HELP FILE

Dépannage des services de fédération Active Directory (AD FS)

En cas de problème après configuration de votre environnement LastPass Enterprise pour utiliser les services de fédération Active Directory (AD FS), vous pouvez procéder comme suit pour vérifier vos réglages de configuration et effectuer un dépannage de base. Assurez-vous d'effectuer ces vérifications dans l'ordre.

Étape 1 : Recherchez des mises à jour de Windows et vérifiez les versions des composants de LastPass.

Recherchez des mises à jour pour installer les dernières versions des éléments suivants :

  • Mises à jour de Windows Server (y compris la dernière version de .Net Framework)
  • LastPass Active Directory Connector doit utiliser la version 1.2.652 ou ultérieure – Mettre à jour maintenant ou ouvrez LastPass AD Connector, puis passez à Accueil > Rechercher des mises à jour.
  • L'extension de navigateur web LastPass web doit être la dernière version disponible – Mettre à jour maintenant

Étape 2 : Vérifiez vos réglages de pare-feu.

Le magasin d'attributs personnalisés doit être en mesure de communiquer avec les API LastPass, ce qui signifie que le ou les serveurs AD FS doivent être en mesure d'atteindre *.lastpass.com.

  • Ouvrez un navigateur web sur votre ou vos serveurs AD FS et passez à https://lastpass.com. S'il n'est pas accessible, vous devez inclure en liste blanche le domaine *.lastpass.com sur votre pare-feu.

Remarque : Si votre environnement est une ferme de serveurs AD FS avec nœuds principaux et secondaires, vérifiez que le domaine *.lastpass.com est en liste blanche sur toutes les machines.

Étape 3 : Vérifiez vos autorisations d'utilisateurs AD.

Il y a deux utilisateurs dans votre environnement Active Directory qui doivent avoir un accès en lecture et écriture à l'attribut personnalisé :

  • L'utilisateur AD qui exécute LastPass AD Connector (qui remplit l'attribut personnalisé au moment de l'approvisionnement)
  • L'utilisateur AD qui exécute le service AD FS (AD FS appelle le magasin d'attributs personnalisés, qui lit l'attribut personnalisé au moment de la connexion)

Les deux utilisateurs doivent avoir l'autorisation CONTRÔLER L'ACCÈS pour accéder à l'attribut personnalisé marqué comme CONFIDENTIEL. Si les utilisateurs n'ont pas cette autorisation, elle doit être activée. Vous pouvez vérifier les autorisations de vos utilisateurs par une des méthodes suivantes :

Utilisation de l'outil LDP

Les systèmes d'exploitation Windows Serveur disposent d'un outil intégré qui permet de vérifier les autorisations de vos utilisateurs AD à partir de leur appartenance de groupe.

  • Sur votre serveur Active Directory, exécutez ldp.exe pour vérifier que le groupe attribué à l'utilisateur AD a activé CONTRÔLER L'ACCÈS.

Utilisation de la commande dsacls

Vous pouvez exécuter la commande « distinguishedName of the custom attribute » pour obtenir le nom distingué de l'attribut personnalisé et vérifier les autorisations de vos utilisateurs AD :

  1. Sur votre serveur Active Directory, exécutez en tant qu'administrateur l'invite de commande.
  2. Entrez la commande suivante : dsacls
  3. Vérifiez que l'autorisation CONTRÔLER L'ACCÈS est attribuée.

Étape 4 : Vérifiez que le module externe AD FS est installé et enregistré avec la valeur d'attribut personnalisé correcte.

Si le module externe AD FS a été installé correctement, vous pouvez trouver dans la liste LastPassAttributeStore.

  1. Sur votre serveur AD FS, ouvrez l'outil Gestionnaire de serveurs AD FS.
  2. Passez à AD FSServiceMagasins d'attribut.
  3. Vérifiez si LastPassAttributeStore apparaît dans la liste.

AVERTISSEMENT ! Si vous ne trouvez pas le magasin d'attributs, c'est que l'installation a échoué. Réinstallez le module externe AD FS et vérifiez que le nom de l'attribut personnalisé, sa valeur et la version sont corrects.

  1. Désinstallez le paquet LastPassAttributeStore.msi.
  2. Connectez-vous et accédez à la console d'administration à l'adresse https://lastpass.com/company/#!/dashboard.
  3. Passez à Paramètres > Connexion fédérée dans le menu de gauche.
  4. Vérifiez que le nom de la valeur de l'attribut personnalisé est correct.
  5. Dans la section « Magasin d'attribut personnalisé LastPass » en bas de la page, cliquez soit sur Télécharger pour ADFS Server 3.0 (pour Windows Server 2012 R2), soit sur Télécharger pour ADFS Server 4.0 (pour Windows Server 2016) et enregistrez le fichier LastPass CustomAttributeStore.msi.
  6. Connectez-vous à votre serveur principal de services de fédération Active Directory (AD FS), puis transférez le fichier CustomAttributeStore.msi sur le bureau de votre serveur AD FS et faites un double-clic pour l'exécuter.
  7. Cliquez sur Suivant.
  8. Saisissez l'URL de votre fournisseur de services LastPass Enterprise, puis la valeur de votre attribut personnalisé et cliquez sur Suivant.
  9. Cliquez sur Terminer quand l'enregistrement est achevé.
  10. Redémarrez le service Windows AD FS. C'est obligatoire.

Étape 5 : Vérifiez la configuration de l'attribut personnalisé.

Vous pouvez utiliser l'outil ADSI Edit pour vérifier les propriétés de votre attribut personnalisé et confirmer qu'il a été configuré correctement.

  1. Sur votre serveur Active Directory, exécutez en tant qu'administrateur l'invite de commande.
  2. Entrez la commande suivante : adsiedit.msc Remarque : Si l'outil ADSI Edit n'est pas disponible, vous pouvez l'enregistrer en ouvrant l'invite de commande en tant qu'administrateur et en exécutant les commandes suivantes : regsvr32 adsiedit.dll puis adsiedit.msc
  3. Connectez-vous à « Contexte d'attribution de nom connu » : Schéma.
  4. Trouvez l'attribut personnalisé et ouvrez Propriétés.
  5. Trouvez les attributs suivants, leurs valeurs devraient correspondre à ce qui suit (comme indiqué ci-dessous) :
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Configuré correctement

AVERTISSEMENT ! Si l'attribut searchFlags n'est pas configuré comme CONFIDENTIAL (c'est-à-dire s'il apparaît comme INDEX), vous devez le configurer comme CONFIDENTIAL.

Configuration incorrecte

Étape 6 : Vérifiez que l'attribut personnalisé est rempli

Vérifiez que LastPass AD Connector a rempli correctement l'attribut personnalisé.

  1. Connectez-vous à votre serveur Active Directory.
  2. Ouvrez l'outil Gestionnaire d'utilisateurs et d'ordinateurs de Active Directory.
  3. Passez à Afficher et assurez-vous que Fonctionnalités avancées est activé ou cliquez sur l'option de menu Fonctionnalités avancées pour l'activer.
  4. Dans la navigation de gauche, passez à Utilisateurs.
  5. Cliquez à droite sur un utilisateur, puis cliquez sur Propriétés.
  6. Cliquez sur l'onglet Éditeur d'attributs.
  7. Trouvez l'attribut personnalisé que vous avez créé (par exemple LastPassK1) et vérifiez qu'une valeur est définie (comme indiqué ci-dessous).

Configuré correctement

Éditeur d'attributs affichant l'attribut personnalisé

AVERTISSEMENT ! Si la valeur de l'attribut personnalisé est <non défini> (comme indiqué ci-dessous), vous devez vérifier les points suivants :

Configuration incorrecte

Étape 7 : Vérifiez la configuration de la ferme de serveurs AD FS (le cas échéant)

Vérifiez que les DLL sont présentes sur les nœuds secondaires et suivants, comme suit :

  1. Sur le serveur AD FS, passez à C:\Windows\ADFS où vous avez installé le fichier LastPass CustomAttributeStore.msi.
  2. Copiez les fichiers suivants dans le dossier C:\Windows\ADFS de tous les serveurs AD FS secondaires et suivants :
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Redémarrez le service Windows AD FS sur les nœuds AD FS secondaires et suivants.

Problèmes connus et dépannage supplémentaire

Si vous avez vérifié que vos configurations LastPass Enterprise et AD FS sont correctement définies, vous pouvez envisager ces étapes supplémentaires de dépannage en fonction du problème rencontré.

Écran vide après connexion en tant qu'utilisateur fédéré

Causes possibles et mode de correction :

L'attribut personnalisé est vide

Causes possibles et mode de correction :

La connexion fédérée n'a pas été activée dans la console d'administration LastPass au moment où l'approvisionnement a été effectué par LastPass AD Connector.

 

  1. Arrêtez le service LastPass AD Connector.
  2. Connectez-vous et accédez à la console d'administration à l'adresse https://lastpass.com/company/#!/dashboard.
  3. Passez à Utilisateurs dans le volet de navigation de gauche et supprimez tous les utilisateurs qui étaient approvisionnés comme utilisateurs fédérés.
  4. Allez dans Paramètres > Connexion fédérée dans la navigation à gauche.
  5. Cochez la case de l'option « Activer ».
  6. Redémarrez le service LastPass AD Connector pour approvisionner les utilisateurs fédérés.

LastPass AD Connector n'a pas été redémarré après l'activation de la connexion fédérée dans la console d'administration LastPass. Redémarrez le service LastPass AD Connector pour approvisionner les utilisateurs fédérés.

Différence dans le nom d'attribut personnalisé entre la console d'administration LastPass et le module externe AD FS – Apprendre à corriger ceci.

Erreur dans l'observateur d'événements Windows : Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Le magasin d'attribut « LastPassAttributeStore » n'est pas configuré.

Comment corriger ceci :

Erreur dans l'observateur d'événements Windows : Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: L'approbation de partie de confiance demandée « https://accounts.lastpass.com/ » est non spécifiée ou non prise en charge. Si une approbation de partie de confiance a été spécifiée, il est possible que vous n'ayez pas l'autorisation d'accéder à l'approbation de partie de confiance. Contactez votre administrateur pour plus de détails.

Comment corriger ceci :

Erreur dans l'observateur d'événements Windows : Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: Échec de l'authentification de l'appelant pour l'identité de l'appelant DOMAINE\UTILISATEUR de l'approbation de partie de confiance « https://accounts.lastpass.com/ »

Comment corriger ceci :

  • Vérifiez l'autorisation de partie de confiance et les règles d'autorisation d'émission de l'utilisateur (Windows Server 2012) ou la stratégie de contrôle d'accès (Windows Server 2016) sur le serveur AD FS.
    1. Connectez-vous à votre serveur de services de fédération Active Directory (AD FS) principal
    2. Passez aux paramètres de gestion AD FS.
    3. Passez à Relations d'approbation > Approbation de partie de confiance dans la navigation de gauche, puis procédez comme suit selon votre version du serveur AD FS :
      • Serveur AD FS 3.0 – Windows Server 2012 R2
        1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
        2. Sélectionnez l'onglet Règles d'autorisation d'émission et définissez la règle voulue.
      • Serveur AD FS 4.0 – Windows Server 2016
        1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d'accès....
        2. Définissez la stratégie voulue.

« Veuillez contacter l'administrateur de votre société pour de l'aide » après connexion en tant qu'utilisateur fédéré

Comment corriger ceci :