HELP FILE

Configurer LastPass Active Directory Connector

Le client de synchronisation LastPass Active Directory Connector (AD Connector) est un service Windows exécuté localement, qui peut être téléchargé depuis la console d'administration dans votre compte LastPass Enterprise. Il se connecte à votre environnement Active Directory pour prendre en charge divers processus d'approvisionnement et de gestion dans LastPass Enterprise.

Remarque : N'installez pas Active Directory Connector sur votre contrôleur de domaine.

Vous pouvez consulter le système nécessaire et les étapes d'installation, puis apprendre à configurer les paramètres de Connexion, Actions, Synchronisation, proxy, Débogage et Migration.

Si nécessaire, vous pouvez configurer les services de fédération Active Directory (AD FS) dans votre compte LastPass Enterprise pour permettre à vos utilisateurs d'utiliser leurs identifiants Active Directory lors de leur connexion à LastPass.

Configuration requise

Pour installer Active Directory Connector, votre environnement doit répondre aux exigences minimales ci-dessous.

Remarque : Le système nécessaire peut dépendre de votre environnement Active Directory.

Processeur Intel Core Duo
Système d'exploitation
  • Windows 8.1 (x64) ou ultérieur
  • Server 2012 R2 (x64) ou ultérieur

*Le système d'exploitation doit avoir installé .NET Framework 4.5.2 ou ultérieur

Mémoire 8 Go de mémoire
Espace disque 500 Mo ou plus
Bande passante Consomme 200 Mbps ou plus par jour
Logiciel Appli de bureau LastPass Active Directory Connector

Installation de Active Directory Connector

Remarque : N'installez pas Active Directory Connector sur votre contrôleur de domaine.

Vous devez tout d'abord installer AD Connector, comme suit :

  1. Allez sur https://lastpass.com/company/#!/dashboard et connectez-vous pour accéder à la console d'administration.
  2. Passez à Paramètres > Intégration aux annuairesTélécharger AD Connector.
  3. Quand vous y êtes invité, cliquez sur Enregistrer, puis sur Exécuter puis sélectionnez le fichier LastPassADConnector.msi. Si vous y êtes invité par le contrôle de compte d'utilisateur, cliquez sur Oui pour autoriser l'opération.
  4. Sur l'assistant d'installation de LastPass AD Connector, cliquez sur Suivant.
  5. Cochez la case pour activer l'option « J'accepte les termes du contrat de licence », puis cliquez sur Suivant.
  6. Confirmez le chemin d'installation voulu, puis cliquez sur Suivant.
  7. Cliquez sur Installer. Si vous y êtes invité par le contrôle de compte d'utilisateur, cliquez sur Oui pour autoriser l'opération.
  8. Quand l'installation est terminée, cliquez sur Terminer. Si vous y êtes invité par le contrôle de compte d'utilisateur, cliquez sur Oui pour autoriser l'opération.
  9. Après l'installation, une invite de connexion apparaît.  Connectez-vous avec votre adresse e-mail d'administrateur de LastPass Enterprise et le mot de passe maître correspondant, puis cliquez sur Se connecter.

Configurer les paramètres de connexion

Vous devez ensuite configurer la connexion entre LastPass et votre Active Directory en saisissant les données suivantes :

  • Configuration de connexion – Domaine ou serveur (par exemple, lpadsync) ou contrôleur de domaine à utiliser pour la connexion à la place d'un domaine (par exemple lp-adsync-dc01.lpadsync.local)
  • Identifiants – Identifiants de connexion d'utilisateur actuel ou jeu d'identifiants d'un utilisateur particulier
  • DN de base – Découvrir automatiquement ou préciser un BaseDN. C'est le nœud racine dans lequel se trouvent tous vos objets utilisateur et groupes pertinents. Pour des performances optimales, il est recommandé que tous les utilisateurs et groupes intégrés pertinents se trouvent sous le BaseDN spécifié.

Quand vous avez terminé, cliquez sur Suivant pour configurer les paramètres d'actions.

Configurer les paramètres d'actions

Une fois vos paramètres de connexion configurés, vous devez configurer vos paramètres d'actions pour préciser quelles actions doivent être effectuées quand des événements particuliers surviennent pour des utilisateurs dans votre Active Directory.

Remarque : Il est recommandé d'utiliser l'option de compte « désactiver » plutôt que « supprimer » pour éviter des actions indésirables sur des comptes d'utilisateur (par exemple perte complète du coffre-fort pour un utilisateur supprimé).

Vous disposez des options suivantes :

Quand un utilisateur est détecté dans Active Directory :

  • Ajouter l'utilisateur à la console Enterprise, mais exiger l'approbation – Ceci synchronisera les utilisateurs entre votre Active Directory et LastPass, mais les placera dans l'état « en attente » (en exigeant l'approbation manuelle pour chacun) plutôt de créer manuellement un compte pour chaque utilisateur.
  • Créer automatiquement un utilisateur dans LastPass – Ceci créera automatiquement des comptes pour chaque nouvel utilisateur, et leur enverra un e-mail de bienvenue automatisé contenant un mot de passe temporaire avec des instructions pour créer leur propre mot de passe maître. AVERTISSEMENT ! Cette option doit être sélectionnée si vous approvisionnez des utilisateurs fédérés par l'intégration de LastPass Enterprise avec les services de fédération Active Directory (AD FS).
  • Ne rien faire – Aucune action ne sera entreprise.

Quand un utilisateur est supprimé dans Active Directory :

  • Désactiver administrativement le compte LastPass – Ceci libérera le poste d'utilisateur qui pourra être distribué à un autre, néanmoins le compte d'utilisateur existera toujours dans votre compte LastPass Enterprise, mais l'utilisateur ne pourra pas se connecter et utiliser LastPass tant qu'il n'aura pas été réactivé.
  • Retirer du compte Enterprise sans supprimer l'utilisateur – Ceci libérera le poste de l'utilisateur qui pourra être distribué à un autre et le retirera du compte LastPass Enterprise, mais aussi convertira le compte en utilisateur LastPass Free, et toutes les données du coffre-fort dans le compte resteront accessibles à l'utilisateur.
  • Supprimer automatiquement son compte LastPass – Ceci libérera le poste d'utilisateur qui pourra être distribué à un autre, mais supprimera aussi complètement le compte LastPass et toutes les données dans le coffre-fort de l'utilisateur.

Quand un utilisateur est désactivé dans Active Directory :

  • Désactiver administrativement le compte LastPass – Ceci libérera le poste d'utilisateur qui pourra être distribué à un autre, néanmoins le compte d'utilisateur existera toujours dans votre compte LastPass Enterprise, mais l'utilisateur ne pourra pas se connecter et utiliser LastPass tant qu'il n'aura pas été réactivé.
  • Supprimer automatiquement son compte LastPass – Ceci libérera le poste d'utilisateur qui pourra être distribué à un autre, mais supprimera aussi complètement le compte LastPass et toutes les données dans le coffre-fort de l'utilisateur.
  • Retirer du compte Enterprise sans supprimer l'utilisateur – Ceci libérera le poste de l'utilisateur qui pourra être distribué à un autre et le retirera du compte LastPass Enterprise, mais aussi convertira le compte en utilisateur LastPass Free, et toutes les données du coffre-fort dans le compte resteront accessibles à l'utilisateur.

Quand un utilisateur est retiré d'un groupe dans un filtre Active Directory :

  • Désactiver administrativement le compte LastPass – Ceci libérera le poste d'utilisateur qui pourra être distribué à un autre, néanmoins le compte d'utilisateur existera toujours dans votre compte LastPass Enterprise, mais l'utilisateur ne pourra pas se connecter et utiliser LastPass tant qu'il n'aura pas été réactivé.
  • Supprimer automatiquement son compte LastPass – Ceci libérera le poste d'utilisateur qui pourra être distribué à un autre, mais supprimera aussi complètement le compte LastPass et toutes les données dans le coffre-fort de l'utilisateur.
  • Retirer du compte Enterprise sans supprimer l'utilisateur – Ceci libérera le poste de l'utilisateur qui pourra être distribué à un autre et le retirera du compte LastPass Enterprise, mais aussi convertira le compte en utilisateur LastPass Free, et toutes les données du coffre-fort dans le compte resteront accessibles à l'utilisateur.
  • Ne rien faire – Aucune action ne sera entreprise.

Quand vous avez sélectionné tous vos paramètres d'action, cliquez sur Suivant pour configurer les paramètres de synchronisation.

Configurer les paramètres de synchronisation

Quand vous avez configuré vos paramètres d'actions, vous devez configurer vos paramètres de synchronisation pour spécifier vos champs, groupes et utilisateurs à synchroniser entre LastPass et votre Active Directory.

Remarque : Les utilisateurs doivent avoir une adresse e-mail répertoriée dans Active Directory pour pouvoir être synchronisés avec LastPass.

Configuration de synchronisation :

  • Synchroniser le nom complet de l'utilisateur depuis AD – Cette option synchronise le nom complet de chaque utilisateur à faire apparaître dans LastPass quand elle est activée. Par défaut, LastPass ne désigne les utilisateurs que par le nom d'utilisateur (par exemple adresse e-mail).
  • Créer des groupes dans LastPass – Si un groupe existe dans Active Directory mais pas dans LastPass, l'activation de cette option crée ces groupes dans LastPass. Si vous créez des groupes dans LastPass à partir de votre Active Directory, les groupes éventuellement existants dans LastPass seront supprimés et remplacés par les groupes Active Directory spécifiés.
  • Intervalle de recherche de synchronisation – Ceci forcera AD Connector à rechercher et apporter des modifications par un cycle correspondant à l'intervalle de temps indiqué (entre 5 et 3600 secondes).

Filtrer les utilisateurs par appartenance de groupe :

  • Vous pouvez cliquer sur Parcourir et Rechercher pour trouver facilement vos groupes Active Directory connectés, et ne sélectionner que les groupes que vous souhaitez synchroniser. Si vous avez ajouté un ou plusieurs groupes d'utilisateurs que vous avez décidé de ne pas synchroniser, cliquez pour sélectionner le groupe, puis cliquez sur Retirer les groupes sélectionnés.
  • Vous pouvez aussi limiter les utilisateurs à ajouter à votre compte Enterprise en spécifiant un filtre de synchronisation dans AD Connector. Ce champ doit être rempli avec la chaîne DN du groupe à filtrer. Une bonne source de chaîne DN exacte est l'outil ADSI Edit. Lors de l'ajout de plusieurs groupes à des filtres de synchronisation, utilisez les chaînes DN complètes sous la forme suivante :
CN=LastPass,OU=Groups,OU=USA,DC=votredomaine,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=votredomaine,DC=com

Appartenances d'utilisateurs :

  • Synchroniser toutes les appartenances de groupe – Ceci synchronisera tous les groupes d'utilisateurs dans votre Active Directory avec votre compte LastPass Enterprise.
  • Utiliser une liste blanche pour filtrer les groupes – Utilisez Parcourir ou Rechercher pour trouver et sélectionner un groupe global contenant directement les groupes à synchroniser, mais le groupe global sélectionné ne sera pas lui-même inclus en liste blanche.
  • Inclure les groupes imbriqués – Cochez la case pour activer cette option si vous souhaitez inclure tous les sous-groupes dans un groupe lors de la synchronisation (si par exemple Groupe A inclut Groupe B et Groupe B inclut Groupe C, alors les Groupes A, B et C seront inclus). Ceci permet de consolider les comptes d'utilisateur, de supprimer les accès en double et de donner automatiquement aux groupes imbriqués l'accès aux sites ou aux dossiers partagés.
  • Ne synchroniser que les groupes spécifiés dans la section Filtrer les utilisateurs – Utilisez ce paramètre avec une extrême précaution. Cette option ne synchronise que les utilisateurs dans les groupes spécifiés dans la liste Filtrer les utilisateurs par appartenance de groupe que vous avez spécifiée. Si un utilisateur de votre Active Directory perd l'appartenance à tous les groupes spécifiés, l'action de désactivation/suppression spécifiée dans vos paramètres d'actions est déclenchée, et pourrait conduire à désactiver ou supprimer des utilisateurs en dehors de vos groupes sélectionnés. C'est pourquoi il est fortement recommandé de sélectionner un ensemble de groupes incluant tous les utilisateurs devant être synchronisés pour éviter des actions intempestives quand ce paramètre est activé. Remarque : Assurez-vous que tous les utilisateurs, groupes et sous-groupes pertinents se trouvent sous le BaseDN sélectionné spécifié dans vos paramètres de connexion.
  • Ne pas synchroniser les appartenances de groupe – Ceci ne synchronise aucun groupe d'utilisateurs dans votre Active Directory avec votre compte LastPass Enterprise.

Groupes exclus :

  • Utiliser des expressions régulières pour ignorer des sous-groupes – Si vous avez activé l'option Synchroniser toutes les appartenances de groupe, vous pouvez créer une liste noire pour vous assurer que le ou les groupes spécifiés ne seront pas synchronisés en saisissant l'expression régulière (par exemple le nom de groupe précis dans votre Active Directory). En cas de correspondance avec l'expression régulière donnée, ce groupe (et ses sous-groupes si l'option « Inclure les groupes imbriqués » est activée) ne seront pas synchronisés avec votre compte LastPass Enterprise.

Attributs supplémentaires à synchroniser :

  • Liste séparée par des virgules – Vous pouvez préciser ici un nom d'attribut d'utilisateur Active Directory (par exemple sAMAccountName) que vous souhaitez synchroniser avec votre compte LastPass Enterprise.

Quand vous avez sélectionné tous vos paramètres de synchronisation, cliquez sur Suivant pour configurer les paramètres de débogage.

Configurer les paramètres de proxy

Les paramètres de proxy peuvent être configurés par exécutable, pour toutes les applis .NET ou par utilisateur à l'aide des paramètres de IE. L'interface utilisateur peut utiliser l'authentification Kerberos avec les identifiants de l'utilisateur actuellement connecté (qui doit être un utilisateur de domaine), le service avec les identifiants de la machine (qui doit être connectée au domaine). Il n'est pas suffisant de modifier les paramètres pour seulement l'utilisateur actuellement connecté, parce que seul AD Connector s'exécute comme utilisateur actuellement connecté, le service de synchronisation s'exécute en tant que NT AUTHORITY\SYSTEM.

Pour des instructions détaillées, vous pouvez valider vos paramètres de proxy.

Débogage

Vous pouvez configurer vos paramètres de débogage pour dépannage des problèmes de synchronisation de AD Connector.

Options de journalisation :

  • Niveau de journalisation – Utilisez le menu déroulant pour sélectionner un des types suivants :
    • Erreur
    • Attention
    • Infos (par défaut)
    • Débogage
    • Trace
  • Nombre maximum de fichiers journaux de 100 Mo (5-90) – Sélectionnez la quantité d'espace que vous souhaitez voir occupée par les fichiers journaux.

Effacer le cache local :

  • Cliquez sur Effacer le cache local pour effacer manuellement les données d'utilisateur et de groupe stockées localement par défaut (doit être utilisé si vous devez restaurer votre Active Directory depuis une sauvegarde. En savoir plus.
  • Cliquez sur Ouvrir le dossier des journaux pour ouvrir l'explorateur Windows et trouvez C:\ProgramData\LastPass pour sélectionner votre fichier ADConnector.log et l'envoyer à support@lastpass.com si vous avez besoin d'assistance ou rencontrez des problèmes d'utilisation de LastPass AD Connector.

Quand vous avez terminé, cliquez sur Terminer puis passer à Accueil et cochez la case « Activer » pour démarrer la synchronisation.

Migration

Si vous avez configuré les services de fédération Active Directory (AD FS) dans votre compte LastPass Enterprise, l'option Migration dans LastPass AD Connector permet de convertir des utilisateurs non fédérés en comptes d'utilisateurs fédérés. Pour des instructions détaillées, consultez Comment convertir un utilisateur LastPass Enterprise existant en utilisateur fédéré (AD FS) ?

Questions connexes

FAQ de Active Directory Connector

Configuration des services de fédération (AD FS) pour LastPass Enterprise

Comment convertir un utilisateur LastPass Enterprise existant en utilisateur fédéré (AD FS) ?