HELP FILE

Federatieve aanmelding met AD FS instellen voor LastPass

Accountbeheerders van LastPass Enterprise en LastPass Identity kunnen Active Directory Federation Services (AD FS) instellen en configureren zodat gebruikers het Active Directory-account van hun organisatie kunnen gebruiken zonder een tweede hoofdwachtwoord te hoeven aanmaken.

Opmerking: We adviseren standaard het gebruik van een bedrijfsbrede sleutel voor alle gebruikers, zoals beschreven in onze instellingsinstructies voor Vereenvoudigde federatieve aanmelding voor LastPass met AD FS. Voor de stappen in dit artikel is geavanceerde expertise vereist voor het configureren van Active Directory, en moet ook uw Active Directory-schema gewijzigd worden. Om onverwachte configuratieresultaten te voorkomen, adviseren we u ten sterkste de stappen te volgen die zijn beschreven in onze instructies voor vereenvoudigde AD FS-configuratie. Als u toch door wilt gaan en een unieke sleutel voor elke gebruiker wilt instellen, volgt u de instructies hieronder.

Voordat u aan de implementatie begint...

  • Controleer welke beperkingen er gelden voor federatieve gebruikersaccounts.
  • U wordt met klem geadviseerd een niet-productieomgeving voor Active Directory te maken met Federation Services om bekend te raken met AD FS voor LastPass Enterprise of LastPass Identity.
    • Neem in uw testomgeving ook een niet-productieversie op van de componenten in stap 1 (waaronder het aanmaken van een apart proefaccount voor LastPass Enterprise of LastPass Identity voor testdoeleinden). Volg de onderstaande installatiestappen eerst in uw testomgeving met de niet-productieversie van uw LastPass Enterprise- of LastPass Identity-account zodat er niet onbedoeld gebruikersgegevens verloren gaan.
  • Ook in een live-omgeving wordt u met klem geadviseerd meervoudige verificatie te implementeren voor uw gebruikers. Denk hierbij aan het volgende:
    • U moet meervoudige verificatie configureren op het niveau van de identiteitsprovider (AD FS) en niet op LastPass-niveau (via de Admin Console en/of de accountinstellingen van de eindgebruiker). Het gebruik van meervoudige verificatie voor federatieve gebruikers wordt niet ondersteund in LastPass en als gevolg daarvan zullen deze gebruikers geen toegang tot hun kluis hebben.
    • U kunt beleidsregels voor meervoudige verificatie niet afdwingen in de Admin Console in LastPass omdat deze verificatie buiten LastPass plaatsvindt, namelijk tussen uw identiteitsprovider (AD FS) en uw verificatieservice. Daarom adviseren wij een beleidsregel voor meervoudige verificatie af te dwingen in AD FS.
  • We adviseren standaard het gebruik van een bedrijfsbrede sleutel voor alle gebruikers, zoals beschreven in onze instellingsinstructies voor Vereenvoudigde federatieve aanmelding voor LastPass met AD FS. Als u de instructies in dit artikel volgt, zult u uw Active Directory-schema moeten aanpassen. Als u toch voor elke gebruiker een unieke sleutel wilt instellen, volgt u de instructies in dit artikel.

Stap 1: Controleer of de lijst met vereiste componenten volledig is

Voordat u Active Directory Federation Services kunt gaan gebruiken met LastPass Enterprise of LastPass Identity, moet u het volgende hebben geconfigureerd (zowel in niet-productieomgevingen als in live-omgevingen):

  • Een actieve LastPass Enterprise- of LastPass Identity-account met:
    • minimaal één beheerdersaccount ingeschakeld
    • minimaal zoveel licenties als gebruikers die worden gesynchroniseerd met uw Active Directory (voor zowel niet-productieomgevingen als live-omgevingen)
      Opmerking: Als u in uw niet-productieomgeving gaat testen, kunt u het beste een apart LastPass Enterprise- of LastPass Identity-testaccount instellen. Daarvoor kunt u zich hier aanmelden.
  • Active Directory-serveromgevingen (zowel niet-productie als live) die voldoen aan de volgende vereisten:
    • Beide omgevingen worden zo ingesteld en geconfigureerd dat Federation Services kan worden gebruikt (AD FS 3.0 voor Windows Server 2012 R2 of AD FS 4.0 voor Windows Server 2016 of Windows Server 2019) met de meest recente updates, waaronder .Net Framework
    • U heeft een veld met een aangepast kenmerk gemaakt (of een nieuw doel gegeven aan een bestaand beschikbaar kenmerk) dat is ingesteld als VERTROUWELIJK (hierdoor kunt u de leesmachtigingen instellen voor uitsluitend bevoegde beheerders) en u heeft gecontroleerd dat het zowel in uw niet-productieomgeving als in de live-omgeving van Active Directory vermeld staat. Voor een juiste configuratie moet de attributeSyntax van het aangepaste kenmerk staan ingesteld op 2.5.5.4 = ( NOCASE_STRING ).

      Opmerking: De naam van het aangepaste kenmerk moet uitsluitend uit alfanumerieke tekens bestaan (geen speciale tekens of spaties). De naam is bovendien hoofdlettergevoelig en moet dus precies zo worden genoteerd als in de Kenmerkeditor in Active Directory.

    • Uw firewallinstellingen zijn zo geconfigureerd dat er verbinding kan worden gemaakt met https://www.lastpass.com of https://www.lastpass.eu en de bijbehorende subdomeinen (respectievelijk *.lastpass.com en *.lastpass.eu) en u heeft gecontroleerd of deze op geen van uw AD FS-servers worden geblokkeerd door een firewallregel.
    • De AD-gebruiker die de AD FS-service uitvoert (AD FS roept het aangepaste kenmerkarchief aan, dat de K1 uitleest op het moment van aanmelding), moet machtigingen hebben voor "Toegang beheren"
  • Het beleid "Superbeheerders toestaan hoofdwachtwoorden te resetten" is ingesteld
    • De machtiging voor superbeheerders om het beleid voor hoofdwachtwoorden te resetten is ingeschakeld voor minimaal één LastPass-beheerder (die ook niet-federatieve beheerder is) in de LastPass Admin Console. Hierdoor kunnen alle LastPass-gebruikersaccounts nog hersteld worden (via het resetten van een hoofdwachtwoord) als een kritieke instelling voor federatieve aanmelding verkeerd is geconfigureerd of gewijzigd nadat de configuratie is voltooid.

Zodra u aan al deze vereisten heeft voldaan, moet u een aantal belangrijke gegevens vastleggen tijdens het installatieproces.  Open een teksteditor en maak de volgende velden aan:

  • Aangepast kenmerk Active Directory:
  • URL identiteitsprovider:
  • Openbare sleutel identiteitsprovider:
  • URL serviceprovider:

Stap 2: URL en openbare sleutel van identiteitsprovider vastleggen

Vervolgens moet u inloggen bij uw Active Directory Federation Services-server (AD FS) en de volledige URL van uw identiteitsprovider (naam Federation Service en URL-pad tokenuitgifte eindpunt) en de openbare sleutel van de identiteitsprovider opvragen.

URL identiteitsprovider

  1. Meld u aan bij uw Active Directory Federation Services-server (AD FS) en start het AD FS-beheerprogramma.
  2. Klik met de rechtermuisknop op Service > Eigenschappen van de Federation Service bewerken.
  3. Ga naar het tabblad Algemeen, kopieer de URL in het veld met de naam Naam Federation-service (bijv. fs.fabrikam.com) en plak die in een teksteditor. Zorg dat de naam van de Federation-service die u in uw teksteditor invoert, begint met "https://", zoals vereist voor een veilig protocol (bijv. https://fs.fabrikam.com).

Naam Federation-service kopiëren

URL-pad tokenuitgifte eindpunt

  1. Ga in het beheerprogramma voor AD FS naar ServiceEindpunten.
  2. Zoek in het gedeelte Tokenuitgifte de vermelding SAML 2.0/WS-Federation in de kolom "Type" (adfs/ls is bijv. het standaardpad, maar dit kan variëren afhankelijk van uw omgeving).
  3. Kopieer de waarde in het veld URL-pad en plak het in een teksteditor aan het eind van het URL-pad van de identiteitsprovider, zodat dit er zo uitziet: https:// + . Deze drie componenten samen vormen dan de volledige URL uw identiteitsprovider, bijvoorbeeld: https://fs.fabrikam.com/adfs/ls.

URL-pad tokenuitgifte AD FS-eindpunt kopiëren

Openbare sleutel identiteitsprovider

  1. Ga in het beheerprogramma voor AD FS naar ServiceCertificaten.
  2. Klik met de rechtermuisknop op Certificaat voor token-ondertekening en selecteer Certificaat weergeven.
  3. Klik op het tabblad Details en klik om Openbare sleutel te selecteren.
  4. Markeer en kopieer in het gedeelte daaronder de volledige openbare sleutel en plak deze in een teksteditor.

Nadat u de URL van de identiteitsprovider en de openbare sleutel van de identiteitsprovider heeft vastgelegd in een teksteditor, kunt u verder naar de volgende stap.

Openbare sleutel uit details van eigenschappen Certificaat voor token-ondertekening

Extra stap voor AD FS-farmomgevingen

  • Controleer of elke AD FS-node hetzelfde certificaat voor token-ondertekening heeft.

Stap 3: Instellingen federatieve aanmelding voor LastPass Enterprise of LastPass Identity configureren

Als u de Active Directory Connector voor LastPass al heeft geïnstalleerd, moet u deze service stoppen en de ADC-toepassing sluiten. U moet deze tijdens een volgende stap starten.

Nu u alle benodigde informatie heeft opgevraagd, kunt u uw instellingen voor federatieve aanmelding voor LastPass Enterprise of LastPass Identity als volgt configureren:

  1. Meld u aan en open de Admin Console:
  2. Ga naar InstellingenFederatieve aanmelding in het navigatiegedeelte links.
  3. Plak in het veld URL provider de volledige URL van uw identiteitsprovider (https:// + naam Federation-service + URL-pad tokenuitgifte eindpunt) die u in stap 2 heeft opgevraagd.
  4. Plak in het veld Openbare sleutel de openbare sleutel van uw identiteitsprovider die u in stap 2 heeft opgevraagd.
  5. Zodra alle velden in beide gedeelten zijn bijgewerkt, wordt er in het gedeelte "AD FS configureren" een selectievakje "Ingeschakeld" weergegeven. Schakel het selectievakje in bij de optie Ingeschakeld.
  6. Klik op Instellingen opslaan.
  7. Na het opslaan wordt automatisch het onderstaande veld URL serviceprovider gegenereerd. Kopieer de URL van uw serviceprovider en plak die in een teksteditor.
  8. Voeg in het gedeelte "AD-connector configureren" de naam van het aangepaste kenmerk toe (dat u heeft gemaakt of een nieuw doel heeft gegeven en geconfigureerd in stap 1 ) en klik vervolgens op Opslaan.

Stap 4: De LastPass Active Directory Connector installeren

Tip: Creëer een kleine controlegroep van gebruikers in Active Directory die u in eerste instantie voor de onderstaande stappen kunt gebruiken.
  1. Installeer de LastPass Active Directory Connector (instructies hier). Als de LastPass AD-connector al geïnstalleerd is, moet u de toepassing opnieuw starten voordat u verder gaat met het wijzigen van de instellingen.
  2. Configureer de LastPass Active Directory Connector via ActiesWanneer een gebruiker wordt gedetecteerd in Active Directory > Automatisch gebruiker maken in LastPass. U moet dit configureren in uw niet-productie- en live-omgevingen. Deze optie moet geselecteerd worden zodat er federatieve gebruikers kunnen worden gemaakt via AD FS. Daarnaast:
    • De AD-gebruiker die de LastPass AD-connector uitvoert, moet machtigingen hebben voor "Toegang beheren".
    • Configureer minimaal één groep die met LastPass gesynchroniseerd moet worden – het is raadzaam voor testdoeleinden te beginnen met een kleine controlegroep van enkele gebruikers
  3. Nadat alle configuraties voltooid zijn, selecteert u het tabblad Home in het navigatiegedeelte links in de LastPass AD-connector en schakelt u het selectievakje bij Enable sync (Synchronisatie inschakelen) in om de synchronisatie te starten.
  4. Meld u aan en open de Admin Console:
  5. Ga naar Gebruikers in het menu links. U ziet de vermeldingen voor uw gebruikers verschijnen terwijl ze uit uw Active Directory gesynchroniseerd worden. Federatieve gebruikers worden weergegeven met een asterisk (*) voor hun gebruikersnaam (bijv. *john.doe@acme.com).
  6. Controleer in uw Active Directory of het aangepaste kenmerk (uit stap 1 gedeelte "Active Directory-serveromgevingen") voor ten minste één gesynchroniseerde federatieve LastPass-gebruiker is ingevuld door de Active Directory Connector en als willekeurige tekenreeks wordt weergegeven.
    • Aangepast kenmerk aanwezig in Active Directory = geslaagd – Dit bevestigt dat de Active Directory Connector schrijftoegang voor het aangepaste kenmerk heeft voor alle federatieve gebruikers – ga verder naar stap 5 om uw aangepaste kenmerk te registreren .
    • Aangepast kenmerk is leeg in Active Directory = mislukt – Dit betekent dat de Active Directory Connector het aangepaste kenmerk niet naar Active Directory kan schrijven omdat de AD-gebruiker die de LastPass Active Directory Connector uitvoert, geen machtiging heeft voor "Toegang beheren". Dit gaan we corrigeren.
      1. De AD-gebruiker moet de service stoppen en de LastPass Active Directory Connector-toepassing sluiten.
      2. Meld u aan en open de Admin Console:
      3. Ga naar Gebruikers in het navigatiegedeelte links en selecteer alle nieuw toegevoegde federatieve gebruikers (aangegeven met een asterisk).
      4. Klik op het pictogram Meer Drie puntjes rechtsboven, klik op Geselecteerde gebruikers verwijderen en bevestig uw keuze (deze hebben allemaal een lege waarde voor het aangepaste kenmerk).
      5. Geef in Active Directory de machtiging voor "Toegang beheren" aan de gebruiker die de LastPass Active Directory Connector gaat uitvoeren.
      6. De AD-gebruiker kan nu de LastPass Active Directory Connector-toepassing opnieuw starten en de service starten.
      7. Controleer nogmaals in uw Active Directory of het aangepaste kenmerk aanwezig is voor een van de gesynchroniseerde federatieve LastPass-gebruikers.

Stap 5: Uw aangepaste kenmerk registreren bij LastPass

U moet nu het aangepaste kenmerk (dat u heeft gemaakt of opnieuw heeft toegewezen en geconfigureerd in stap 1 ) registreren bij LastPass door het installatieprogramma van de AD FS-invoegtoepassing uit te voeren op uw AD FS-server.

Opmerking: De naam van het aangepaste kenmerk moet uitsluitend uit alfanumerieke tekens bestaan (geen speciale tekens of spaties). De naam is bovendien hoofdlettergevoelig en moet dus precies zo worden genoteerd als in de Kenmerkeditor in Active Directory.

  1. Meld u aan en open de Admin Console:
  2. Ga in het menu links naar InstellingenFederatieve aanmelding.
  3. Klik in het gedeelte "LastPass-store voor aangepaste kenmerken" onder aan de pagina op Downloaden voor AD FS Server 3.0 (voor Windows Server 2012 R2) of Downloaden voor AD FS Server 4.0 (voor Windows Server 2016 of Windows Server 2019) en sla het .MSI-bestand van LastPass op.
  4. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS) en kopieer het .MSI-bestand naar het bureaublad van uw AD FS-server. Klik met de rechtermuisknop op het bestand en selecteer Uitvoeren als beheerder of voer het MSI-installatieprogramma uit vanuit een opdrachtprompt met verhoogde bevoegdheid. Klik op Ja als u daarom wordt gevraagd door Gebruikersaccountbeheer.
    Opmerking: Het MSI-installatieprogramma van de AD FS-invoegtoepassing moet worden uitgevoerd als beheerder of met verhoogde bevoegdheid, ook als u als domeinbeheerder bent aangemeld.
  5. Klik op Volgende.
  6. Voer de URL van uw LastPass Enterprise- of LastPass Identity-serviceprovider in (uit stap 3, handeling 6 ), voer de waarde van uw aangepaste kenmerk in (uit stap 1 ) en klik op Volgende.
  7. Klik op Voltooien wanneer de registratie voltooid is.
  8. Start de Windows-service AD FS opnieuw. Deze handeling is vereist.

Configuratie AD FS-invoegtoepassing

Extra stappen voor AD FS-farmomgevingen:

  1. Ga op de AD FS-server naar C:\Windows\ADFS, de locatie waar u het .MSI-bestand van LastPass heeft geïnstalleerd.
  2. Kopieer de volgende bestanden naar de map C:\Windows\ADFS op alle secundaire AD FS-servers:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Start de Windows-service AD FS opnieuw op de secundaire AD FS-knooppunten. Deze handeling is vereist.

Stap 6: Wijzigingen in toegangsbeheerbeleid toepassen

Het aangepaste LastPass-kenmerk heeft de Vertrouwensrelatie "LastPass Trust" van de relying party op uw AD FS-server(s) geïnstalleerd.

  1. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS).
  2. Ga naar de AD FS-beheerinstellingen.
  3. Ga in het navigatiegedeelte links naar Vertrouwensrelaties > Vertrouwensrelatie van de relying party en volg de onderstaande instructies, afhankelijk van de versie van uw AD FS-server:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Claimregels bewerken....
      2. Selecteer het tabblad Autorisatieregels voor uitgifte en stel de gewenste regel in. Hiermee wordt geregeld hoe gebruikers worden geverifieerd wanneer ze zich aanmelden bij LastPass via federatieve aanmelding met AD FS.
    • AD FS Server 4.0 – Windows Server 2016 of Windows Server 2019
      1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Toegangsbeheerbeleid bewerken....
      2. Stel de gewenste beleidsregel in. Hiermee wordt geregeld hoe gebruikers worden geverifieerd wanneer ze zich aanmelden bij LastPass via federatieve aanmelding met AD FS.

Dat was het!

U heeft nu Active Directory Federation Services (AD FS) ingesteld voor uw LastPass Enterprise- of LastPass Identity-account. Al uw nieuw ingevulde federatieve gebruikers ontvangen een welkomstmail waarin ze geïnformeerd worden dat ze zich nu bij LastPass kunnen aanmelden en LastPass kunnen gebruiken.