HELP FILE

Risoluzione dei problemi per la Active Directory Federation Services (AD FS).

Se hai problemi dopo aver impostato l'ambiente LastPass Enterprise per usare Active Directory Federation Services (AD FS), puoi seguire i passaggi qui sotto per controllare la correttezza delle tue impostazioni di configurazione ed eseguire una risoluzione dei problemi basilare. Accertati di eseguire i seguenti controlli nell'ordine prescritto.

Passaggio 1: Controlla gli Windows aggiornamenti e le versioni dei componenti LastPass

Controlla se vi siano aggiornamenti disponibili e installa le versioni più recenti dei seguenti:

  • Aggiornamenti Windows Server (compresa la versione più recente di .Net Framework)
  • LastPass Active Directory Connector deve eseguire la versione 1.2.652 o successiva – Aggiorna ora o apri LastPass AD Connector, poi vai su Home > Controlla aggiornamenti.
  • L'estensione browser di LastPass deve eseguire la versione più recente disponibile – Aggiorna ora

Passaggio 2: Controlla le impostazioni del tuo firewall

L'Archivio attributi personalizzati deve essere in grado di comunicare con le API LastPass, e ciò significa che il (i) server AD FS devono essere in grado di raggiungere *.lastpass.com.

  • Apri un browser nel tuo (tuoi) server AD FS e vai su https://lastpass.com. Se non è raggiungibile, devi inserire nell'elenco dei domini consentiti nel tuo firewall il dominio *.lastpass.com.

Nota: Se il tuo ambiente è un farm di server AD FS con nodi primari e secondari, accertati che il dominio *.lastpass.com sia fra i domini consentiti in tutte le macchine.

Passaggio 3: Controlla le tue autorizzazioni di utente AD

Ci sono due utenti, nell'ambiente Active Directory, che devono avere l'accesso a lettura e scrittura dell'attributo personalizzato:

  • L'utente AD che esegue il LastPass AD Connector (che inserisce i valori nell'attributo personalizzato al momento del provisioning)
  • L'utente AD che esegue il servizio AD FS (AD FS chiama l'Archivio Attributi personalizzati, che legge l'attributo personalizzato al momento dell'accesso)

Entrambi gli utenti devono avere l'autorizzazione CONTROLLA ACCESSO per poter accedere a un attributo personalizzato contrassegnato come RISERVATO. Se gli utenti non hanno questa autorizzazione, la si deve impostare. Puoi controllare le tue autorizzazioni utente in uno dei seguenti modi:

Utilizzando lo strumento LDP

I sistemi operativi di Windows Server hanno uno strumento integrato che ti permette di controllare le autorizzazioni dei tuoi utenti AD in base alla loro appartenenza di gruppo.

  • Nel tuo server Active Directory, esegui ldp.exe e conferma che il gruppo assegnato dell'utente AD abbia il CONTROLLA ACCESSO abilitato.

Utilizzando il comando dsacls

Puoi eseguire il comando “distinguishedName dell'attributo personalizzato" per controllare le autorizzazioni dei tuoi utenti AD:

  1. Nel server Active Directory esegui il Prompt dei comandi come amministratore.
  2. Inserisci il seguente comando: dsacls
  3. Conferma che l'autorizzazione CONTROLLA ACCESSO sia stata assegnata.

Passaggio 4: Controlla che il plugin AD FS sia stato installato e registrato con il corretto valore di attributo personalizzato

Se il plugin AD FS è stato installato correttamente, potrai trovare LastPassAttributeStore elencato.

  1. Nel tuo server AD FS, apri lo strumento di Gestione Server AD FS.
  2. Vai su AD FSServizioArchivi Attributi.
  3. Controlla se è elencato LastPassAttributeStore.

ATTENZIONE! Se non riesci a trovare l'Archivio attributi, significa che l'installazione non è riuscita. Reinstalla il plugin AD FS e conferma che il nome dell'attributo personalizzato e la versione siano entrambi corretti.

  1. Disinstalla LastPassAttributeStore.msi.
  2. Accedi alla Console di amministrazione su https://lastpass.com/company/#!/dashboard.
  3. Vai su ImpostazioniAccesso federato nel menu a sinistra.
  4. Conferma che il nome dell'attributo personalizzato sia corretto.
  5. Nella sezione “Archivio attributi personalizzati LastPass” in fondo alla pagina, fai clic su Scarica per ADFS Server 3.0 (per Windows Server 2012 R2) o Scarica per ADFS Server 4.0 (per Windows Server 2016) e salva il file LastPass CustomAttributeStore.msi.
  6. Accedi al tuo server principale Active Directory Federation Services (AD FS) poi trasferisci il file CustomAttributeStore.msi nel desktop del tuo server AD FS e fai doppio clic su di esso per avviarlo.
  7. Fai clic su Avanti.
  8. Inserisci l'URL del tuo Fornitore di servizi LastPass Enterprise, poi inserisci il valore del tuo attributo personalizzato e fai clic su Avanti.
  9. Fai clic su Fine quando la registrazione è terminata.
  10. Riavvia il servizio Windows AD FS. Questo è obbligatorio.

Passaggio 5: Controlla la configurazione dell'attributo personalizzato

Puoi utilizzare lo strumento ADSI Edit per controllare le proprietà del tuo attributo personalizzato per confermare che sia stato configurato correttamente.

  1. Nel server Active Directory esegui il Prompt dei comandi come amministratore.
  2. Inserisci il seguente comando: adsiedit.msc Nota: Se lo strumento ADSI Edit non è disponibile, puoi registrarlo aprendo il Prompt dei comandi come amministratore ed eseguendo i seguenti comandi: regsvr32 adsiedit.dll poi adsiedit.msc
  3. Connettiti al “Contesto dei nomi conosciuto”: Schema.
  4. Individua l'attributo personalizzato e apri Proprietà.
  5. Individua i seguenti attributi, i loro valori dovrebbero corrispondere a quanto segue (come mostrato qui sotto):
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Correttamente configurato

ATTENZIONE! Se l'attributo searchFlags non è configurato come RISERVATO (p.es., visualizzato come INDICE) allora devi configurarlo come RISERVATO.

Non correttamente configurato

Passaggio 6: Controlla che l'attributo personalizzato sia stato compilato

Conferma che LastPass ASD Connector abbia configurato correttamente l'attributo personalizzato.

  1. Accedi al tuo server Active Directory.
  2. Apri lo strumento di gestione di Utenti e Computer di Active Directory.
  3. Vai su Visualizza e accertati che Funzioni avanzate sia abilitato o fai clic sull'opzione del menu Funzioni avanzate per abilitarla.
  4. Nel menu di navigazione a sinistra vai su Utenti.
  5. Fai clic destro su un utente, poi fai clic su Proprietà.
  6. Fai clic sulla scheda Editori di attributo.
  7. Individua l'attributo personalizzato che hai creato (p.es., LastPassK1) e conferma che è stato impostato un valore (come mostrato qui sotto).

Correttamente configurato

Editor di Attributi che visualizza l'attributo personalizzato

ATTENZIONE! Se il valore dell'attributo personalizzato è <non impostato> (come mostrato qui sotto) allora devi controllare quanto segue:

Non correttamente configurato

Passaggio 7: Controlla la configurazione farm di server AD FS (se applicabile)

Conferma che tutte le DLL siano presenti nei nodi secondari e successivi, come segue:

  1. Nel server AD FS, vai su C:\Windows\ADFS dove hai installato il file LastPass CustomAttributeStore.msi.
  2. Copia i seguenti file in tutte le cartelle C:\Windows\ADFS dei server secondari e successivi AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Riavvia il servizio Windows AD FS sui nodi secondari e successivi AD FS.

Problemi noti e risoluzione dei problemi addizionale

Se hai confermato che le tue configurazioni LastPass Enterprise e AD FS sono state impostate correttamente, ci sono ulteriori passaggi che puoi effettuare la risoluzione di problemi che stai affrontando.

Schermo oscurato dopo aver fatto l'accesso come utente federato

Possibili cause e come risolverle:

L'attributo personalizzato è vuoto

Possibili cause e come risolverle:

L'accesso federato non è stato abilitato nella Console di amministrazione LastPass al momento del provisioning avvenuto tramite LastPass AD Connector.

 

  1. Interrompi il servizio LastPass AD Connector.
  2. Accedi alla Console di amministrazione su https://lastpass.com/company/#!/dashboard.
  3. Nel menu di navigazione a sinistra vai su Utenti ed elimina tutti gli utenti che hanno avuto il provisioning come utenti federati.
  4. Vai su ImpostazioniAccesso federato nel menu di navigazione a sinistra.
  5. Seleziona la casella per l'opzione "Abilita".
  6. Riavvia il servizio LastPass AD Connector per effettuare il provisioning degli utenti federati.

LastPass AD Connector non è stato riavviato dopo che l'accesso federato è stato abilitato nella Console di amministrazione LastPass. Riavvia il servizio LastPass AD Connector per effettuare il provisioning degli utenti federati.

C'è una mancata corrispondenza nel nome dell'attributo personalizzato fra la Console di amministrazione LastPass e il plugin AD FS - scopri come risolvere questo problema

Errore di registro Evento Windows: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: L'Archivio attributi 'LastPassAttributeStore' non è configurato.

Scopri come risolvere questo problema:

Errore di registro Evento Windows: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: Il Relying Party Trust richiesto 'https://accounts.lastpass.com/' non è specificato o non è supportato. Se è stato specificato un relying party trust, è possibile che non tu non abbia l'autorizzazione ad accedere al trust della relying party. Contatta il tuo amministratore per i dettagli.

Scopri come risolvere questo problema:

Errore di registro Evento Windows: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: Autorizzazione del chiamante non riuscita per identità chiamante DOMAIN\USERNAME per relying party trust 'https://accounts.lastpass.com/'

Scopri come risolvere questo problema:

  • Controlla il Relying Party Trust e le Regole di Autorizzazione all'Emissione (Windows Server 2012) o il Criterio di Controllo di Accesso (Windows Server 2016) sul server AD FS.
    1. Accedi nel tuo server primario Active Directory Federation Services (AD FS.
    2. Vai sulle Impostazioni di gestione AD FS.
    3. Vai su Relazioni di trust > Relying Party Trust nel menu di navigazione a sinistra, poi segui i passaggi successivi basati sulla tua versione di server AD FS:
      • AD FS Server 3.0 – Windows Server 2012 R2
        1. Nella sezione “Trust LastPass”, nel menu di navigazione a destra, fai clic su Modifica regole attestazione...
        2. Seleziona la scheda Regole di autorizzazione rilascio e imposta i criteri che desideri.
      • AD FS Server – 4.0 Windows Server 2016
        1. Nella sezione “Trust LastPass”, nel menu di navigazione a destra, fai clic su Modifica regole controllo di accesso...
        2. Imposta i criteri che desideri.

"Contatta l'amministratore della tua azienda per assistenza” dopo aver fatto l'accesso come utente federato

Scopri come risolvere questo problema: