HELP FILE

Risoluzione dei problemi di accesso federato per Active Directory Federation Services (AD FS)

Se hai problemi dopo aver impostato l'ambiente LastPass Enterprise o LastPass Identity per usare Active Directory Federation Services (AD FS), puoi seguire i passaggi qui sotto per controllare la correttezza delle tue impostazioni di configurazione ed eseguire una risoluzione dei problemi basilare. Accertati di eseguire i seguenti controlli nell'ordine prescritto.

Passaggio 1: Controlla gli Windows aggiornamenti e le versioni dei componenti LastPass

Controlla se vi siano aggiornamenti disponibili e installa le versioni più recenti dei seguenti:

  • Aggiornamenti Windows Server (compresa la versione più recente di .Net Framework)
  • LastPass Active Directory Connector deve eseguire la versione 1.2.652 o successiva – Aggiorna ora o apri LastPass AD Connector, poi vai in Home > Controlla aggiornamenti.
  • L'estensione browser di LastPass deve eseguire la versione più recente disponibile – Aggiorna ora

Passaggio 2: Controlla le impostazioni del tuo firewall

L'Archivio attributi personalizzati deve essere in grado di comunicare con le API LastPass, e ciò significa che il (i) server AD FS devono essere in grado di raggiungere *.lastpass.com.

  • Apri un browser nel tuo (tuoi) server AD FS e vai all'indirizzo https://lastpass.com. Se non è raggiungibile, devi inserire nell'elenco dei domini consentiti nel tuo firewall il dominio *.lastpass.com.
Nota:  Se il tuo ambiente è un farm di server AD FS con nodi primari e secondari, accertati che il dominio *.lastpass.com sia fra i domini consentiti in tutte le macchine.

Passaggio 3: Controlla le tue autorizzazioni di utente AD

Ci sono due utenti, nell'ambiente Active Directory, che devono avere l'accesso a lettura e scrittura dell'attributo personalizzato:

  • L'utente AD che esegue LastPass AD Connector (che inserisce i valori nell'attributo personalizzato al momento del provisioning)
  • L'utente AD che esegue il servizio AD FS (AD FS chiama l'Archivio Attributi personalizzati, che legge l'attributo personalizzato al momento dell'accesso)

Entrambi gli utenti devono avere l'autorizzazione "CONTROL ACCESS" (CONTROLLA ACCESSO) per poter accedere a un attributo personalizzato contrassegnato come RISERVATO. Se gli utenti non hanno questa autorizzazione, la si deve impostare. Puoi controllare le tue autorizzazioni utente in uno dei seguenti modi:

Utilizzando lo strumento LDP

I sistemi operativi di Windows Server hanno uno strumento integrato che ti permette di controllare le autorizzazioni dei tuoi utenti AD in base alla loro appartenenza di gruppo.

  • Nel tuo server Active Directory, esegui ldp.exe e conferma che il gruppo assegnato dell'utente AD abbia il "CONTROL ACCESS" (CONTROLLA ACCESSO) abilitato.

Utilizzando il comando dsacls

Puoi eseguire il comando "distinguishedName dell'attributo personalizzato" per controllare le autorizzazioni dei tuoi utenti AD:

  1. Nel server Active Directory esegui il Prompt dei comandi come amministratore.
  2. Inserisci il seguente comando: dsacls
  3. Conferma che l'autorizzazione "CONTROL ACCESS" (CONTROLLA ACCESSO) sia stata assegnata.

Passaggio 4: Controlla che il plugin AD FS sia stato installato e registrato con il corretto valore di attributo personalizzato

Se il plugin AD FS è stato installato correttamente, potrai trovare LastPassAttributeStore elencato.

  1. Nel tuo server AD FS, apri lo strumento di Gestione Server AD FS.
  2. Vai a AD FSServizioArchivi Attributi.
  3. Controlla se è elencato LastPassAttributeStore.

ATTENZIONE!Se non riesci a trovare l'Archivio attributi, significa che l'installazione non è riuscita. Reinstalla il plugin AD FS e conferma che il nome dell'attributo personalizzato e la versione siano entrambi corretti.

  1. Disinstalla LastPassAttributeStore.msi.
  2. Accedi alla Console di amministrazione su https://lastpass.com/company/#!/dashboard.
  3. Vai a ImpostazioniAccesso federato nel menu a sinistra.
  4. Conferma che il nome dell'attributo personalizzato sia corretto.
  5. Nella sezione "Archivio attributi personalizzati LastPass" in fondo alla pagina, fai clic su Scarica per ADFS Server 3.0 (per Windows Server 2012 R2) o Scarica per ADFS Server 4.0 (per Windows Server 2016) e salva il file LastPass CustomAttributeStore.msi.
  6. Accedi al tuo server principale Active Directory Federation Services (AD FS) poi trasferisci il file CustomAttributeStore.msi nel desktop del tuo server AD FS e fai doppio clic su di esso per avviarlo.
  7. Fai clic su Avanti.
  8. Inserisci l'URL del tuo Fornitore di servizi LastPass Enterprise, poi inserisci il valore del tuo attributo personalizzato e fai clic su Avanti.
  9. Una volta completata la registrazione, fai clic su Fine.
  10. Riavvia il servizio Windows AD FS. Si tratta di un passaggio obbligatorio.

Passaggio 5: Controlla la configurazione dell'attributo personalizzato

Puoi utilizzare lo strumento ADSI Edit per controllare le proprietà del tuo attributo personalizzato per confermare che sia stato configurato correttamente.

  1. Nel server Active Directory esegui il Prompt dei comandi come amministratore.
  2. Inserisci il seguente comando: adsiedit.msc
    Nota:Se lo strumento ADSI Edit non è disponibile, puoi registrarlo aprendo il Prompt dei comandi come amministratore ed eseguendo i seguenti comandi: regsvr32 adsiedit.dll poi adsiedit.msc
  3. Connettiti al "Contesto dei nomi conosciuto": Schema.
  4. Individua l'attributo personalizzato e apri Proprietà.
  5. Individua i seguenti attributi, i loro valori dovrebbero corrispondere a quanto segue (come mostrato qui sotto):
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Correttamente configurato

ATTENZIONE! Se l'attributo searchFlags non è configurato come RISERVATO (p.es., visualizzato come INDICE) allora devi configurarlo come RISERVATO.

Non correttamente configurato

Passaggio 6: Controlla che l'attributo personalizzato sia stato compilato

Conferma che LastPass ASD Connector abbia configurato correttamente l'attributo personalizzato.

  1. Accedi al tuo server Active Directory.
  2. Apri lo strumento di gestione di utenti e computer di Active Directory.
  3. Vai a Visualizza e accertati che Funzioni avanzate sia abilitato o fai clic sull'opzione del menu Funzioni avanzate per abilitarla.
  4. Nel menu di navigazione a sinistra vai a Utenti.
  5. Fai clic destro su un utente, poi fai clic su Proprietà.
  6. Fai clic sulla scheda Editori di attributo.
  7. Individua l'attributo personalizzato che hai creato (p.es., LastPassK1) e conferma che è stato impostato un valore (come mostrato qui sotto).

Correttamente configurato

Editor di Attributi che visualizza l'attributo personalizzato

ATTENZIONE! Se il valore dell'attributo personalizzato è (come mostrato qui sotto) allora devi controllare quanto segue:

Non correttamente configurato

Passaggio 7: Controlla la configurazione farm di server AD FS (se applicabile)

Conferma che tutte le DLL siano presenti nei nodi secondari e successivi, come segue:

  1. Nel server AD FS, vai in C:\Windows\ADFS dove hai installato il file LastPass CustomAttributeStore.msi.
  2. Copia i seguenti file in tutte le cartelle C:\Windows\ADFS dei server secondari e successivi AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Riavvia il servizio Windows AD FS sui nodi secondari e successivi AD FS.

Problemi noti e risoluzione dei problemi addizionale

Se hai confermato che le tue configurazioni LastPass Enterprise e AD FS sono state impostate correttamente, ci sono ulteriori passaggi che puoi effettuare la risoluzione di problemi che stai affrontando.

Schermo oscurato dopo aver fatto l'accesso come utente federato

Possibili cause e come risolverle:

L'attributo personalizzato è vuoto

Possibili cause e come risolverle:

L'accesso federato non è stato abilitato nella Console di amministrazione LastPass al momento del provisioning avvenuto tramite LastPass AD Connector.

  1. Interrompi il servizio LastPass AD Connector.
  2. Accedi alla Console di amministrazione su https://lastpass.com/company/#!/dashboard.
  3. Nel menu di navigazione a sinistra vai a Utenti ed elimina tutti gli utenti che hanno avuto il provisioning come utenti federati.
  4. Vai a ImpostazioniAccesso federato nel menu di navigazione a sinistra.
  5. Seleziona la casella per l'opzione "Abilita".
  6. Riavvia il servizio LastPass AD Connector per effettuare il provisioning degli utenti federati.

LastPass AD Connector non è stato riavviato dopo che l'accesso federato è stato abilitato nella Console di amministrazione LastPass. Riavvia il servizio LastPass AD Connector per effettuare il provisioning degli utenti federati.

C'è una mancata corrispondenza nel nome dell'attributo personalizzato fra la Console di amministrazione LastPass e il plugin AD FS - scopri come risolvere questo problema

Errore di registro Evento Windows: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: L'Archivio attributi 'LastPassAttributeStore' non è configurato.

Scopri come risolvere questo problema:

Errore registro eventi Windows: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: Il Relying Party Trust richiesto ' https://accounts.lastpass.com/' non è specificato o non è supportato. Se è stato specificato un relying party trust, è possibile che non tu non abbia l'autorizzazione ad accedere al trust della relying party. Contatta il tuo amministratore per i dettagli.

Scopri come risolvere questo problema:

Errore di registro Evento Windows: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: Autorizzazione del chiamante non riuscita per identità chiamante DOMAIN\USERNAME per relying party trust 'https://accounts.lastpass.com/'

Scopri come risolvere questo problema:

  • Controlla Relying Party Trust (Attendibilità del componente) e Issuance Autorization Rules (Regole di autorizzazione rilascio) (Windows Server 2012) o i Criteri di controllo di accesso (Windows Server 2016) sul server AD FS.
    1. Accedi nel tuo server primario Active Directory Federation Services (AD FS).
    2. Vai alle Impostazioni di gestione di AD FS.
    3. Vai a Trust Relationships (Relazioni di trust) > Relying Party Trust (Attendibilità del componente) nel menu di navigazione a sinistra, poi segui i passaggi successivi basati sulla tua versione server di AD FS:
      • AD FS Server 3.0 – Windows Server 2012 R2
        1. Nella sezione "Trust LastPass", nel menu di navigazione a destra, fai clic su Edit Claim Rules...(Modifica regole attestazione)
        2. Seleziona la scheda Issuance Authorization Rules (Regole di autorizzazione rilascio) e imposta la regola che desideri.
      • AD FS Server – 4.0 Windows Server 2016
        1. Nella sezione "Trust LastPass" (Considera attendibile LastPass), nel menu di navigazione a destra, fai clic su Edit Acces Control Policy... (Modifica criteri di controllo di accesso...)
        2. Imposta i criteri che desideri.

"Contatta l'amministratore LastPass della tua organizzazione per assistenza" dopo aver effettuato l'accesso come utente federato