HELP FILE

Imposta LastPass Active Directory Connector

Active Directory Connector è un'applicazione desktop che fornisce aggiornamenti degli utenti di Active Directory e applica automaticamente le stesse modifiche nell'account aziendale LastPass.

Nota:Non installare Active Directory Connector nel tuo controller di dominio

Puoi vedere i requisiti di sistema e i passaggi dell'installazione, quindi scoprire come configurare le impostazioni di Connection (Connessione), Actions (Azioni), Sync (Sincronizzazione), Proxy (Proxy), Debug (Debug) e Migration (Migrazione).

Se lo desideri, puoi configurare Active Directory Federation Services (AD FS) nel tuo account LastPass Enterprise o Identity per consentire ai tuoi utenti di utilizzare le loro credenziali Active Directory quando accedono a LastPass.

Requisiti di sistema

Per installare Active Directory Connector, il tuo ambiente locale deve soddisfare i requisiti minimi riportati di seguito.

Nota:I requisiti di sistema possono variare a seconda del tuo ambiente Active Directory.
Processore Intel Core Duo
Sistema operativo
  • Windows 8.1 (x64) o versioni successive
  • Server 2012 R2 (x64) o versioni successive

*Il sistema operativo deve avere installato .NET Framework 4.5.2 o versioni successive

Memoria 8 GB di RAM
Spazio su disco Almeno 500 MB
Larghezza di banda Utilizza almeno 200 Mbps al giorno
Software App per computer LastPass Active Directory Connector

Installa Active Directory Connector

Nota:Non installare Active Directory Connector nel tuo controller di dominio

Per prima cosa, devi installare AD Connector, procedendo come segue:

  1. Vai all'indirizzo https://lastpass.com/company/#!/dashboard, accedi al tuo account e quindi alla Console di amministrazione.
  2. Vai a Settings (Impostazioni) > Directory integrations (Integrazioni Directory) > Download AD Connector (Scarica AD Connector).
  3. Quando richiesto, fai clic su Save (Salva), quindi su Run (Esegui) e infine sul file LastPassADConnector.msi. Se richiesto da Controllo dell'account utente, fai clic su Yes (Sì) per consentire.
  4. Nella Configurazione guidata di LastPass AD Connector, fai clic su Next (Avanti).
  5. Seleziona la casella per abilitare l'opzione "I accept the terms in the License Agreement" (Accetto le condizioni del Contratto di licenza), quindi fai clic su Next (Avanti).
  6. Conferma il percorso di installazione desiderato, quindi fai clic su Next (Avanti).
  7. Fai clic su Install (Installa). Se richiesto da Controllo dell'account utente, fai clic su Yes (Sì) per consentire.
  8. Quando l'installazione è completata, fai clic su Finish (Fine). Se richiesto da Controllo dell'account utente, fai clic su Yes (Sì) per consentire.
  9. Una volta installato, appare un prompt di accesso.  Inserisci il tuo indirizzo email di amministratore LastPass e la tua password principale, quindi fai clic su Accedi.

Configura le impostazioni di Connection (Connessione)

Successivamente, devi configurare la connessione tra LastPass e il tuo Active Directory inserendo le seguenti informazioni:

  • Connection configuration (Configurazione della connessione) – Dominio o server (p.es. lpadsync) oppure un controller di dominio da connettere anziché un dominio (p.es. lp-adsync-dc01.lpadsync.local)
  • Credentials (Credenziali) – Credenziali di accesso dell'utente corrente o un set specifico di credenziali utente
  • Base DN (DN di base) – Rileva automaticamente o specifica un DN di base. Questo è il nodo radice sotto il quale si trovano tutti i tuoi oggetti utente e gruppo. Per assicurare prestazioni ottimali, si consiglia di posizionare tutti gli utenti e i relativi gruppi incorporati sotto il DN di base specificato.

Al termine, fai clic su Next (Avanti) per configurare le impostazioni di Actions (Azioni).

Configura le impostazioni di Actions (Azioni)

Una volta configurate le impostazioni di Connection (Connessione), devi configurare le impostazioni di Actions (Azioni), per specificare quali azioni eseguire quando si verificano specifici eventi agli utenti nella tua Active Directory.

Nota: Si consiglia di usare l'opzione "disabilita" account anziché "elimina" per evitare l'esecuzione di azioni indesiderate nei confronti degli account degli utenti (come ad esempio la perdita completa dei dati della cassaforte di un utente eliminato).

Seleziona una delle seguenti opzioni:

Quando viene rilevato un utente in Active Directory:

  • Add the user in the Enterprise Console, but require approval (Aggiungi utente alla Console Enterprise, ma richiedi approvazione) – Questo sincronizza gli utenti tra la tua Active Directory e LastPass, ma li mette in uno stato di "attesa" (e richiede l'approvazione manuale per ognuno di essi) anziché creare immediatamente un account per ciascun utente.
  • Automatically create user in LastPass (Crea automaticamente utente in LastPass) – Questo crea automaticamente un account per ogni nuovo utente, gli invia un'email di benvenuto automatizzata contenente una password temporanea e le istruzioni per creare la sua password principale.
    Nota: ATTENZIONE!Questa opzione deve essere selezionata se effettui il provisioning degli utenti federati mediante l'integrazione di LastPass Enterprise i Identity con Active Directory Federation Services (AD FS).
  • Do nothing (Non fare niente) – Non viene eseguita nessuna azione.

Quando un utente in Active Directory viene eliminato:

  • Administratively disable the LastPass account (Disabilita amministrativamente l'account LastPass) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente. L'account utente tuttavia continua a esistere nel tuo account LastPass Enterprise o Identity, e l'utente non può accedere e usare LastPass finché non viene nuovamente abilitato.
  • Remove from Enterprise account, but do not delete user (Rimuovi dall'account Enterprise, ma non eliminare l'utente) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, e rimuove l'utente dal tuo account LastPass Enterprise o Identity. L'account utente tuttavia viene convertito in un account LastPass Free, e tutti i dati della cassaforte dell'account rimangono accessibili all'utente.
  • Automatically delete their LastPass account (Elimina automaticamente l'account LastPass) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, ma elimina anche completamente l'account LastPass e tutti i dati della cassaforte dell'utente.

Quando un utente in Active Directory viene disabilitato:

  • Administratively disable the LastPass account (Disabilita amministrativamente l'account LastPass) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente. L'account utente tuttavia continua a esistere nel tuo account LastPass Enterprise o Identity, e l'utente non può accedere e usare LastPass finché non viene nuovamente abilitato.
  • Automatically delete their LastPass account (Elimina automaticamente l'account LastPass) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, ma elimina anche completamente l'account LastPass e tutti i dati della cassaforte dell'utente.
  • Remove from Enterprise account, but do not delete user (Rimuovi dall'account Enterprise, ma non eliminare l'utente) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, e rimuove l'utente dal tuo account LastPass Enterprise o Identity. L'account utente tuttavia viene convertito in un account LastPass Free, e tutti i dati della cassaforte dell'account rimangono accessibili all'utente.

Quando un utente in Active Directory viene rimosso da un filtro di gruppo:

  • Administratively disable the LastPass account (Disabilita amministrativamente l'account LastPass) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente. L'account utente tuttavia continua a esistere nel tuo account LastPass Enterprise o Identity, e l'utente non può accedere e usare LastPass finché non viene nuovamente abilitato.
  • Automatically delete their LastPass account (Elimina automaticamente l'account LastPass) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, ma elimina anche completamente l'account LastPass e tutti i dati della cassaforte dell'utente.
  • Remove from Enterprise account, but do not delete user (Rimuovi dall'account Enterprise, ma non eliminare l'utente) – Questo libera la postazione utente e la rende disponibile per essere assegnata a un altro utente, e rimuove l'utente dal tuo account LastPass Enterprise o Identity. L'account utente tuttavia viene convertito in un account LastPass Free, e tutti i dati della cassaforte dell'account rimangono accessibili all'utente.
  • Do nothing (Non fare niente) – Non viene eseguita nessuna azione.

Una volta selezionate tutte le impostazioni in Azioni, fai clic su Next (Avanti) per configurare le impostazioni di Sync (Sincronizzazione).

Configura le impostazioni di Sync (Sincronizzazione)

Una volta completata la configurazione delle impostazioni di Actions (Azioni), devi configurare le impostazioni di Sync (Sincronizzazione), per specificare i campi, gruppi e utenti che desideri sincronizzare tra LastPass e Active Directory.

Nota:Gli utenti devono avere un indirizzo email elencato in Active Directory per poter essere sincronizzati con LastPass.

Configurazione di Sync (Sincronizzazione):

  • Sync user's full name from AD (Sincronizza nome completo degli utenti da AD) – Se abilitata, questa opzione sincronizza il nome completo di ciascun utente in modo che appaia in LastPass. Per impostazione predefinita, LastPass elenca gli utenti solo con il loro nome utente (ad esempio l'indirizzo email).
  • Create groups in LastPass (Crea gruppi in LastPass) – Se un gruppo esiste in Active Directory ma non in LastPass, abilitando questa opzione il gruppo viene creato anche in LastPass. Se stai creando gruppi in LastPass in base ad Active Directory, gli eventuali gruppi esistenti in LastPass vengono rimossi e sostituiti dai gruppi di Active Directory specificati.
  • Sync search interval (Sincronizza intervallo di ricerca) – Questo forza AD Connector a controllare ed effettuare le modifiche in un ciclo secondo l'intervallo di tempo specificato (tra 5 e 3600 secondi).

Filter users based on group membership (Filtra gli utenti in base all'appartenenza a gruppi):

  • Devi specificare almeno un gruppo in questa sezione per poter procedere con il processo di configurazione, anche se non prevedi di usare i gruppi in LastPass. Se non è specificato un gruppo, riceverai il messaggio di errore "Login failed" (Accesso non riuscito).
  • Puoi fare clic su Browse (Sfoglia) e Search (Cerca) per navigare facilmente tra i tuoi gruppi Active Directory connessi, e selezionare solo i gruppi che desideri sincronizzare. Se hai aggiunto uno o più gruppi che hai deciso di non voler sincronizzare, fai clic per selezionare il gruppo o i gruppi, quindi fai clic su Remove selected groups (Rimuovi gruppi selezionati).
  • Puoi anche limitare gli utenti da aggiungere al tuo account aziendale specificando un filtro di sincronizzazione in AD Connector. In questo campo deve essere inserita la stringa DN del gruppo da filtrare. Per ottenere una stringa DN precisa, è possibile usare lo strumento ADSI Edit. Quando si aggiungono più filtri ai filtri di sincronizzazione, usa la stringa DN completa nel seguente formato:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

User memberships (Appartenenze utente):

  • Sync all group memberships (Sincronizza tutte le appartenenze a gruppi) – Questo sincronizza tutti i gruppi di utenti della tua Active Directory con l'account LastPass Enterprise.
  • Use allowlist to filter groups (Usa elenco elementi consentiti per filtrare gruppi) – Usa Browse (Sfoglia) o Search (Cerca) per individuare e selezionare un gruppo ombrello che contiene direttamente i gruppi da sincronizzare, tuttavia, il gruppo ombrello selezionato non sarà aggiunto all'elenco di elementi consentiti.
  • Include nested groups (Includi gruppi nidificati) – Seleziona la casella per abilitare questa opzione se desideri che tutti i sottogruppi di un gruppo siano inclusi nella sincronizzazione (ad esempio, se il gruppo A include il gruppo B e il gruppo B include il gruppo C, saranno inclusi i gruppi A, B e C). Questo ti consente di consolidare gli account utente, rimuovere accessi duplicati e dare automaticamente ai gruppi nidificati l'accesso ai siti i alle cartelle condivise.
  • Sync only the groups specified in the Filter users section (Sincronizza solo i gruppi specificati nella sezione Filtra utenti) – Usa questa impostazione con la massima cautela. Questa opzione sincronizza solo gli utenti nei gruppi specificati in Filter users based on group membership list (Filtra gli utenti in base all'appartenenza a gruppi). Se un utente nella tua Active Directory perde l'appartenenza a tutti i gruppi specificati, si attiva l'azione di disabilitazione/eliminazione che hai specificato nelle impostazioni di Actions (Azioni), e potrebbe disabilitare o eliminare gli utenti al di fuori dei gruppi selezionati. Per questo motivo si consiglia di selezionate un set di gruppi che includa tutti gli utenti da sincronizzare, per evitare azioni indesiderate quando si abilita questa impostazione.
    Nota:Assicurati che tutti gli utenti, gruppi e sottogruppi si trovino sotto il DN di base che hai specificato nelle impostazioni di Connection (Connessione).
  • Do not sync group memberships (Non sincronizzare le appartenenze a gruppi) – Questa opzione non sincronizza i gruppi di utenti della tua Active Directory con l'account LastPass Enterprise.

Gruppi esclusi:

  • Use regular expressions to skip subgroups (Usa espressioni regolari per saltare sottogruppi) – Se hai abilitato l'opzione Sync all group memberships (Sincronizza tutte le appartenenze a gruppi), puoi creare un elenco di elementi non consentiti per assicurarti che i gruppi specificati non vengano sincronizzati inserendo l'espressione regolare (ovvero il nome del gruppo specifico in Active Directory). Se c'è una corrispondenza con l'espressione regolare specificata, quel gruppo (e i relativi sottogruppi, se l'opzione "Include nested groups" (Includi gruppi nidificati) è abilitata) non vengono sincronizzati con il tuo account LastPass Enterprise.

Additional attributes to sync( Altri attributi da sincronizzare):

  • Comma separated list (Elenco separato da virgole) – Qui puoi specificare il nome di un attributo utente di Active Directory (ad esempio NomeAccountsAM) che desideri sincronizzare con il tuo account LastPass Enterprise.

Una volta selezionate tutte le impostazioni di Sincronizzazione, fai clic su Next (Avanti) per configurare le impostazioni di Debug.

Configura le impostazioni proxy

Le impostazioni proxy possono essere configurate per eseguibile, per tutte le app .NET, o per utente usando le impostazioni IE. L'interfaccia utente può usare l'autenticazione Kerberos con le credenziali dell'utente correntemente connesso (deve essere un utente di dominio), il servizio con le credenziali del computer (deve essere connesso al dominio). Non è sufficiente cambiare le impostazioni solo per l'utente correntemente connesso, perché solo AD Connector viene eseguito come utente correntemente connesso e il servizio di sincronizzazione viene eseguito come NT AUTHORITY\SYSTEM.

Debug

Puoi configurare le impostazioni di Debug per la risoluzione dei problemi di sincronizzazione di AD Connector.

Logging options (Opzioni di registrazione):

  • Logging level (Livello di registrazione) – Usa il menu a discesa per selezionare uno dei seguenti tipi di registrazione:
    • Error (Errore)
    • Warning (Avviso)
    • Info (Informazioni) (impostazione predefinita)
    • Debug
    • Trace (Traccia)
  • Maximum number of 100MB log files (5-90) (Numero massimo di file di registro da 100MB (5-90)) – Seleziona la quantità di spazio da destinare ai file di registro.

Clear local cache (Cancella cache locale):

  • Fai clic su Clear local cache (Cancella cache locale) per cancellare manualmente i dati dei gruppi e degli utenti che sono memorizzati localmente per impostazione predefinita (da usare per ripristinare Active Directory da un backup). Scopri di più.
  • Fai clic su Open log folder (Apri cartella registro) per aprire Windows Explorer e vai a C:\ProgramData\LastPass quindi seleziona il file ADConnector.log Per ulteriore assistenza, contatta l'Assistenza Clienti di LastPass. Una volta che l’assistenza clienti di LastPass abbia risposto, allega il file del registro alla tua richiesta per ulteriori indagini.

Al termine, fai clic su Finish (Fine), quindi vai a Home (Home) e seleziona la casella Enable sync (Abilita sincronizzazione) per iniziare la sincronizzazione.

Migration (Migrazione)

Se hai configurato Active Directory Federation Services (AD FS) nel tuo account LastPass Enterprise, puoi usare l'opzione Migration (Migrazione) di LastPass AD Connector per convertire utenti non federati in account utente federati. Per istruzioni dettagliate, vedi Come posso trasformare un utente LastPass esistente in un utente federato (AD SF)?

Scheda Migration (Migrazione) di LastPass AD Connector