HELP FILE

Imposta LastPass Active Directory Connector

Il client di sincronizzazione LastPass Active Directory Connector (AD Connector) è un servizio di Windows che viene eseguito localmente e può essere scaricato dalla Console di amministrazione del tuo account LastPass. Si connette al tuo ambiente Active Directory per offrire una varietà di processi di provisioning e gestione in LastPass Enterprise.

Nota: Non installare Active Directory Connector nel tuo controller di dominio

Puoi vedere i requisiti di sistema e i passaggi dell'installazione, quindi scoprire come configurare impostazioni di Connessione, Azioni, Sincronizzazione, Proxy, Debug e Migrazione.

Se lo desideri, puoi configurare Active Directory Federation Services (AD FS) nel tuo account LastPass Enterprise per consentire ai tuoi utenti di utilizzare le loro credenziali Active Directory quando accedono a LastPass.

Requisiti di sistema

Per installare Active Directory Connector, il tuo ambiente locale deve soddisfare i requisiti minimi riportati di seguito.

Nota: I requisiti di sistema possono variare a seconda del tuo ambiente Active Directory.

Processore Intel Core Duo
Sistema operativo
  • Windows 8.1 (x64) o versioni successive
  • Server 2012 R2 (x64) o versioni successive

*Il sistema operativo deve avere installato .NET Framework 4.5.2 o versioni successive

Memoria 8 GB di RAM
Spazio su disco Almeno 500 MB
Larghezza di banda Consuma almeno 200 Mbps al giorno
Software App per computer LastPass Active Directory Connector

Installa Active Directory Connector

Nota: Non installare Active Directory Connector nel tuo controller di dominio

Per prima cosa, devi installare AD Connector, procedendo come segue:

  1. Vai su https://lastpass.com/company/#!/dashboard, accedi al tuo account e quindi alla Console di amministrazione.
  2. Vai a ImpostazioniIntegrazioni DirectoryScarica AD Connector.
  3. Quando richiesto, fai clic su Salva, quindi su Esegui e infine sul file LastPassADConnector.msi. Se richiesto da Controllo dell'account utente, fai clic su per consentire.
  4. Nella Configurazione guidata di LastPass AD Connector, fai clic su Avanti.
  5. Seleziona la casella per abilitare l'opzione "Accetto le condizioni del Contratto di licenza", quindi fai clic su Avanti.
  6. Conferma il percorso di installazione desiderato, quindi fai clic su Avanti.
  7. Fai clic su Installa. Se richiesto da Controllo dell'account utente, fai clic su per consentire.
  8. Quando l'installazione è completata, fai clic su Fine. Se richiesto da Controllo dell'account utente, fai clic su per consentire.
  9. Una volta installato, appare un prompt di accesso.  Accedi con il tuo indirizzo email di amministratore LastPass Enterprise e la tua password principale, quindi fai clic su Accedi.

Configura le impostazioni di Connessione

Successivamente, devi configurare la connessione tra LastPass e il tuo Active Directory inserendo le seguenti informazioni:

  • Configurazione della connessione – Dominio o server (p.es. lpadsync) oppure un controller di dominio da connettere anziché u n dominio (p.es. lp-adsync-dc01.lpadsync.local)
  • Credenziali – Credenziali di accesso dell'utente corrente o un set specifico di credenziali utente
  • DN di base – Rileva automaticamente o specifica un DN di base. Questo è il nodo radice sotto il quale si trovano tutti i tuoi oggetti utente e gruppo. Per assicurare prestazioni ottimali, si consiglia di posizionare tutti gli utenti e i relativi gruppi incorporati sotto il DN di base specificato.

Al termine, fai clic su Avanti per configurare le impostazioni di Azioni.

Configura le impostazioni di Azioni

Una volta configurate le impostazioni di Connessione, devi configurare le impostazioni di Azioni, per specificare quali azioni eseguire quando si verificano specifici eventi agli utenti nella tua Active Directory.

Nota: Si consiglia di usare l'opzione "disabilita" account anziché "elimina" per evitare l'esecuzione di azioni indesiderate nei confronti degli account degli utenti (come ad esempio la perdita completa dei dati della Cassaforte di un utente eliminato).

Seleziona una delle seguenti opzioni.

Quando viene rilevato un utente in Active Directory:

  • Aggiungi utente alla Console Enterprise, ma richiedi approvazione – Questo sincronizza gli utenti tra la tua Active Directory e LastPass, ma li mette in uno stato di "attesa" (e richiede l'approvazione manuale per ognuno di essi) anziché creare immediatamente un account per ciascun utente.
  • Crea automaticamente utente in LastPass – Questo crea automaticamente un account per ogni nuovo utente, gli invia un'email di benvenuto automatizzata contenente una password temporanea e le istruzioni per creare la sua password principale. ATTENZIONE! Questa opzione deve essere selezionata se effettui il provisioning degli utenti federati mediante l'integrazione di LastPass Enterprise con Active Directory Federation Services (AD FS).
  • Non fare niente – Non viene eseguita nessuna azione.

Quando un utente in Active Directory viene eliminato:

  • Disabilita amministrativamente l'account LastPass – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente. L'account utente tuttavia continua a esistere nel tuo account LastPass Enterprise, e l'utente non può accedere e usare LastPass finché non viene nuovamente abilitato.
  • Rimuovi dall'account Enterprise, ma non eliminare l'utente – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, e rimuove l'utente dal tuo account LastPass Enterprise. L'account utente tuttavia viene convertito in un account LastPass Free, e tutti i dati della Cassaforte dell'account rimangono accessibili all'utente.
  • Elimina automaticamente l'account LastPass – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, ma elimina anche completamente l'account LastPass e tutti i dati della Cassaforte dell'utente.

Quando un utente in Active Directory viene disabilitato:

  • Disabilita amministrativamente l'account LastPass – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente. L'account utente tuttavia continua a esistere nel tuo account LastPass Enterprise, e l'utente non può accedere e usare LastPass finché non viene nuovamente abilitato.
  • Elimina automaticamente l'account LastPass – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, ma elimina anche completamente l'account LastPass e tutti i dati della Cassaforte dell'utente.
  • Rimuovi dall'account Enterprise, ma non eliminare l'utente – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, e rimuove l'utente dal tuo account LastPass Enterprise. L'account utente tuttavia viene convertito in un account LastPass Free, e tutti i dati della Cassaforte dell'account rimangono accessibili all'utente.

Quando un utente in Active Directory viene rimosso da un filtro di gruppo:

  • Disabilita amministrativamente l'account LastPass – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente. L'account utente tuttavia continua a esistere nel tuo account LastPass Enterprise, e l'utente non può accedere e usare LastPass finché non viene nuovamente abilitato.
  • Elimina automaticamente l'account LastPass – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, ma elimina anche completamente l'account LastPass e tutti i dati della Cassaforte dell'utente.
  • Rimuovi dall'account Enterprise, ma non eliminare l'utente – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, e rimuove l'utente dal tuo account LastPass Enterprise. L'account utente tuttavia viene convertito in un account LastPass Free, e tutti i dati della Cassaforte dell'account rimangono accessibili all'utente.
  • Non fare niente – Non viene eseguita nessuna azione.

Una volta selezionate tutte le impostazioni in Azioni, fai clic su Avanti per configurare le impostazioni di Sincronizzazione.

Configura le impostazioni di Sincronizzazione

Una volta completata la configurazione delle impostazioni si Azioni, dei configurare le impostazioni di Sincronizzazione, per specificare i campi, gruppi e utenti che desideri sincronizzare tra LastPass e Active Directory.

Nota: Gli utenti devono avere un indirizzo email elencato in Active Directory per poter essere sincronizzati con LastPass.

Configurazione della sincronizzazione:

  • Sincronizza nome completo degli utenti da AD – Se abilitata, questa opzione sincronizza il nome completo di ciascun utente in modo che appaia in LastPass. Per impostazione predefinita, LastPass elenca gli utenti solo con il loro nome utente (ad esempio l'indirizzo email).
  • Crea gruppi in LastPass – Se un gruppo esiste in Active Directory ma non in LastPass, abilitando questa opzione il gruppo viene creato anche in LastPass. Se stai creando gruppi in LastPass in base ad Active Directory, gli eventuali gruppi esistenti in LastPass vengono rimossi e sostituiti dai gruppi di Active Directory specificati.
  • Sincronizza intervallo di ricerca – Questo forza AD Connector a controllare ed effettuare le modifiche in un ciclo secondo l'intervallo di tempo specificato (tra 5 e 3600 secondi).

Filtra gli utenti in base all'appartenenza a gruppi:

  • Puoi fare clic su Sfoglia e Cerca per navigare facilmente tra i tuoi gruppi Active Directory connessi, e seleziona solo i gruppi che desideri sincronizzare. Se hai aggiunto uno o più gruppi che hai deciso di non voler sincronizzare, fai clic per selezionare il gruppo o i gruppi, quindi fai clic su Rimuovi gruppi selezionati.
  • Puoi anche limitare gli utenti da aggiungere in Enterprise specificando un filtro di sincronizzazione in AD Connector. In questo campo deve essere inserita la stringa DN del gruppo da filtrare. Per ottenere una stringa DN precisa, è possibile usare lo strumento ADSI Edit. Quando si aggiungono più filtri ai filtri di sincronizzazione, usa la stringa DN completa nel seguente formato:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Appartenenze utente:

  • Sincronizza tutte le appartenenze a gruppi – Questo sincronizza tutti i gruppi di utenti della tua Active Directory con l'account LastPass Enterprise.
  • Usa elenco elementi consentiti per filtrare gruppi – Usa Sfoglia o Cerca per individuare e selezionare un gruppo ombrello che contiene direttamente i gruppi da sincronizzare, tuttavia, il gruppo ombrello selezionato non sarà aggiunto all'elenco di elementi consentiti.
  • Includi gruppi nidificati – Seleziona la casella per abilitare questa opzione se desideri che tutti i sottogruppi di un gruppo siano inclusi nella sincronizzazione (ad esempio, se il gruppo A include il gruppo B e il gruppo B include il gruppo C, saranno inclusi i gruppi A, B e C). Questo ti consente di consolidare gli account utente, rimuovere accessi duplicati e dare automaticamente ai gruppi nidificati l'accesso ai siti i alle cartelle condivise.
  • Sincronizza solo i gruppi specificati nella sezione Filtra utenti – Usa questa impostazione con la massima cautela. Questa opzione sincronizza solo gli utenti nei gruppi specificati in Filtra gli utenti in base all'appartenenza a gruppi. Se un utente nella tua Active Directory perde l'appartenenza a tutti i gruppi specificati, si attiva l'azione di disabilitazione/eliminazione che hai specificato nelle impostazioni di Azioni, e potrebbe disabilitare o eliminare gli utenti al di fuori dei gruppi selezionati. Per questo motivo si consiglia di selezionate un set di gruppi che includa tutti gli utenti da sincronizzare, per evitare azioni indesiderate quando si abilita questa impostazione. Nota: Assicurati che tutti gli utenti, gruppi e sottogruppi si trovino sotto il DN di base che hai specificato nelle impostazioni di Connessione.
  • Non sincronizzare le appartenenze a gruppi – Questa opzione non sincronizza i gruppi di utenti della tua Active Directory con l'account LastPass Enterprise.

Gruppi esclusi:

  • Usa espressioni regolari per saltare sottogruppi – Se hai abilitato l'opzione Sincronizza tutte le appartenenze a gruppi, puoi creare un elenco di elementi non consentiti per assicurarti che i gruppi specificati non vengano sincronizzati inserendo l'espressione regolare (ovvero il nome del gruppo specifico in Active Directory). Se c'è una corrispondenza con l'espressione regolare specificata, quel gruppo (e i relativi sottogruppi, se l'opzione "Includi gruppi nidificati" è abilitata) non vengono sincronizzati con il tuo account LastPass Enterprise.

Altri attributi da sincronizzare:

  • Elenco separato da virgole – Qui puoi specificare il nome di un attributo utente di Active Directory (ad esempio NomeAccountsAM) che desideri sincronizzare con il tuo account LastPass Enterprise.

Una volta selezionate tutte le impostazioni di Sincronizzazione, fai clic su Avanti per configurare le impostazioni di Debug.

Configura le impostazioni proxy

Le impostazioni proxy possono essere configurate per eseguibile, per tutte le app .NET, o per utente usando le impostazioni IE. L'interfaccia utente può usare l'autenticazione Kerberos con le credenziali dell'utente correntemente connesso (deve essere un utente di dominio), il servizio con le credenziali del computer (deve essere connesso al dominio). Non è sufficiente cambiare le impostazioni solo per l'utente correntemente connesso, perché solo AD Connector viene eseguito come utente correntemente connesso e il servizio di sincronizzazione viene eseguito come NT AUTHORITY\SYSTEM.

Per istruzioni dettagliate, puoi convalidare le tue impostazioni proxy.

Debug

Puoi configurare le impostazioni di Debug per la risoluzione dei problemi di sincronizzazione di AD Connector.

Opzioni di registrazione:

  • Livello di registrazione – Usare il menu a discesa per selezionare uno dei seguenti tipi di registrazione:
    • Errore
    • Avviso
    • Informazioni (impostazione predefinita)
    • Debug
    • Traccia
  • Numero massimo di file di registro da 100MB (5-90) – Selezionare la quantità di spazio da destinare ai file di registro.

Cancella cache locale:

  • Fai clic su Cancella cache locale per cancellare manualmente i dati dei gruppi e degli utenti che sono memorizzati localmente per impostazione predefinita (da usare per ripristinare Active Directory da un backup). Scopri di più.
  • Se dovessi avere problemi o bisogno di assistenza, fai clic su Apri cartella registro per aprire Windows Explorer e vai a C:\ProgramData\LastPass, quindi seleziona il file ADConnector.log e invialo a support@lastpass.com.

Al termine, fai clic su Fine, quindi su Home e seleziona la casella "Abilita sincronizzazione" per iniziare la sincronizzazione.

Migrazione

Se hai configurato Active Directory Federation Services (AD FS) nel tuo account LastPass Enterprise, puoi usare l'opzione Migrazione di LastPass AD Connector per convertire utenti non federati in account utente federati. Per le istruzioni dettagliate, vedi Come posso convertire un utente LastPass Enterprise esistente in un utente federato (AD SF)?

Domande correlate

Domande frequenti su Active Directory Connector

Imposta i Federation Services (AD FS) di LastPass Enterprise.

Come posso trasformare un utente LastPass Enterprise esistente in un utente federato (AD SF)?