HELP FILE

Configurer la connexion fédérée simplifiée pour LastPass avec AD FS

Les administrateurs de comptes LastPass Enterprise et LastPass Identity peuvent installer et configurer Active Directory Federation Services (AD FS) pour permettre aux utilisateurs qui utilisent le compte Active Directory de leur organisation de se connecter à LastPass sans jamais avoir à créer un deuxième mot de passe maître.

Avant de commencer la mise en œuvre...

  • Consultez les limitations applicables aux comptes d’utilisateurs fédérés.
  • Il est fortement recommandé de créer un environnement Active Directory hors production avec les services de fédération de façon à pouvoir vous familiariser avec AD FS pour LastPass Enterprise ou LastPass Identity.
    • Votre environnement de test doit aussi inclure une version hors production des composants dans l’Étape 1 (y compris créer un compte d’essai LastPass Enterprise ou LastPass Identity séparé pour les tests). Suivez toutes les étapes d’installation ci-dessous avec votre compte LastPass Enterprise ou LastPass Identity avant leur mise en production dans votre environnement de test d’abord, pour éviter toute perte intempestive de données de compte d’utilisateur.
  • Il est aussi fortement recommandé de mettre en œuvre l’authentification multifacteur pour vos utilisateurs dans un environnement en production, néanmoins, tenez compte de ce qui suit :
    • Vous devez installer l’authentification multifacteur au niveau du fournisseur d’identité (AD FS) et non pas au niveau de LastPass (par la console d’administration et/ou les paramètres de compte d’utilisateur final). L’utilisation de l’authentification multifacteur dans LastPass n’est pas prise en charge pour les utilisateurs fédérés, et se traduira par l’incapacité pour ces utilisateurs d’accéder à leur coffre-fort.
    • Vous ne pouvez pas appliquer de stratégie d’authentification multifacteur dans la console d’administration LastPass parce que cette authentification s’effectuera en dehors de LastPass, entre votre Fournisseur d’identité (AD FS) et votre service d’authentification. C’est pourquoi nous recommandons d’appliquer les stratégies d’authentification multifacteur dans AD FS.
  • Par défaut, nous recommandons d’utiliser la clé d’entreprise, car les étapes détaillées ici n’exigent pas de modifier votre schéma Active Directory. Si vous souhaitez toujours configurer une clé unique pour chacun de vos utilisateurs, suivez ces instructions de configuration.

Étape 1 : Assurez-vous d’avoir rempli la liste de contrôle des composants nécessaires

Avant de pouvoir commencer à utiliser Active Directory Federation Services avec LastPass Enterprise ou LastPass Identity, vous devez avoir installé les éléments suivants (à la fois pour les environnements hors production et actif) :

  • Un compte LastPass Enterprise ou LastPass Identity actif incluant :
    • Au moins 1 compte administrateur activé
    • Un nombre de postes d’utilisateur égal (ou supérieur) au nombre d’utilisateurs qui sera synchronisé avec votre Active Directory (pour les deux environnements hors production et actif)
      Remarque : Si vous effectuez un essai dans votre environnement hors production, il est recommandé de configurer un compte d’essai LastPass Enterprise ou LastPass Identity séparé, pour lequel vous pouvez vous inscrire ici.
  • Environnements de serveur Active Directory (à la fois hors production et actif) répondant aux exigences suivantes :
    • Les deux environnements sont installés et configurés pour utiliser les services de fédération (AD FS 3.0 pour Windows Server 2012 R2 ou AD FS 4.0 pour Windows Server 2016 ou Windows Server 2019) avec les dernières mises à jour installées, y compris .Net Framework
    • Vos paramètres de pare-feu sont configurés pour atteindre https://www.lastpass.com ou https://www.lastpass.eu et leurs sous-domaines (*.lastpass.com; *.lastpass.eu respectivement) et vous avez vérifié qu’ils ne sont bloqués par aucune règle de pare-feu sur tous vos serveurs AD FS.
  • La stratégie « Autoriser les super administrateurs à réinitialiser les mots de passe maîtres » activée
    • Il est nécessaire que vous ayez activé la stratégie Autoriser les super administrateurs à réinitialiser les mots de passe maîtres pour au moins un administrateur LastPass (qui est également administrateur non fédéré) dans la console d’administration LastPass. Cette action permet de récupérer tous les comptes utilisateur LastPass (par réinitialisation de mot de passe maître) si un paramètre critique est mal configuré ou modifié pour la connexion fédérée une fois la configuration terminée.

Quand toutes ces exigences sont satisfaites, vous devez enregistrer plusieurs informations essentielles pendant la procédure d’installation. Ouvrez un éditeur de texte et préparez les champs suivants :

  • Clé d’entreprise :
  • URL du fournisseur d’identité :
  • Clé publique du fournisseur d’identité :
  • URL LastPass ACS (Assertion Consumer Service) :

Après préparation de ces champs dans votre éditeur de texte, passez à l’étape suivante.

Étape 2 : enregistrer l’URL de votre fournisseur d’identité et la clé publique de ce fournisseur d’identité

Vous devez ensuite vous connecter à votre serveur de Active Directory Federation Services (AD FS) et obtenir l’URL complète du fournisseur d’identité (Nom du service de fédération + chemin de l’URL d’émission du jeton de point de terminaison) et la clé publique de votre fournisseur d’identité.

URL du fournisseur d’identité

  1. Connectez-vous à votre serveur Active Directory Federation Services (AD FS) et lancez l’outil d’administration AD FS.
  2. Cliquez à droite sur Service > Modifier les propriétés du service de fédération.
  3. Sur l’onglet Général, copiez l’URL dans le champ Nom du service de fédération (par exemple fs.fabrikam.com) et collez-le dans un éditeur de texte. Assurez-vous que le Nom du service de fédération saisi dans votre éditeur de texte commence bien par « https:// » car le protocole sécurisé est obligatoire (par exemple https://fs.fabrikam.com).

Copiez le nom du service de fédération

Chemin d’URL d’émission du jeton de point de terminaison :

  1. Dans l’outil d’administration AD FS, accédez à ServicePoints de terminaison.
  2. Dans la section Émission de jeton, trouvez l’entrée contenant SAML 2.0/WS-Federation répertoriée dans la colonne « Type » (adfs/ls est par exemple le chemin par défaut, mais il peut dépendre de votre environnement).
  3. Copiez la valeur dans le champ Chemin d’URL pour le coller dans un éditeur de texte à la fin du chemin d’URL du fournisseur d’identité de façon qu’elle se présente comme : https:// + . Par exemple, les 3 composants combinés pourraient former comme URL complète de votre fournisseur d’identité https://fs.fabrikam.com/adfs/ls.

Copiez le chemin d’URL d’émission du jeton de point de terminaison

Clé publique du fournisseur d’identité

  1. Dans l’outil d’administration AD FS, accédez à ServiceCertificats.
  2. Cliquez à droite sur l’entrée Certificat de signature de jeton et sélectionnez Afficher le certificat.
  3. Cliquez sur l’onglet Détails, puis cliquez pour sélectionner Clé publique.
  4. Dans la section ci-dessous, sélectionnez et copiez la clé publique complète, puis collez-la dans un éditeur de texte.

Une fois enregistrées l’URL complète du fournisseur d’identité et la clé publique de ce fournisseur d’identité dans un éditeur de texte, passez à l’étape suivante.

Clé publique issue des détails des propriétés du certificat de signature de jeton

Étape supplémentaire pour les environnements de ferme AD FS :

  • Vérifiez que chaque nœud AD FS a le même certificat de signature de jeton.

Étape 3 : Configurez vos paramètres de connexion fédérée LastPass Enterprise ou LastPass Identity

Si vous avez déjà installé l’application LastPass Active Directory Connector, vous devez arrêter le service et quitter l’application ADC. Vous devrez le redémarrer ultérieurement.

Maintenant que vous avez obtenu toutes les informations nécessaires, vous pouvez configurer vos paramètres de connexion fédérée LastPass Enterprise ou LastPass Identity comme suit :

  1. Connectez-vous et accédez à la Console d’administration :
  2. Accédez à Paramètres > Connexion fédérée dans la navigation à gauche.
  3. Dans le champ URL de fournisseur, collez l’URL complète du fournisseur d’identité (par exemple https:// + Nom du service de fédération + Chemin d’URL d’émission du jeton de point de terminaison) obtenu à l’Étape 2.
  4. Dans le champ Clé publique, collez la clé publique de votre fournisseur d’identité obtenue à l’Étape 2.
  5. Une fois tous les champs mis à jour dans les deux sections, cochez la case du réglage Activé.
  6. Cliquez sur Enregistrer les paramètres.
  7. Une fois enregistré, le champ LastPass ACS (Assertion Consumer Service) ci-dessous sera créé automatiquement. Copiez votre URL LastPass ACS (Assertion Consumer Service) et collez-la dans un éditeur de texte.

Étape 4 : Installer LastPass Active Directory Connector

Conseil : Créez un petit groupe de contrôle d’utilisateurs dans Active Directory à utiliser au départ pour les opérations ci-dessous.
  1. Installer LastPass Active Directory Connector (instructions ici). Si LastPass AD Connector est déjà installé, vous devez redémarrer l’application avant de poursuivre la modification des réglages.
  2. Configurez LastPass Active Directory Connector ActionsQuand un utilisateur est détecté dans Active Directory > Créer automatiquement l’utilisateur dans LastPass (dans les environnements local aussi bien avant leur mise en production et actifs).
    Avertissement : cette option doit être sélectionnée pour que les utilisateurs fédérés soient créés par AD FS.
  3. Sélectionnez AD FS dans la navigation de gauche, puis cliquez sur Modifier.
  4. Cliquez sur Générer un nouveau secret.
    Important : vous devez enregistrer la nouvelle clé secrète (dans le champ clé d’entreprise) en lieu sûr. Si vous devez réinstaller LastPass AD Connector à l’avenir, vous devrez ressaisir cette même clé d’entreprise.
  5. Une fois toutes les configurations en place, sélectionnez l’onglet Accueil dans la navigation de gauche de LastPass AD Connector, puis cochez la case Activer la synchro pour démarrer la synchronisation.
  6. Connectez-vous et accédez à la Console d’administration :
  7. Passez à Utilisateurs dans la navigation de gauche pour voir vos utilisateurs apparaître lors de leur synchronisation depuis Active Directory. Les utilisateurs fédérés sont affichés avec un astérisque (*) avant leur nom d’utilisateur (par exemple *jean.dupont@acme.com).

Étape 5 : Enregistrer votre clé d’entreprise auprès de LastPass

Vous devez ensuite enregistrer la clé d’entreprise auprès de LastPass en exécutant le programme d’installation du module complémentaire AD FS sur votre serveur AD FS.

  1. Connectez-vous et accédez à la Console d’administration :
  2. Accédez à Paramètres > Connexion fédérée dans la navigation à gauche.
  3. Dans la section « Magasin d’attribut personnalisé LastPass » en bas de la page, cliquez soit sur Télécharger pour le serveur ADFS 3.0 (pour Windows Server 2012 R2), soit sur Télécharger pour le serveur ADFS 4.0 (pour Windows Server 2016 ou pour Windows Server 2019) et enregistrez le fichier LastPass .MSI.
  4. Connectez-vous à votre serveur de Active Directory Federation Services (AD FS) principal, puis transférez le fichier .MSI sur le bureau de votre serveur AD FS. Cliquez à droite sur le fichier et sélectionnez Exécuter en tant qu’administrateur ou exécutez le programme d’installation .MSI depuis une invite de commande avec élévation de privilège. Cliquez sur Oui si vous y êtes invité par le contrôle de compte utilisateur.
    Remarque :Le programme d’installation .MSI du module complémentaire AD FS doit être exécuté comme administrateur ou avec élévation de privilège, même si vous êtes connecté en tant qu’administrateur du domaine.
  5. Cliquez sur Suivant.
  6. Saisissez l’URL LastPass ACS (Assertion Consumer Service) (de l’Étape 3, Action 6), puis saisissez votre clé d’entreprise (de l’Étape 4, Action 4) et cliquez sur Suivant.
  7. Cliquez sur Terminer quand l’enregistrement est terminé.
  8. Redémarrez le service Windows AD FS. Cette étape est obligatoire.

Étapes supplémentaires pour les environnements de ferme AD FS 

  1. Sur le serveur AD FS, passez à C:\Windows\ADFS où vous avez installé le fichier .MSI LastPass.
  2. Copiez les fichiers suivants dans le dossier C:\Windows\ADFS de tous les serveurs AD FS secondaires :
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Redémarrez le service Windows AD FS sur les nœuds AD FS secondaires. Cette étape est obligatoire.

Étape 6 : Appliquez les modifications de stratégie de contrôle d’accès

Le magasin d’attribut personnalisé LastPass a installé l’approbation de partie de confiance « LastPass Trust » sur votre ou vos serveurs AD FS.

  1. Connectez-vous à votre serveur Active Directory Federation Services (AD FS) principal
  2. Passez aux paramètres de gestion AD FS.
  3. Passez à Relations d’approbation > Approbation de partie de confiance dans la navigation de gauche, puis procédez comme suit selon votre version du serveur AD FS :
    • Serveur AD FS 3.0 – Windows Server 2012 R2
      1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
      2. Sélectionnez l’onglet Règles d’autorisation d’émission et définissez la règle voulue, qui précisera comment les utilisateurs sont authentifiés lors de leur connexion à LastPass par connexion fédérée avec AD FS.
    • Serveur AD FS 4.0 – Serveur Windows 4.0 Server 2016 ou Serveur Windows 2019
      1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d’accès....
      2. Définissez la stratégie voulue, qui précisera comment les utilisateurs sont authentifiés lors de leur connexion à LastPass par connexion fédérée avec AD FS.

C’est prêt !

Vous avez bien installé Active Directory Federation Services (AD FS) pour votre compte LastPass Enterprise ou LastPass Identity. Tous les utilisateurs fédérés nouvellement apparus recevront un e-mail de bienvenue pour les informer qu’ils peuvent maintenant se connecter et utiliser LastPass.