d'utilisateur égal (ou supérieur) au nombre d'utilisateurs qui sera synchronisé avec votre Active Directory (pour les deux environnements hors production et actif) Remarque : Si vous effectuez un essai dans votre environnement hors production, il est recommandé d'installer un compte de test LastPass Enterprise séparé, pour cela vous pouvez vous enregistrer ici.
• Environnements de serveur Active Directory (à la fois hors production et actif) répondant aux exigences suivantes :
  • Les deux environnements sont installés et configurés pour utiliser les services de fédération (AD FS 3.0 ou AD FS 4.0 sur Windows Server 2012 R2 ou Windows Server 2016 avec les dernières mises à jour installées, notamment .Net Framework)
  • Vous avez créé un champ d'attribut personnalisé (ou réutilisé un attribut existant disponible pour le personnaliser) et il a été défini comme CONFIDENTIEL (ce qui vous permet de définir des autorisations en lecture seulement pour les administrateurs avec privilèges) et confirmé qu'il est répertorié dans vos deux environnements Active Directory hors production et actif. attributeSyntax de l'attribut personnalisé doit être 2.5.5.4 = ( NOCASE_STRING ) pour que la configuration réussisse.

  Remarque : Le nom de l'attribut personnalisé doit être constitué de caractères alphanumériques seulement (pas de caractères spéciaux ni d'espaces). Il fait aussi la distinction entre majuscules et minuscules, et doit être enregistré exactement tel qu'il apparaît dans l'éditeur d'attributs Active Directory.

  • Vos paramètres de pare-feu sont configurés pour atteindre https://www.lastpass.com et ses sous-domaines (*.lastpass.com) et vous avez confirmé qu'ils ne sont bloqués par aucune règle de pare-feu sur tous vos serveurs AD FS.
  • L'utilisateur AD qui exécute le service AD FS (AD FS appelle le magasin d'attributs personnalisés, qui lit le K1 au moment de la connexion) – doit avoir des autorisations « CONTRÔLER L'ACCÈS »
• La stratégie « Super administrateur - Réinitialisation du mot de passe maître » est activée
  • Il est obligatoire que cette stratégie soit activée sur les deux versions hors production et active de vos comptes LastPass Enterprise (elle vous permet de réinitialiser un mot de passe maître d'utilisateur) – veuillez remarquer que pour les utilisateurs fédérés, la réinitialisation de ce mot de passe maître est la seule façon de les convertir à l'état d'utilisateur non fédéré parce que le mot de passe maître ne correspondra plus à celui qui est enregistré dans Active Directory – en savoir plus

Quand toutes ces exigences sont satisfaites, vous devez enregistrer plusieurs informations essentielles pendant la procédure d'installation.  Ouvrez un éditeur de texte et préparez les champs suivants :

• Attribut personnalisé Active Directory
• URL du fournisseur d'identité
• Clé publique du fournisseur d'identité
• URL du fournisseur de services

Après préparation de ces champs dans votre éditeur de texte, passez à l'étape suivante.

Étape 2 : Enregistrer l'URL de votre fournisseur d'identité et la clé publique de ce fournisseur d'identité

Vous devez ensuite vous connecter à votre serveur de services de fédération Active Directory (AD FS) et obtenir l'URL complète du fournisseur d'identité (Nom du service de fédération + chemin de l'URL d'émission du jeton de point de terminaison) et la clé publique de votre fournisseur d'identité.

URL du fournisseur d'identité :

1. Connectez-vous à votre serveur de services de fédération Active Directory (AD FS) et lancez l'outil d'administration AD FS.
2. Cliquez à droite sur Service > Modifier les propriétés du service de fédération.
3. Sur l'onglet Général, copiez l'URL dans le champ Nom du service de fédération (par exemple fs.fabrikam.com) et collez-le dans un éditeur de texte. Assurez-vous que le Nom du service de fédération saisi dans votre éditeur de texte commence bien par « https:// » car le protocole sécurisé est obligatoire (par exemple https://fs.fabrikam.com).

Chemin d'URL d'émission du jeton de point de terminaison :

1. Dans l'outil d'administration AD FS, passez à Service > Points de terminaison.
2. Dans la section Émission de jeton, trouvez l'entrée contenant SAML 2.0/WS-Federation répertoriée dans la colonne « Type » (adfs/ls est par exemple le chemin par défaut, mais il peut dépendre de votre environnement).
3. Copiez la valeur dans le champ Chemin d'URL pour le coller dans un éditeur de texte à la fin du chemin d'URL du fournisseur d'identité de façon qu'elle se présente comme : https:// <Nom du service de fédération> + <Chemin d'URL d'émission du jeton de point de terminaison>. Par exemple, les 3 composants combinés pourraient donner comme URL complète de votre fournisseur d'identité https://fs.fabrikam.com/adfs/ls.

Clé publique du fournisseur d'identité :

1. Dans l'outil d'administration AD FS, passez à Service > Certificats.
2. Cliquez à droite sur l'entrée Certificat de signature de jeton et sélectionnez Afficher le certificat.
3. Cliquez sur l'onglet Détails, puis cliquez pour sélectionner Clé publique.
4. Dans la section ci-dessous, sélectionnez et copiez la clé publique complète, puis collez-la dans un éditeur de texte.

Une fois enregistrées l'URL complète du fournisseur d'identité et la clé publique de ce fournisseur d'identité dans un éditeur de texte, passez à l'étape suivante.

Étape supplémentaire pour les environnements à ferme AD FS :

• Vérifiez que chaque nœud AD FS a le même certificat de signature de jeton.

Étape 3 : Configurez vos paramètres de connexion fédérée LastPass Enterprise

Si vous avez déjà installé l'application LastPass Active Directory Connector, vous devez arrêter le service et quitter l'application ADC. Vous devrez le redémarrer ultérieurement.

Maintenant que vous avez obtenu toutes les informations nécessaires, vous pouvez configurer vos paramètres de connexion fédérée LastPass Enterprise comme suit :

1. Connectez-vous et accédez à la console d'administration à l'adresse https://lastpass.com/company/#!/dashboard.
2. Allez dans Paramètres > Connexion fédérée dans la navigation à gauche.
3. Dans le champ URL de fournisseur, collez l'URL complète du fournisseur d'identité (par exemple https:// + Nom du service de fédération + Chemin d'URL d'émission du jeton de point de terminaison) obtenu à l'Étape 2.
4. Dans le champ Clé publique, collez la clé publique de votre fournisseur d'identité obtenue à l'Étape 2.
5. Cliquez sur Enregistrer les paramètres.
6. Une fois enregistré, le champ URL du fournisseur de service ci-dessous sera créé automatiquement. Copiez l'URL de votre fournisseur de services et collez-la dans un éditeur de texte.
7. Ajoutez le nom de l'attribut personnalisé (créé ou réutilisé et configuré à l'Étape 1) dans la section « Configuration du connecteur AD » et cliquez sur Enregistrer.
8. Une fois tous les champs mis à jour dans les deux sections, une case à cocher « Activé » apparaît dans la section « Configurer AD FS ».

Étape 4 : Installation de LastPass Active Directory Connector

ASTUCE ! Créez un petit groupe de contrôle d'utilisateurs dans Active Directory à utiliser au départ pour les opérations ci-dessous.

1. Installez LastPass Active Directory Connector, ou s'il est déjà installé, ouvrez l'application.
2. Configurez LastPass Active Directory Connector Actions > Quand un utilisateur est détecté dans Active Directory > Créer automatiquement l'utilisateur dans LastPass (dans les environnements local hors production et actif). Cette option doit être sélectionnée pour que les utilisateurs fédérés soient créés par AD FS. De plus :
   • L'utilisateur AD qui exécute LastPass AD Connector doit avoir les autorisations « CONTRÔLER L'ACCÈS »
   • Configurez au moins 1 groupe à synchroniser vers LastPass – il est recommandé de commencer par un petit groupe de contrôle de quelques utilisateurs pour les essais
3. Sélectionnez l'onglet Accueil à gauche de LastPass AD Connector puis cochez la case Activer la synchro pour démarrer la synchronisation.
4. Connectez-vous et accédez à la console d'administration à l'adresse https://lastpass.com/company/#!/dashboard.
5. Passez à Utilisateurs dans le menu de gauche pour voir vos utilisateurs apparaître lors de leur synchronisation depuis Active Directory. Les utilisateurs fédérés sont affichés avec un astérisque (*) avant leur nom d'utilisateur (par exemple *jean.dupont@acme.com).
6. Vérifiez dans votre Active Directory que l'attribut personnalisé (de l'Étape 1 de la section « Environnements de serveur Active Directory ») est rempli pour au moins 1 utilisateur fédéré LastPass synchronisé par Active Directory Connector et affiché sous forme d'une chaîne aléatoire.
   • Si l'attribut personnalisé est présent dans Active Directory = réussite – Ceci confirme que Active Directory Connector a l'accès en écriture à l'attribut personnalisé pour tous les utilisateurs fédérés – passez à l'Étape 5 pour enregistrer votre attribut personnalisé.
   • Si l'attribut personnalisé est vide dans Active Directory = échec – C'est que Active Directory Connector ne peut pas écrire l'attribut personnalisé dans Active Directory parce que l'utilisateur AD qui exécute LastPass Active Directory Connector n'a pas reçu l'autorisation « CONTRÔLER L'ACCÈS ».
     Corrigeons ceci !
     1. L'utilisateur AD doit arrêter le service et quitter l'application LastPass Active Directory Connector.
     2. Connectez-vous et accédez à la console d'administration LastPass à l'adresse https://lastpass.com/company/#!/dashboard.
     3. Passez à Utilisateurs dans la navigation à gauche, puis sélectionnez tous vos utilisateurs fédérés nouvellement apparus (affichés avec un astérisque).
     4. Cliquez sur l'icône Plus en haut à gauche, puis cliquez sur Supprimer les utilisateurs sélectionnés et confirmez (ils ont tous une valeur d'attribut personnalisé vide).
     5. Dans Active Directory, attribuez l'autorisation « CONTRÔLER L'ACCÈS » à l'utilisateur qui devra exécuter LastPass Active Directory Connector.
     6. L'utilisateur AD peut maintenant relancer l'application LastPass Active Directory Connector et démarrer le service.
     7. Vérifiez une fois de plus dans votre Active Directory si l'attribut personnalisé est présent pour un des utilisateurs fédérés LastPass synchronisés.

Étape 5 : Enregistrer votre attribut personnalisé avec LastPass

Vous devez ensuite enregistrer l'attribut personnalisé (que vous avez créé ou réutilisé et configuré dans l'Étape 1) avec LastPass en exécutant le programme d'installation du module externe AD FS sur votre serveur AD FS.

Remarque : Le nom de l'attribut personnalisé doit être constitué de caractères alphanumériques seulement (pas de caractères spéciaux ni d'espaces). Il fait aussi la distinction entre majuscules et minuscules, et doit être enregistré exactement tel qu'il apparaît dans l'éditeur d'attributs Active Directory.

1. Connectez-vous et accédez à la console d'administration à l'adresse https://lastpass.com/company/#!/dashboard.
2. Passez à Paramètres > Connexion fédérée dans le menu de gauche.
3. Dans la section « Magasin d'attribut personnalisé LastPass » en bas de la page, cliquez soit sur Télécharger pour le serveur ADFS 3.0 (pour Windows Server 2012 R2), soit sur Télécharger pour le serveur ADFS 4.0 (pour Windows Server 2016) et enregistrez le fichier .MSI LastPass.
4. Connectez-vous à votre serveur de services de fédération Active Directory (AD FS) principal, puis transférez le fichier .MSI sur le bureau de votre serveur AD FS et faites un double clic pour l'exécuter.
5. Cliquez sur Suivant.
6. Saisissez l'URL du fournisseur de services LastPass Enterprise (de l'Étape 3, Action 6), puis saisissez votre valeur d'attribut personnalisé (de l'Étape 1) et cliquez sur Suivant.
7. Cliquez sur Terminer quand l'enregistrement est achevé.
8. Redémarrez le service Windows AD FS. C'est obligatoire.

Étapes supplémentaires pour les environnements de ferme AD FS :

1. Sur le serveur AD FS, passez à C:\Windows\ADFS où vous avez installé le fichier .MSI LastPass.
2. Copiez les fichiers suivants dans le dossier C:\Windows\ADFS de tous les serveurs AD FS secondaires :
   • LastPassADFS.dll
   • LastPassConfig.dll
   • LastPassLib.dll
   • LastPassLogger.dll
   • LastPassSettings.dll
   • BouncyCastle.Crypto.dll
   • NLog.dll
3. Redémarrez le service Windows AD FS sur les nœuds AD FS secondaires. C'est obligatoire.

Étape 6 : Appliquez les modifications de stratégie de contrôle d'accès

Le magasin d'attribut personnalisé LastPass a installé l'approbation de partie de confiance « LastPass Trust » sur votre ou vos serveurs AD FS.

1. Connectez-vous à votre serveur de services de fédération Active Directory (AD FS) principal
2. Passez aux paramètres de gestion AD FS.
3. Passez à Relations d'approbation > Approbation de partie de confiance dans la navigation de gauche, puis procédez comme suit selon votre version du serveur AD FS :
   • Serveur AD FS 3.0 – Windows Server 2012 R2
     1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
     2. Sélectionnez l'onglet Règles d'autorisation d'émission et définissez la règle voulue.
   • Serveur AD FS 4.0 – Windows Server 2016
     1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d'accès....
     2. Définissez la stratégie voulue.

C'est prêt ! Vous avez bien installé les services de fédération Active Directory (AD FS) pour votre compte LastPass Enterprise. Tous les utilisateurs fédérés nouvellement apparus recevront un e-mail de bienvenue pour les informer qu'ils peuvent maintenant se connecter et utiliser LastPass.

• Pour voir l'expérience de votre utilisateur final, consultez Expérience de connexion fédérée (AD FS) pour les utilisateurs de LastPass Enterprise.
• Pour de l'aide supplémentaire au dépannage, consultez Dépannage de Active Directory Federated Services (AD FS).
• Pour approvisionner des utilisateurs non fédérés avec un compte fédéré, consultez Comment convertir un utilisateur LastPass Enterprise existant en utilisateur fédéré (AD FS) ?