HELP FILE

Federation Services (AD FS) voor LastPass Enterprise instellen

Accountbeheerders van LastPass Enterprise kunnen Active Directory Federation Services (AD FS) instellen zodat gebruikers de aanmeldingsgegevens van hun organisatie voor Active Directory kunnen gebruiken zonder een tweede hoofdwachtwoord te hoeven aanmaken.

Voordat u aan de implementatie begint...

  • Controleer welke beperkingen er gelden voor federatieve gebruikersaccounts.
  • U wordt geadviseerd een niet-productieomgeving voor Active Directory te maken met Federation Services om bekend te raken met AD FS voor LastPass Enterprise.
    • Neem in uw testomgeving ook een niet-productieversie op van de componenten in stap 1 (waaronder het maken van een aparte LastPass Enterprise-proefaccount voor testdoeleinden). Volg de onderstaande installatiestappen eerst in uw testomgeving met de niet-productieversie van uw LastPass Enterprise-account zodat er niet onbedoeld gebruikersgegevens verloren gaan.
  • Ook wordt u geadviseerd meervoudige verificatie te implementeren voor uw gebruikers. Denk hierbij aan het volgende:
    • U moet meervoudige verificatie configureren op het niveau van de identiteitsprovider (AD FS) en niet op LastPass-niveau (via de Admin Console en/of de accountinstellingen van de eindgebruiker). Het gebruik van meervoudige verificatie voor federatieve gebruikers wordt niet ondersteund in LastPass en als gevolg daarvan zullen deze gebruikers geen toegang tot hun kluis hebben.
    • U kunt beleidsregels voor meervoudige verificatie niet afdwingen in de Admin Console in LastPass omdat deze verificatie buiten LastPass plaatsvindt, namelijk tussen uw identiteitsprovider (AD FS) en uw verificatieservice. Daarom adviseren wij een beleidsregel voor meervoudige verificatie af te dwingen in AD FS.

Stap 1: Controleer of de lijst met vereiste componenten volledig is

Voordat u Active Directory Federation Services kunt gaan gebruiken met LastPass Enterprise, moet u het volgende hebben geconfigureerd (zowel in niet-productieomgevingen als in live-omgevingen):

  • Een actieve LastPass Enterprise-account met:
    • Minimaal één beheerdersaccount ingeschakeld
    • Een aantal seats dat overeenkomt met het aantal gebruikers (of dit aantal overschrijdt), dat wordt gesynchroniseerd met uw Active Directory (voor zowel niet-productieomgevingen als live-omgevingen) Opmerking: Als u in uw niet-productieomgeving gaat testen, kunt u het beste een aparte LastPass-testaccount instellen. Daarvoor kunt u zich hier aanmelden.
  • Active Directory-serveromgevingen (zowel niet-productie als live) die voldoen aan de volgende vereisten:
    • Beide omgevingen worden zo ingesteld en geconfigureerd dat Federation Services kan worden gebruikt (AD FS 3.0 of AD FS 4.0 op Windows Server 2012 R2 of Windows Server 2016 met de meest recente updates, waaronder .Net Framework)
    • U heeft een veld met een aangepast kenmerk gemaakt (of een nieuw doel gegeven aan een bestaand beschikbaar kenmerk) dat is ingesteld als VERTROUWELIJK (hierdoor kunt u de leesmachtigingen instellen voor uitsluitend bevoegde beheerders) en u heeft gecontroleerd dat het zowel in uw niet-productieomgeving als in de live-omgeving van Active Directory vermeld staat. Voor een juiste configuratie moet de attributeSyntax van het aangepaste kenmerk staan ingesteld op 2.5.5.4 = ( NOCASE_STRING ).
    • Opmerking: De naam van het aangepaste kenmerk mag uitsluitend bestaan uit alfanumerieke tekens (geen speciale tekens of spaties). De naam is bovendien hoofdlettergevoelig en moet dus precies zo worden genoteerd als in de Kenmerkeditor in Active Directory.

    • Uw firewallinstellingen zijn zo geconfigureerd dat er verbinding met https://www.lastpass.com en de bijbehorende subdomeinen kan worden gemaakt (*.lastpass.com) en u heeft gecontroleerd of deze op geen van uw AD FS-servers worden geblokkeerd door een firewallregel.
    • De AD-gebruiker die de AD FS-service uitvoert (AD FS roept het aangepaste kenmerkarchief aan, dat de K1 uitleest op het moment van aanmelding), moet machtigingen hebben voor "Toegang beheren"
  • Beleid "Superbeheerder - Hoofdwachtwoord wijzigen" ingeschakeld
    • Dit beleid moet zijn ingeschakeld op zowel niet-productieversies als live-versies van uw LastPass Enterprise-accounts (zodat u het hoofdwachtwoord van een gebruiker kunt resetten) – voor federatieve gebruikers is het resetten van het hoofdwachtwoord de enige manier om ze om te zetten naar een niet-federatieve gebruikersstatus, aangezien het hoofdwachtwoord niet langer overeenkomt met het hoofdwachtwoord dat in Active Directory is opgeslagen – meer informatie

Zodra u aan al deze vereisten heeft voldaan, moet u een aantal belangrijke gegevens vastleggen tijdens het installatieproces.  Open een teksteditor en maak de volgende velden aan:

  • Aangepast kenmerk Active Directory
  • URL identiteitsprovider
  • Openbare sleutel identiteitsprovider
  • URL serviceprovider

Nadat deze velden zijn aangemaakt in uw teksteditor gaat u verder met de volgende stap.

Stap 2: URL en openbare sleutel van identiteitsprovider vastleggen

Vervolgens moet u inloggen bij uw Active Directory Federation Services-server (AD FS) en de volledige URL van uw identiteitsprovider (naam Federation Service en URL-pad tokenuitgifte eindpunt) en de openbare sleutel van de identiteitsprovider opvragen.

URL identiteitsprovider:

  1. Meld u aan bij uw Active Directory Federation Services-server (AD FS) en start het AD FS-beheerprogramma.
  2. Klik met de rechtermuisknop op Service > Eigenschappen van de Federation Service bewerken.
  3. Ga naar het tabblad Algemeen, kopieer de URL in het veld met de naam Naam Federation-service (bijv. fs.fabrikam.com) en plak die in een teksteditor. Zorg dat de naam van de Federation-service die u in uw teksteditor invoert, begint met "https://", zoals vereist voor een veilig protocol (bijv. https://fs.fabrikam.com).

Naam Federation-service kopiëren

URL-pad tokenuitgifte eindpunt:

  1. Ga in het beheerprogramma voor AD FS naar ServiceEindpunten.
  2. Zoek in het gedeelte Tokenuitgifte de vermelding SAML 2.0/WS-Federation in de kolom "Type" (adfs/ls is bijv. het standaardpad, maar dit kan variëren afhankelijk van uw omgeving).
  3. Kopieer de waarde in het veld URL-pad en plak het in een teksteditor aan het eind van het URL-pad van de identiteitsprovider, zodat dit er zo uitziet: https:// <naam Federation-service> + <URL-pad tokenuitgifte eindpunt>. Deze drie componenten samen vormen dan de volledige URL uw identiteitsprovider, bijvoorbeeld: https://fs.fabrikam.com/adfs/ls.

URL-pad tokenuitgifte AD FS-eindpunt kopiëren

Openbare sleutel identiteitsprovider:

  1. Ga in het beheerprogramma voor AD FS naar ServiceCertificaten.
  2. Klik met de rechtermuisknop op Certificaat voor token-ondertekening en selecteer Certificaat weergeven.
  3. Klik op het tabblad Details en klik om Openbare sleutel te selecteren.
  4. Markeer en kopieer in het gedeelte daaronder de volledige openbare sleutel en plak deze in een teksteditor.

Nadat u de URL van de identiteitsprovider en de openbare sleutel van de identiteitsprovider heeft vastgelegd in een teksteditor, kunt u verder naar de volgende stap.

Openbare sleutel uit details van eigenschappen Certificaat voor token-ondertekening

Extra stap voor AD FS-farmomgevingen:

  • Controleer of elke AD FS-node hetzelfde certificaat voor token-ondertekening heeft.

Stap 3: Instellingen federatieve aanmelding voor LastPass Enterprise configureren

Als u de Active Directory Connector voor LastPass al heeft geïnstalleerd, moet u deze service stoppen en de ADC-toepassing sluiten. U moet deze tijdens een volgende stap starten.

Nu u alle benodigde informatie heeft opgevraagd, kunt u uw instellingen voor federatieve aanmelding voor LastPass Enterprise als volgt configureren:

  1. Meld u aan en open de Admin Console via https://lastpass.com/company/#!/dashboard.
  2. Ga naar InstellingenFederatieve aanmelding in het navigatiegedeelte aan de linkerkant.
  3. Plak in het veld URL provider de volledige URL van uw identiteitsprovider (https:// + naam Federation-service + URL-pad tokenuitgifte eindpunt) die u in stap 2 heeft opgevraagd.
  4. Plak in het veld Openbare sleutel de openbare sleutel van uw identiteitsprovider die u in stap 2 heeft opgevraagd.
  5. Klik op Instellingen opslaan.
  6. Na het opslaan wordt automatisch het onderstaande veld URL serviceprovider gegenereerd. Kopieer de URL van uw serviceprovider en plak die in een teksteditor.
  7. Zet de naam van het aangepaste kenmerk (dat u heeft gemaakt of een nieuw doel heeft gegeven en geconfigureerd in stap 1) in het gedeelte "AD-connector configureren" en klik op Opslaan.
  8. Zodra alle velden in beide gedeelten zijn bijgewerkt, wordt er in het gedeelte "AD FS configureren" een selectievakje "Ingeschakeld" weergegeven.

Configuratie federatief aanmelden in Enterprise Admin Console

Stap 4: De LastPass Active Directory Connector installeren

TIP! Creëer een kleine controlegroep van gebruikers in Active Directory die u in eerste instantie voor de onderstaande stappen kunt gebruiken.

  1. Installeer de LastPass Active Directory Connector of (als deze al geïnstalleerd is) open de toepassing.
  2. Configureer de LastPass Active Directory Connector via ActiesWanneer een gebruiker wordt gedetecteerd in Active Directory > Automatisch gebruiker maken in LastPass. U moet dit configureren in uw niet-productie- en live-omgevingen. Deze optie moet geselecteerd worden zodat er federatieve gebruikers kunnen worden gemaakt via AD FS. Daarnaast:
    • De AD-gebruiker die de LastPass AD-connector uitvoert, moet machtigingen hebben voor "Toegang beheren".
    • Configureer minimaal één groep die met LastPass gesynchroniseerd moet worden – het is raadzaam voor testdoeleinden te beginnen met een kleine controlegroep van enkele gebruikers
  3. Nadat alle configuraties voltooid zijn, gaat u naar het tabblad Home in het navigatiegedeelte links van de LastPass AD-connector en schakelt u het selectievakje in bij Synchronisatie inschakelen om de synchronisatie te starten.
  4. Meld u aan en open de Admin Console via https://lastpass.com/company/#!/dashboard.
  5. Ga naar Gebruikers in het menu links. U ziet de vermeldingen voor uw gebruikers verschijnen terwijl ze uit uw Active Directory gesynchroniseerd worden. Federatieve gebruikers worden weergegeven met een asterisk (*) voor hun gebruikersnaam (bijv. *john.doe@acme.com).
  6. Controleer in uw Active Directory of het aangepaste kenmerk (uit stap 1 gedeelte "Active Directory-serveromgevingen") voor ten minste één gesynchroniseerde federatieve LastPass-gebruiker is ingevuld door de Active Directory Connector en als willekeurige tekenreeks wordt weergegeven.
    • Aangepast kenmerk aanwezig in Active Directory = geslaagd – Dit bevestigt dat de Active Directory Connector schrijftoegang voor het aangepaste kenmerk heeft voor alle federatieve gebruikers – ga verder naar stap 5 om uw aangepaste kenmerk te registreren.
    • Aangepast kenmerk is leeg in Active Directory = mislukt – Dit betekent dat de Active Directory Connector het aangepaste kenmerk niet naar Active Directory kan schrijven omdat de AD-gebruiker die de LastPass Active Directory Connector uitvoert, geen machtiging heeft voor "Toegang beheren".
      Dit gaan we corrigeren.
      1. De AD-gebruiker moet de service stoppen en de LastPass Active Directory Connector-toepassing sluiten.
      2. Meld u aan en open de LastPass Admin Console op https://lastpass.com/company/#!/dashboard.
      3. Ga naar Gebruikers in het navigatiegedeelte links en selecteer alle nieuw toegevoegde federatieve gebruikers (aangegeven met een asterisk).
      4. Klik op het pictogram Meer Drie puntjes rechtsboven, klik op Geselecteerde gebruikers verwijderen en bevestig uw keuze (deze hebben allemaal een lege waarde voor het aangepaste kenmerk).
      5. Geef in Active Directory de machtiging voor "Toegang beheren" aan de gebruiker die de LastPass Active Directory Connector gaat uitvoeren.
      6. De AD-gebruiker kan nu de LastPass Active Directory Connector-toepassing opnieuw starten en de service starten.
      7. Controleer nogmaals in uw Active Directory of het aangepaste kenmerk aanwezig is voor een van de gesynchroniseerde federatieve LastPass-gebruikers.

Stap 5: Uw aangepaste kenmerk registreren bij LastPass

U moet nu het aangepaste kenmerk (dat u heeft gemaakt of opnieuw heeft toegewezen en geconfigureerd in stap 1) registreren bij LastPass door het installatieprogramma van de AD FS-invoegtoepassing uit te voeren op uw AD FS-server.

Opmerking: De naam van het aangepaste kenmerk mag uitsluitend bestaan uit alfanumerieke tekens (geen speciale tekens of spaties). De naam is bovendien hoofdlettergevoelig en moet dus precies zo worden genoteerd als in de Kenmerkeditor in Active Directory.

  1. Meld u aan en open de Admin Console via https://lastpass.com/company/#!/dashboard.
  2. Ga in het menu links naar InstellingenFederatieve aanmelding.
  3. Klik in het gedeelte "LastPass-store voor aangepaste kenmerken" onder aan de pagina op Downloaden voor ADFS Server 3.0 (voor Windows Server 2012 R2) of Downloaden voor ADFS Server 4.0 (voor Windows Server 2016) en sla het .MSI-bestand van LastPass op.
  4. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS) en kopieer het .MSI-bestand naar het bureaublad van uw AD FS-server. Dubbelklik op het bestand om het uit te voeren.
  5. Klik op Volgende.
  6. Voer de URL van uw LastPass Enterprise-serviceprovider in (uit stap 3, handeling 6), voer de waarde van uw aangepaste kenmerk in (uit stap 1) en klik op Volgende.
  7. Klik op Voltooien wanneer de registratie voltooid is.
  8. Start de Windows-service AD FS opnieuw. Deze handeling is vereist.

Configuratie AD FS-invoegtoepassing

Extra stappen voor AD FS-farmomgevingen:

  1. Ga op de AD FS-server naar C:\Windows\ADFS, de locatie waar u het .MSI-bestand van LastPass heeft geïnstalleerd.
  2. Kopieer de volgende bestanden naar de map C:\Windows\ADFS op alle secundaire AD FS-servers:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Start de Windows-service AD FS opnieuw op de secundaire AD FS-knooppunten. Deze handeling is vereist.

Stap 6: Wijzigingen in toegangsbeheerbeleid toepassen

Het aangepaste LastPass-kenmerk heeft de Vertrouwensrelatie "LastPassTrust" van de relying party op uw AD FS-server(s) geïnstalleerd.

  1. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS).
  2. Ga naar de AD FS-beheerinstellingen.
  3. Ga in het navigatiegedeelte links naar Vertrouwensrelaties > Vertrouwensrelatie van de relying party en volg de onderstaande instructies, afhankelijk van de versie van uw AD FS-server:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Claimregels bewerken....
      2. Selecteer het tabblad Autorisatieregels voor uitgifte en stel de gewenste regel in.
    • AD FS Server 4.0 – Windows Server 2016
      1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Toegangsbeheerbeleid bewerken....
      2. Stel het gewenste beleid in.

Dat was het! U heeft nu Active Directory Federation Services (AD FS) voor uw LastPass Enterprise-account ingesteld. Al uw nieuw ingevulde federatieve gebruikers ontvangen een welkomstmail waarin ze geïnformeerd worden dat ze zich nu bij LastPass kunnen aanmelden en LastPass kunnen gebruiken.