HELP FILE

Imposta l'accesso federato semplificato per LastPass utilizzando AD FS

Gli amministratori degli account LastPass Enterprise e LastPass Identity possono impostare e configurare gli Active Directory Federation Services (AD SF) in modo che gli utenti possano utilizzare l’account della Active Directory della loro organizzazione per accedere a LastPass Enterprise, senza dover creare una seconda password principale.

Prima di iniziare l'implementazione...

  • Esamina le limitazioni che si applicano agli utenti degli account federati.
  • Ti consigliamo vivamente di creare un ambiente di prova Active Directory con Federation Services, in modo che tu possa familiarizzarti con AD FS per LastPass Enterprise o LastPass Identity.
    • Il tuo ambiente di prova dovrebbe comprendere anche una versione di prova dei componenti che rientrano nel Passaggio 1 (fra cui creare uno specifico account di prova LastPass Enterprise o LastPass Identity da usare per esercitazione). Segui tutti i passaggi indicati qui sotto utilizzando prima l'account di prova LastPass Enterprise o LastPass Identity nell'ambiente di prova, per evitare qualunque perdita accidentale di dati nel tuo account utente.
  • Inoltre, ti consigliamo vivamente di implementare l'autenticazione a più fattori per i tuoi utenti in un ambiente reale. Comunque tieni presente quanto segue:
    • Devi impostare l'autenticazione a più fattori a livello di fornitore di identità (AD FS), e non a livello LastPass (tramite la Console di amministrazione e/o le Impostazioni account dell'utente finale). L'utilizzo dell'autenticazione a più fattori dentro LastPass non è supportata per gli utenti federati e comporta, per gli utenti che cercano di farla, l'impossibilità di accedere alla cassaforte.
    • Non puoi imporre i criteri di autenticazione a più fattori nella Console di amministrazione di LastPass perché questa autenticazione avviene al di fuori di LastPass, fra il tuo fornitore di identità (AD FS) e il tuo servizio di autenticazione. Perciò, consigliamo di imporre i criteri di autenticazione a più fattori in AD FS.
  • Per impostazione predefinita, consigliamo di utilizzare una chiave di livello aziendale, in quanto i passaggi descritti qui non richiedono di modificare lo schema di Active Directory. Se desideri comunque impostare una chiave univoca per ciascuno dei tuoi utenti, segui queste istruzioni di impostazione.

Passaggio 1: Accertati che l'elenco di controllo dei componenti richiesti sia completo

Prima che tu possa usare Active Directory Federation Services con LastPass Enterprise o LastPass Identity, devi aver già impostato quanto segue (sia per l'ambiente di prova, sia per quello dal vivo):

  • Un account LastPass Enterprise o LastPass Identity attivo che comprenda:
    • Almeno 1 account di amministratore abilitato
    • Un numero di postazioni utente che corrisponda (o superi) il numero di postazioni utenti che verranno sincronizzate con la tua Active Directory (sia nell'ambiente di prova, sia in quello dal vivo)
      Nota:  Se ti stai esercitando in un ambiente di prova, ti consigliamo di impostare uno specifico account di prova di LastPass Enterprise o LastPass Identity, per il quale ti puoi registrare qui.
  • Ambienti server per Active Directory (sia di prova, sia dal vivo) che soddisfino i seguenti requisiti:
    • Entrambi gli ambienti sono impostati e configurati per usare Federation Services (AD FS 3.0 per Windows Server 2012 R2 o AD FS 4.0 per Windows Server 2016 o Windows Server 2019) con installato l'aggiornamento più recente, incluso .NET Framework.
    • Le impostazioni del firewall sono configurate in modo da raggiungere https://www.lastpass.com o https://www.lastpass.eu e i relativi sottodomini (rispettivamente *.lastpass.com e *.lastpass.eu) puoi confermare che non sono bloccati da nessuna regola del firewall su tutti i tuoi server AD FS.
  • Il criterio "Consenti ai super amministratori di reimpostare le password principali" è abilitato
    • È necessario che tu abbia abilitato il criterio Consenti ai super amministratori di reimpostare le password principali per almeno un amministratore LastPass (che sia anche amministratore non federato) nella Console di amministrazione di LastPass. In questo modo, tutti gli account utente LastPass possono essere ancora recuperati (tramite la reimpostazione della password principale) qualora, dopo il completamento della configurazione, un'impostazione critica per l'accesso federato venisse modificata o configurata in modo errato.

Una volta soddisfatti tutti questi requisiti, dovrai acquisire parecchie informazioni chiave durante la procedura di impostazione. Apri un'applicazione editor di testo e prepara i seguenti campi:

  • Chiave di livello aziendale:
  • URL del fornitore di identità:
  • Chiave pubblica del fornitore di identità:
  • URL del servizio consumer di asserzione (ACS) di LastPass:

Dopo aver preparato questi campi nel tuo editor di testo, procedi al passaggio successivo.

Passaggio 2: Acquisisci l'URL e la chiave pubblica del fornitore di identità

Poi, accedi al tuo server Active Directory Federation Services (AD FS) e acquisisci l'indirizzo URL completo del tuo fornitore di identità (nome del Federation Service + Percorso per l'URL di emissione del token endpoint) e la chiave pubblica del Fornitore di identità.

URL del Fornitore di identità

  1. Accedi al tuo server Active Directory Federation Services (AD FS) e avvia lo strumento di gestione AD FS.
  2. Fai clic destro su Servizio > Modifica proprietà servizio federativo.
  3. Nella scheda Generali, copia l'URL che c'è nel campo Nome del Federation Service (ad esempio fs.fabrikam.com) e incollalo in un editor di testo. Accertati che il Nome del Federation service che ha inserito nell'editor di testo inizi con "https://" così come è richiesto in un protocollo sicuro (ad esempio https://fs.fabrikam.com).

Copia il nome del federation service

Percorso per l'URL di emissione del token endpoint

  1. Negli strumenti di gestione di AD FS, vai a ServizioEndpoints.
  2. Nella sezione di Emissione del token, individua la voce SAML 2.0/WS-Federation elencata nella colonna "Tipo" (p.es., il percorso predefinito è adfs/ls, ma può dipendere dall'ambiente in cui operi).
  3. Copia il valore che c'è nel campo Percorso URL e incollalo in un editor di testo alla fine del percorso dell'URL del fornitore di identità, in modo che appaia così: https:// + . Ad esempio, tutti e 3 i componenti abbinati diventano https://fs.fabrikam.com/adfs/ls per comporre l'URL completo del fornitore di identità.

Copia il Percorso AD FS per l'URL di emissione del token endpoint

Chiave pubblica del Fornitore di identità

  1. Negli strumenti di gestione di AD FS, vai a ServizioCertificati.
  2. Fai clic destro sulla voce Certificato per la firma di token e seleziona Mostra certificato.
  3. Fai clic sulla scheda Dettagli e poi fai clic per selezionare Chiave pubblica.
  4. Nella sezione sottostante, evidenzia e copia l'intera chiave pubblica, poi incollala in un editor di testo.

Una volta che l'intero URL del Fornitore di identità e la chiave pubblica del fornitore di identità siano stati incollati in un editor di testo, procedi al passaggio successivo.

Chiave pubblica dai dettagli delle proprietà del certificato per la firma di token

Passaggio aggiuntivo per gli ambienti farm AD FS

  • Conferma che ciascuno nodo AD FS abbia lo stesso Certificato per la firma di token.

Passaggio 3: Configura le Impostazioni di Accesso federato a LastPass Enterprise o LastPass Identity

Se hai già installato LastPass Active Directory Connector, devi interrompere il servizio e uscire dall'applicazione ADC. La dovrai avviare nuovamente in una fase successiva.

Ora che hai ottenuto tutte le informazioni necessarie, puoi configurare le Impostazioni di Accesso federato a LastPass Enterprise o LastPass Identity come segue:

  1. Esegui l'accesso e vai alla Console di amministrazione:
  2. Vai a ImpostazioniAccesso federato nel menu di navigazione a sinistra.
  3. Nel campo URL Fornitore incolla l'URL completo del fornitore di identità (p.es., https:// + Nome del Federation Service + Percorso per l'URL di emissione del token endpoint) che avevi ottenuto nel Passaggio 2.
  4. Nel campo Chiave pubblica, incolla la chiave pubblica del tuo fornitore di identità, che avevi ottenuto nel Passaggio 2.
  5. Una volta che tutti i campi sono stati aggiornati in entrambe le sezioni, seleziona la casella di controllo dell'impostazione Abilitato.
  6. Fai clic su Salva impostazioni.
  7. Una volta salvate, il campo Servizio consumer di asserzione (ACS) di LastPass sotto sarà generato automaticamente. Copia l'URL del Servizio consumer di asserzione (ACS) di LastPass e incollalo in un editor di testo.

Passaggio 4: Installa LastPass Active Directory Connector

Suggerimento: Crea un piccolo gruppo di utenti di controllo in Active Directory per usarlo inizialmente per i passaggi che seguono.
  1. Installa LastPass Active Directory Connector (vedi le istruzioni qui). Se LastPass AD Connector è già installato, devi riavviare l'applicazione prima di continuare con la modifica delle impostazioni.
  2. Configura LastPass Active Directory Connector selezionando Actions (Azioni) > When a user is detected in Active Directory (Quando viene rilevato un utente in Active Directory) > Automatically create user in LastPass (Crea automaticamente utente in LastPass) (entro il tuo ambiente di prova e in quello dal vivo).
    Attenzione: Questa opzione deve essere selezionata affinché si possano creare utenti federati tramite AD FS.
  3. Seleziona AD FS nel menu di navigazione a sinistra, quindi fai clic su Edit (Modifica).
  4. Fai clic su Generate New Secret (Genera nuova chiave segreta).
    Importante: Devi salvare la nuova chiave segreta (nel campo della chiave di livello aziendale) in un luogo sicuro. Se nel futuro avrai bisogno di reinstallare LastPass AD Connector, dovrai reinserire nuovamente la stessa chiave segreta di livello aziendale.
  5. Una volta che tutte le configurazioni sono state fatte, seleziona la scheda Home (Home) nel menu di navigazione a sinistra di LastPass AD Connector, quindi seleziona la casella Enable sync (Abilita sincronizzazione) per iniziare la sincronizzazione.
  6. Esegui l'accesso e vai alla Console di amministrazione:
  7. Vai a Utenti nel menu di navigazione a sinistra per vedere che gli utenti vengono inseriti man mano che vengono sincronizzati da Active Directory. Gli utenti federati vengono visualizzati con un asterisco (*) davanti al loro nome utente (p.es., *john.doe@acme.com).

Passaggio 5: Registra la tua chiave di livello aziendale con LastPass

Devi quindi registrare la chiave di livello aziendale con LastPass eseguendo l'installer del plugin AD FS sul server AD FS.

  1. Esegui l'accesso e vai alla Console di amministrazione:
  2. Vai a ImpostazioniAccesso federato nel menu di navigazione a sinistra.
  3. Nella sezione "Archivio attributi personalizzati LastPass" in fondo alla pagina, fai clic su Scarica per ADFS Server 3.0 (per Windows Server 2012 R2) o Scarica per ADFS Server 4.0 (per Windows Server 2016 o Windows Server 2019) e salva il file LastPass .MSI.
  4. Accedi al tuo server principale Active Directory Federation Services (AD FS) poi trasferisci il file .MSI nel desktop del tuo server AD FS. Fai clic destro sul file e seleziona Esegui come Amministratore, oppure esegui l’installer .MSI da un prompt dei comandi elevati. Se richiesto da controllo dell'account utente, fai clic su .
    Nota:L’installer .MSI del plugin AD FS deve essere eseguito come amministratore o con autorizzazioni elevate, anche se hai avuto accesso come amministratore di dominio.
  5. Fai clic su Avanti.
  6. Inserisci l'URL del servizio consumer di asserzione (ACS) di LastPass (dal Passaggio 3, Azione 6), quindi inserisci la chiave di livello aziendale (dal Passaggio 4, Azione 4) e fai clic su Avanti.
  7. Una volta completata la registrazione, fai clic su Fine.
  8. Riavvia il servizio Windows AD FS. Si tratta di un passaggio obbligatorio.

Passaggi aggiuntivi per gli ambienti farm AD FS:

  1. Nel server AD FS, vai in C:\Windows\ADFS dove hai installato il file LastPass .MSI.
  2. Copia i seguenti file in tutte le cartelle C:\Windows\ADFS dei server secondari AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Riavvia il servizio Windows AD FS sui nodi secondari AD FS. Si tratta di un passaggio obbligatorio.

Passaggio 6: Applica le modifiche apportate ai criteri per il Controllo di accesso.

L'Archivio degli Attributi personalizzati LastPass ha installato il Relying Party Trust (Attendibilità del componente) "LastPass Trust" (Considera attendibileLastPass) nel tuo (tuoi) server AD FS.

  1. Accedi nel tuo server primario Active Directory Federation Services (AD FS).
  2. Vai alle Impostazioni di gestione di AD FS.
  3. Vai a Trust Relationships (Relazioni di trust) > Relying Party Trust (Attendibilità del componente) nel menu di navigazione a sinistra, poi segui i passaggi successivi basati sulla tua versione server di AD FS:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Nella sezione "Trust LastPass", nel menu di navigazione a destra, fai clic su Edit Claim Rules...(Modifica regole attestazione)
      2. Seleziona la scheda Issuance Authorization Rules (Regole di autorizzazione rilascio) e imposta la regola che desideri, e che definirà le modalità di autenticazione degli utenti quando accedono a LastPass mediante accesso federato con AD FS.
    • AD FS Server – 4.0 Windows Server 2016 o Windows Server 2019
      1. Nella sezione "Trust LastPass" (Considera attendibile LastPass), nel menu di navigazione a destra, fai clic su Edit Acces Control Policy... (Modifica criteri di controllo di accesso...)
      2. Imposta il criterio che desideri, e che definirà le modalità di autenticazione degli utenti quando accedono a LastPass mediante accesso federato con AD FS.

Tutto fatto!

Hai correttamente impostato Active Directory Federation Services (AD FS) per il tuo account LastPass Enterprise o LastPass Identity. Tutti gli utenti federati che saranno inseriti nel servizio riceveranno un'email di benvenuto che li informerà del fatto che d'ora in avanti possono effettuare l'accesso utilizzando LastPass.