HELP FILE

Impostazione dell'accesso federato per LastPass utilizzando AD FS

Gli amministratori degli account LastPass Enterprise e LastPass Identity possono impostare e configurare gli Active Directory Federation Services (AD SF) in modo che gli utenti possano utilizzare l’account della Active Directory della loro organizzazione per accedere a LastPass Enterprise, senza dover creare una seconda password principale.

Nota:Per impostazione predefinita, consigliamo di utilizzare una chiave di livello aziendale per tutti gli utenti, come descritto nelle nostre istruzioni di configurazione dell' accesso federato semplificato per LastPass usando AD FS. I passaggi riassunti in questo articolo richiedono competenze avanzate nella configurazione di Active Directory, e richiedono anche di apportare una modifica al proprio schema di Active Directory. Per evitare risultati di configurazione inattesi, consigliamo vivamente di seguire i passaggi descritti nelle nostre istruzioni di configurazione semplificata di AD FS. Se desideri comunque procedere e impostare una chiave univoca per ciascuno dei tuoi utenti, segui le istruzioni sotto.

Prima di iniziare l'implementazione...

  • Esamina le limitazioni che si applicano agli utenti degli account federati.
  • Ti consigliamo vivamente di creare un ambiente di prova Active Directory con Federation Services, in modo che tu possa familiarizzarti con AD FS per LastPass Enterprise o LastPass Identity.
    • Il tuo ambiente di prova dovrebbe comprendere anche una versione di prova dei componenti che rientrano nel Passaggio 1 (fra cui creare uno specifico account di prova LastPass Enterprise o Identity da usare per esercitazione). Segui tutti i passaggi indicati qui sotto utilizzando prima l'account di prova LastPass Enterprise o LastPass Identity nell'ambiente di prova, per evitare qualunque perdita accidentale di dati nel tuo account utente.
  • Inoltre, ti consigliamo vivamente di implementare l'autenticazione a più fattori per i tuoi utenti in un ambiente reale. Comunque tieni presente quanto segue:
    • Devi impostare l'autenticazione a più fattori a livello di fornitore di identità (AD FS), e non a livello LastPass (tramite la Console di amministrazione e/o le Impostazioni account dell'utente finale). L'utilizzo dell'autenticazione a più fattori dentro LastPass non è supportata per gli utenti federati e comporta, per gli utenti che cercano di farla, l'impossibilità di accedere alla cassaforte.
    • Non puoi imporre i criteri di autenticazione a più fattori nella Console di amministrazione di LastPass perché questa autenticazione avviene al di fuori di LastPass, fra il tuo fornitore di identità (AD FS) e il tuo servizio di autenticazione. Perciò, consigliamo di imporre i criteri di autenticazione a più fattori in AD FS.
  • Per impostazione predefinita, consigliamo di utilizzare una chiave di livello aziendale per tutti gli utenti, come descritto nelle nostre istruzioni di configurazione dell'accesso federato semplificato per LastPass usando AD FS. Le istruzioni riportate in questo articolo richiedono una modifica al tuo schema di Active Directory. Se desideri comunque impostare una chiave univoca per ciascuno dei tuoi utenti, segui le istruzioni fornite in questo articolo.

Passaggio 1: Accertati che l'elenco di controllo dei componenti richiesti sia completo

Prima che tu possa usare Active Directory Federation Services con LastPass Enterprise o LastPass Identity, devi aver già impostato quanto segue (sia per l'ambiente di prova, sia per quello dal vivo):

  • Un account LastPass Enterprise o LastPass Identity attivo che comprenda:
    • Almeno un account di amministratore abilitato
    • Un numero di postazioni utente che corrisponda (o superi) il numero di postazioni utenti che verranno sincronizzate con la tua Active Directory (sia nell'ambiente di prova, sia in quello dal vivo)
      Nota:  Se ti stai esercitando in un ambiente di prova, ti consigliamo di impostare uno specifico account di prova di LastPass Enterprise o LastPass Identity, per il quale ti puoi registrare qui.
  • Ambienti server per Active Directory (sia di prova, sia dal vivo) che soddisfino i seguenti requisiti:
    • Entrambi gli ambienti sono impostati e configurati per usare Federation Services (AD FS 3.0 per Windows Server 2012 R2 o AD FS 4.0 per Windows Server 2016 o Windows Server 2019) con installato l'aggiornamento più recente, incluso .NET Framework.
    • Devi aver creato un campo di attributo personalizzato (o aver riutilizzato un attributo esistente, disponibile per la personalizzazione) e che sia impostato come RISERVATO (il che ti permette di impostare le autorizzazioni di lettura solo per amministratori privilegiati) e sia confermato che è elencato sia nell'ambiente Active Directory di prova, sia in quello dal vivo. La Sintassi dell'attributo personalizzato deve essere 2.5.5.4 = (NOCASE_STRING) per una corretta configurazione.

      Nota:Il nome dell'attributo personalizzato deve contenere solo caratteri alfanumerici (nessun carattere speciale né spazi). È anche sensibile alle maiuscole e quindi va registrato esattamente come appare nell'Editor di attributi di Active Directory.

    • Le impostazioni del firewall sono configurate in modo da raggiungere https://www.lastpass.com o https://www.lastpass.eu e i relativi sottodomini (rispettivamente *.lastpass.com e *.lastpass.eu) e puoi confermare che non sono bloccati da nessuna regola del firewall su tutti i tuoi server AD FS.
    • L'utente AD che utilizza il servizio AD FS (AD FS chiama l'Archivio Attributi personalizzati, che legge il K1 al momento dell'accesso) deve avere le autorizzazioni "CONTROL ACCESS" (CONTROLLA ACCESSO)
  • Il criterio "Consenti ai super amministratori di reimpostare le password principali" è abilitato
    • È necessario che tu abbia abilitato il criterio Consenti ai super amministratori di reimpostare le password principali per almeno un amministratore LastPass (che sia anche amministratore non federato) nella Console di amministrazione di LastPass. In questo modo, tutti gli account utente LastPass possono essere ancora recuperati (tramite la reimpostazione della password principale) qualora, dopo il completamento della configurazione, un'impostazione critica per l'accesso federato venisse modificata o configurata in modo errato.

Una volta soddisfatti tutti questi requisiti, dovrai acquisire parecchie informazioni chiave durante la procedura di impostazione. Apri un'applicazione editor di testo e prepara i seguenti campi:

  • Attributo personalizzato Active Directory:
  • URL del fornitore di identità:
  • Chiave pubblica del fornitore di identità:
  • URL del Fornitore di servizi:

Passaggio 2: Acquisisci l'URL e la chiave pubblica del fornitore di identità

Poi, accedi al tuo server Active Directory Federation Services (AD FS) e acquisisci l'indirizzo URL completo del tuo fornitore di identità (nome del Federation Service + Percorso per l'URL di emissione del token endpoint) e la chiave pubblica del Fornitore di identità.

URL del Fornitore di identità

  1. Accedi al tuo server Active Directory Federation Services (AD FS) e avvia lo strumento di gestione AD FS.
  2. Fai clic destro su Servizio > Modifica proprietà servizio federativo.
  3. Nella scheda Generali, copia l'URL che c'è nel campo Nome del Federation Service (ad esempio fs.fabrikam.com) e incollalo in un editor di testo. Accertati che il Nome del Federation service che ha inserito nell'editor di testo inizi con "https://" così come è richiesto in un protocollo sicuro (ad esempio https://fs.fabrikam.com).

Copia il nome del federation service

Percorso per l'URL di emissione del token endpoint

  1. Negli strumenti di gestione di AD FS, vai a ServizioEndpoints.
  2. Nella sezione di Emissione del token, individua la voce SAML 2.0/WS-Federation elencata nella colonna "Tipo" (p.es., il percorso predefinito è adfs/ls, ma può dipendere dall'ambiente in cui operi).
  3. Copia il valore che c'è nel campo Percorso URL e incollalo in un editor di testo alla fine del percorso dell'URL del fornitore di identità, in modo che appaia così: https:// + . Ad esempio, tutti e 3 i componenti abbinati diventano https://fs.fabrikam.com/adfs/ls per comporre l'URL completo del fornitore di identità.

Copia il Percorso AD FS per l'URL di emissione del token endpoint

Chiave pubblica del Fornitore di identità

  1. Negli strumenti di gestione di AD FS, vai a ServizioCertificati.
  2. Fai clic destro sulla voce Certificato per la firma di token e seleziona Mostra certificato.
  3. Fai clic sulla scheda Dettagli e poi fai clic per selezionare Chiave pubblica.
  4. Nella sezione sottostante, evidenzia e copia l'intera chiave pubblica, poi incollala in un editor di testo.

Una volta che l'intero URL del Fornitore di identità e la chiave pubblica del fornitore di identità siano stati incollati in un editor di testo, procedi al passaggio successivo.

Chiave pubblica dai dettagli delle proprietà del certificato per la firma di token

Passaggio aggiuntivo per gli ambienti farm AD FS

  • Conferma che ciascuno nodo AD FS abbia lo stesso Certificato per la firma di token.

Passaggio 3: Configura le Impostazioni di Accesso federato a LastPass Enterprise o LastPass Identity

Se hai già installato LastPass Active Directory Connector, devi interrompere il servizio e uscire dall'applicazione ADC. La dovrai avviare nuovamente in una fase successiva.

Ora che hai ottenuto tutte le informazioni necessarie, puoi configurare le Impostazioni di Accesso federato a LastPass Enterprise o LastPass Identity come segue:

  1. Esegui l'accesso e vai alla Console di amministrazione:
  2. Vai a ImpostazioniAccesso federato nel menu di navigazione a sinistra.
  3. Nel campo URL Fornitore incolla l'URL completo del fornitore di identità (p.es., https:// + Nome del Federation Service + Percorso per l'URL di emissione del token endpoint) che avevi ottenuto nel Passaggio 2.
  4. Nel campo Chiave pubblica, incolla la chiave pubblica del tuo fornitore di identità, che avevi ottenuto nel Passaggio 2.
  5. Una volta che tutti i campi siano stati aggiornati in entrambe le sezioni, compare un riquadro di controllo nella sezione "Configura AD FS". Seleziona la casella per l'impostazione Abilitato.
  6. Fai clic su Salva impostazioni.
  7. Una volta salvate, il campo URL del provider di servizi sotto sarà generato automaticamente. Copia l'URL del Fornitore di servizi e incollalo in un editor di testo.
  8. Nella sezione "Configura AD Connector", aggiungi il nome dell'attributo personalizzato (che avevi creato o riproposto e configurato nel Passaggio 1), poi fai clic su Salva.

Passaggio 4: Installa LastPass Active Directory Connector

Suggerimento: Crea un piccolo gruppo di utenti di controllo in Active Directory per usarlo inizialmente per i passaggi che seguono.
  1. Installa LastPass Active Directory Connector (vedi le istruzioni qui). Se LastPass AD Connector è già installato, devi riavviare l'applicazione prima di continuare con la modifica delle impostazioni.
  2. Configura LastPass Active Directory Connector selezionando Actions (Azioni) > When a user is detected in Active Directory (Quando viene rilevato un utente in Active Directory) > Automatically create user in LastPass (Crea automaticamente utente in LastPass) (entro il tuo ambiente di prova e in quello dal vivo). Questa opzione deve essere selezionata affinché si possano creare utenti federati tramite AD FS. Inoltre:
    • L'utente AD che sta utilizzando LastPass AD Connector deve avere le autorizzazioni "CONTROL ACCESS" (CONTROLLA ACCESSO)
    • Configura almeno 1 gruppo che debba essere sincronizzato con LastPass – consigliamo di iniziare con un piccolo gruppo di controllo di pochi utenti, a scopo di prova
  3. Una volta che tutte le configurazioni sono state fatte, seleziona la scheda Home (Home) nel menu di navigazione a sinistra di LastPass AD Connector, quindi seleziona la casella Enable sync (Abilita sincronizzazione) per iniziare la sincronizzazione.
  4. Esegui l'accesso e vai alla Console di amministrazione:
  5. Vai a Utenti nel menu a sinistra per vedere che gli utenti vengono inseriti man mano che vengono sincronizzati da Active Directory. Gli utenti federati vengono visualizzati con un asterisco (*) davanti al loro nome utente (p.es., *john.doe@acme.com).
  6. Controlla nella tua Active Directory che l'attributo personalizzato (dal Passaggio 1 della sezione "Ambienti server di Active Directory") per almeno 1 utente federato sincronizzato da LastPass sia stato compilato da Active Directory Connector e sia visualizzato come stringa casuale.
    • Se l'attributo personalizzato è presente in Active Directory = Okay – Ciò conferma che Active Directory Connector ha accesso in scrittura all'attributo personalizzato di tutti gli utenti federati – procedi al Passaggio 5 per registrare il tuo attributo personalizzato.
    • Se l'attributo personalizzato è vuoto in Active Directory = Errore – Ciò significa che Active Directory Connector non può scrivere l'attributo personalizzato in Active Directory perché all'utente AD che sta utilizzando LastPass Active Directory Connector non è stata assegnata l'autorizzazione "CONTROL ACCESS" (CONTROLLA ACCESSO). Risolviamo questo problema!
      1. L'utente AD deve interrompere il servizio e uscire dall'applicazione LastPass Active Directory Connector.
      2. Esegui l'accesso e vai alla Console di amministrazione:
      3. Vai a Utenti nel menu di navigazione a sinistra, poi seleziona tutti gli utenti federati inseriti di recente (contrassegnati da un asterisco).
      4. Fai clic sull'icona Altri Ellissi nell'angolo in alto a destra, poi fai clic su Elimina utenti selezionati e conferma (poiché tutti hanno un campo di valore di attributo personalizzato vuoto).
      5. In Active Directory, fornisci l'autorizzazione "CONTROL ACCESS" (CONTROLLA ACCESSO) all'utente che utilizza LastPass Active Directory Connector.
      6. L'utente AD può ora riavviare LastPass Active Directory Connector e avviare il servizio.
      7. Controlla nuovamente nella tua Active Directory che l'attributo personalizzato sia presente in uno degli utenti federati LastPass sincronizzati.

Passaggio 5: Registra il tuo attributo personalizzato con LastPass

Dopodiché dovrai registrare l'attributo personalizzato (che avevi creato o riproposto e configurato nel Passaggio 1) con LastPass eseguendo l'installer del plugin AD FS nel tuo server AD FS.

Nota:Il nome dell'attributo personalizzato deve contenere solo caratteri alfanumerici (nessun carattere speciale né spazi). È anche sensibile alle maiuscole e quindi va registrato esattamente come appare nell'Editor di attributi di Active Directory.

  1. Esegui l'accesso e vai alla Console di amministrazione:
  2. Vai a ImpostazioniAccesso federato nel menu a sinistra.
  3. Nella sezione "Archivio attributi personalizzati LastPass" in fondo alla pagina, fai clic su Scarica per ADFS Server 3.0 (per Windows Server 2012 R2) o Scarica per ADFS Server 4.0 (per Windows Server 2016 o Windows Server 2019) e salva il file LastPass .MSI.
  4. Accedi al tuo server principale Active Directory Federation Services (AD FS) poi trasferisci il file .MSI nel desktop del tuo server AD FS. Fai clic destro sul file e seleziona Esegui come Amministratore, oppure esegui l’installer .MSI da un prompt dei comandi elevati. Se richiesto da controllo dell'account utente, fai clic su .
    Nota:L’installer .MSI del plugin AD FS deve essere eseguito come amministratore o con autorizzazioni elevate, anche se hai avuto accesso come amministratore di dominio.
  5. Fai clic su Avanti.
  6. Inserisci l'URL del tuo Fornitore di servizi LastPass Enterprise o LastPass Identity (dal Passaggio 3, Azione 6), poi inserisci il valore del tuo attributo personalizzato (dal Passaggio 1) e fai clic su Avanti.
  7. Una volta completata la registrazione, fai clic su Fine.
  8. Riavvia il servizio Windows AD FS. Si tratta di un passaggio obbligatorio.

Impostazione Plugin AD FS

Passaggi aggiuntivi per gli ambienti farm AD FS:

  1. Nel server AD FS, vai in C:\Windows\ADFS dove hai installato il file LastPass .MSI.
  2. Copia i seguenti file in tutte le cartelle C:\Windows\ADFS dei server secondari AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Riavvia il servizio Windows AD FS sui nodi secondari AD FS. Si tratta di un passaggio obbligatorio.

Passaggio 6: Applica le modifiche apportate ai criteri per il Controllo di accesso.

L'Archivio degli Attributi personalizzati LastPass ha installato il Relying Party Trust (Attendibilità del componente) "LastPass Trust" (Considera attendibileLastPass) nel tuo (tuoi) server AD FS.

  1. Accedi nel tuo server primario Active Directory Federation Services (AD FS).
  2. Vai alle Impostazioni di gestione di AD FS.
  3. Vai a Trust Relationships (Relazioni di trust) > Relying Party Trust (Attendibilità del componente) nel menu di navigazione a sinistra, poi segui i passaggi successivi basati sulla tua versione server di AD FS:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Nella sezione "Trust LastPass", nel menu di navigazione a destra, fai clic su Edit Claim Rules...(Modifica regole attestazione)
      2. Seleziona la scheda Issuance Authorization Rules (Regole di autorizzazione rilascio) e imposta la regola che desideri, e che definirà le modalità di autenticazione degli utenti quando accedono a LastPass mediante accesso federato con AD FS.
    • AD FS Server – 4.0 Windows Server 2016 o Windows Server 2019
      1. Nella sezione "Trust LastPass" (Considera attendibile LastPass), nel menu di navigazione a destra, fai clic su Edit Acces Control Policy... (Modifica criteri di controllo di accesso...)
      2. Imposta il criterio che desideri, e che definirà le modalità di autenticazione degli utenti quando accedono a LastPass mediante accesso federato con AD FS.

Tutto fatto!

Hai correttamente impostato Active Directory Federation Services (AD FS) per il tuo account LastPass Enterprise o LastPass Identity. Tutti gli utenti federati che saranno inseriti nel servizio riceveranno un'email di benvenuto che li informerà del fatto che d'ora in avanti possono effettuare l'accesso utilizzando LastPass.