HELP FILE
Federatieve aanmelding met AD FS instellen voor LastPass
Accountbeheerders van LastPass Enterprise en LastPass Identity kunnen Active Directory Federation Services (AD FS) instellen en configureren zodat gebruikers het Active Directory-account van hun organisatie kunnen gebruiken zonder een tweede hoofdwachtwoord te hoeven aanmaken.
Voordat u aan de implementatie begint...
- Controleer welke beperkingen er gelden voor federatieve gebruikersaccounts.
- U wordt met klem geadviseerd een niet-productieomgeving voor Active Directory te maken met Federation Services om bekend te raken met AD FS voor LastPass Enterprise of LastPass Identity.
- Neem in uw testomgeving ook een niet-productieversie op van de componenten in stap 1 (waaronder het aanmaken van een apart proefaccount voor LastPass Enterprise of LastPass Identity voor testdoeleinden). Volg de onderstaande installatiestappen eerst in uw testomgeving met de niet-productieversie van uw LastPass Enterprise- of LastPass Identity-account zodat er niet onbedoeld gebruikersgegevens verloren gaan.
- Ook in een live-omgeving wordt u met klem geadviseerd meervoudige verificatie te implementeren voor uw gebruikers. Denk hierbij aan het volgende:
- U moet meervoudige verificatie configureren op het niveau van de identiteitsprovider (AD FS) en niet op LastPass-niveau (via de Admin Console en/of de accountinstellingen van de eindgebruiker). Het gebruik van meervoudige verificatie voor federatieve gebruikers wordt niet ondersteund in LastPass en als gevolg daarvan zullen deze gebruikers geen toegang tot hun kluis hebben.
- U kunt beleidsregels voor meervoudige verificatie niet afdwingen in de Admin Console in LastPass omdat deze verificatie buiten LastPass plaatsvindt, namelijk tussen uw identiteitsprovider (AD FS) en uw verificatieservice. Daarom adviseren wij een beleidsregel voor meervoudige verificatie af te dwingen in AD FS.
- We adviseren standaard het gebruik van een bedrijfsbrede sleutel voor alle gebruikers, zoals beschreven in onze instellingsinstructies voor Vereenvoudigde federatieve aanmelding voor LastPass met AD FS. Als u de instructies in dit artikel volgt, zult u uw Active Directory-schema moeten aanpassen. Als u toch voor elke gebruiker een unieke sleutel wilt instellen, volgt u de instructies in dit artikel.
Stap 1: Controleer of de lijst met vereiste componenten volledig is
Voordat u Active Directory Federation Services kunt gaan gebruiken met LastPass Enterprise of LastPass Identity, moet u het volgende hebben geconfigureerd (zowel in niet-productieomgevingen als in live-omgevingen):
- Een actieve LastPass Enterprise- of LastPass Identity-account met:
- minimaal één beheerdersaccount ingeschakeld
- minimaal zoveel licenties als gebruikers die worden gesynchroniseerd met uw Active Directory (voor zowel niet-productieomgevingen als live-omgevingen)
Opmerking: Als u in uw niet-productieomgeving gaat testen, kunt u het beste een apart LastPass Enterprise- of LastPass Identity-testaccount instellen. Daarvoor kunt u zich hier aanmelden.
- Active Directory-serveromgevingen (zowel niet-productie als live) die voldoen aan de volgende vereisten:
- Beide omgevingen worden zo ingesteld en geconfigureerd dat Federation Services kan worden gebruikt (AD FS 3.0 voor Windows Server 2012 R2 of AD FS 4.0 voor Windows Server 2016 of Windows Server 2019) met de meest recente updates, waaronder .Net Framework
- U heeft een veld met een aangepast kenmerk gemaakt (of een nieuw doel gegeven aan een bestaand beschikbaar kenmerk) dat is ingesteld als VERTROUWELIJK (hierdoor kunt u de leesmachtigingen instellen voor uitsluitend bevoegde beheerders) en u heeft gecontroleerd dat het zowel in uw niet-productieomgeving als in de live-omgeving van Active Directory vermeld staat. Voor een juiste configuratie moet de attributeSyntax van het aangepaste kenmerk staan ingesteld op 2.5.5.4 = ( NOCASE_STRING ).
Opmerking: De naam van het aangepaste kenmerk moet uitsluitend uit alfanumerieke tekens bestaan (geen speciale tekens of spaties). De naam is bovendien hoofdlettergevoelig en moet dus precies zo worden genoteerd als in de Kenmerkeditor in Active Directory.
- Uw firewallinstellingen zijn zo geconfigureerd dat er verbinding kan worden gemaakt met https://www.lastpass.com of https://www.lastpass.eu en de bijbehorende subdomeinen (respectievelijk *.lastpass.com en *.lastpass.eu) en u heeft gecontroleerd of deze op geen van uw AD FS-servers worden geblokkeerd door een firewallregel.
- De AD-gebruiker die de AD FS-service uitvoert (AD FS roept het aangepaste kenmerkarchief aan, dat de K1 uitleest op het moment van aanmelding), moet machtigingen hebben voor "Toegang beheren"
- Het beleid "Superbeheerders toestaan hoofdwachtwoorden te resetten" is ingesteld
- De machtiging voor superbeheerders om het beleid voor hoofdwachtwoorden te resetten is ingeschakeld voor minimaal één LastPass-beheerder (die ook niet-federatieve beheerder is) in de LastPass Admin Console. Hierdoor kunnen alle LastPass-gebruikersaccounts nog hersteld worden (via het resetten van een hoofdwachtwoord) als een kritieke instelling voor federatieve aanmelding verkeerd is geconfigureerd of gewijzigd nadat de configuratie is voltooid.
Zodra u aan al deze vereisten heeft voldaan, moet u een aantal belangrijke gegevens vastleggen tijdens het installatieproces. Open een teksteditor en maak de volgende velden aan:
- Aangepast kenmerk Active Directory:
- URL identiteitsprovider:
- Openbare sleutel identiteitsprovider:
- URL serviceprovider:
Stap 2: URL en openbare sleutel van identiteitsprovider vastleggen
Vervolgens moet u inloggen bij uw Active Directory Federation Services-server (AD FS) en de volledige URL van uw identiteitsprovider (naam Federation Service en URL-pad tokenuitgifte eindpunt) en de openbare sleutel van de identiteitsprovider opvragen.
URL identiteitsprovider
- Meld u aan bij uw Active Directory Federation Services-server (AD FS) en start het AD FS-beheerprogramma.
- Klik met de rechtermuisknop op Service > Eigenschappen van de Federation Service bewerken.
- Ga naar het tabblad Algemeen, kopieer de URL in het veld met de naam Naam Federation-service (bijv. fs.fabrikam.com) en plak die in een teksteditor. Zorg dat de naam van de Federation-service die u in uw teksteditor invoert, begint met "https://", zoals vereist voor een veilig protocol (bijv. https://fs.fabrikam.com).
URL-pad tokenuitgifte eindpunt
- Ga in het beheerprogramma voor AD FS naar Service > Eindpunten.
- Zoek in het gedeelte Tokenuitgifte de vermelding SAML 2.0/WS-Federation in de kolom "Type" (adfs/ls is bijv. het standaardpad, maar dit kan variëren afhankelijk van uw omgeving).
- Kopieer de waarde in het veld URL-pad en plak het in een teksteditor aan het eind van het URL-pad van de identiteitsprovider, zodat dit er zo uitziet: https://
+ . Deze drie componenten samen vormen dan de volledige URL uw identiteitsprovider, bijvoorbeeld: https://fs.fabrikam.com/adfs/ls.
Openbare sleutel identiteitsprovider
- Ga in het beheerprogramma voor AD FS naar Service > Certificaten.
- Klik met de rechtermuisknop op Certificaat voor token-ondertekening en selecteer Certificaat weergeven.
- Klik op het tabblad Details en klik om Openbare sleutel te selecteren.
- Markeer en kopieer in het gedeelte daaronder de volledige openbare sleutel en plak deze in een teksteditor.
Nadat u de URL van de identiteitsprovider en de openbare sleutel van de identiteitsprovider heeft vastgelegd in een teksteditor, kunt u verder naar de volgende stap.
Extra stap voor AD FS-farmomgevingen
- Controleer of elke AD FS-node hetzelfde certificaat voor token-ondertekening heeft.
Stap 3: Instellingen federatieve aanmelding voor LastPass Enterprise of LastPass Identity configureren
Als u de Active Directory Connector voor LastPass al heeft geïnstalleerd, moet u deze service stoppen en de ADC-toepassing sluiten. U moet deze tijdens een volgende stap starten.
Nu u alle benodigde informatie heeft opgevraagd, kunt u uw instellingen voor federatieve aanmelding voor LastPass Enterprise of LastPass Identity als volgt configureren:
- Meld u aan en open de Admin Console:
- Voor accounts die gebruikmaken van datacenters in de VS – https://lastpass.com/company/#!/dashboard
- Voor accounts die gebruikmaken van datacenters in de EU – https://lastpass.eu/company/#!/dashboard
- Ga naar Instellingen > Federatieve aanmelding in het navigatiegedeelte links.
- Plak in het veld URL provider de volledige URL van uw identiteitsprovider (https:// + naam Federation-service + URL-pad tokenuitgifte eindpunt) die u in stap 2 heeft opgevraagd.
- Plak in het veld Openbare sleutel de openbare sleutel van uw identiteitsprovider die u in stap 2 heeft opgevraagd.
- Zodra alle velden in beide gedeelten zijn bijgewerkt, wordt er in het gedeelte "AD FS configureren" een selectievakje "Ingeschakeld" weergegeven. Schakel het selectievakje in bij de optie Ingeschakeld.
- Klik op Instellingen opslaan.
- Na het opslaan wordt automatisch het onderstaande veld URL serviceprovider gegenereerd. Kopieer de URL van uw serviceprovider en plak die in een teksteditor.
- Voeg in het gedeelte "AD-connector configureren" de naam van het aangepaste kenmerk toe (dat u heeft gemaakt of een nieuw doel heeft gegeven en geconfigureerd in stap 1 ) en klik vervolgens op Opslaan.
Stap 4: De LastPass Active Directory Connector installeren
- Installeer de LastPass Active Directory Connector (instructies hier). Als de LastPass AD-connector al geïnstalleerd is, moet u de toepassing opnieuw starten voordat u verder gaat met het wijzigen van de instellingen.
- Configureer de LastPass Active Directory Connector via Acties > Wanneer een gebruiker wordt gedetecteerd in Active Directory > Automatisch gebruiker maken in LastPass. U moet dit configureren in uw niet-productie- en live-omgevingen. Deze optie moet geselecteerd worden zodat er federatieve gebruikers kunnen worden gemaakt via AD FS. Daarnaast:
- De AD-gebruiker die de LastPass AD-connector uitvoert, moet machtigingen hebben voor "Toegang beheren".
- Configureer minimaal één groep die met LastPass gesynchroniseerd moet worden – het is raadzaam voor testdoeleinden te beginnen met een kleine controlegroep van enkele gebruikers
- Nadat alle configuraties voltooid zijn, selecteert u het tabblad Home in het navigatiegedeelte links in de LastPass AD-connector en schakelt u het selectievakje bij Enable sync (Synchronisatie inschakelen) in om de synchronisatie te starten.
- Meld u aan en open de Admin Console:
- Voor accounts die gebruikmaken van datacenters in de VS – https://lastpass.com/company/#!/dashboard
- Voor accounts die gebruikmaken van datacenters in de EU – https://lastpass.eu/company/#!/dashboard
- Ga naar Gebruikers in het menu links. U ziet de vermeldingen voor uw gebruikers verschijnen terwijl ze uit uw Active Directory gesynchroniseerd worden. Federatieve gebruikers worden weergegeven met een asterisk (*) voor hun gebruikersnaam (bijv. *john.doe@acme.com).
- Controleer in uw Active Directory of het aangepaste kenmerk (uit stap 1 gedeelte "Active Directory-serveromgevingen") voor ten minste één gesynchroniseerde federatieve LastPass-gebruiker is ingevuld door de Active Directory Connector en als willekeurige tekenreeks wordt weergegeven.
- Aangepast kenmerk aanwezig in Active Directory = geslaagd – Dit bevestigt dat de Active Directory Connector schrijftoegang voor het aangepaste kenmerk heeft voor alle federatieve gebruikers – ga verder naar stap 5 om uw aangepaste kenmerk te registreren .
- Aangepast kenmerk is leeg in Active Directory = mislukt – Dit betekent dat de Active Directory Connector het aangepaste kenmerk niet naar Active Directory kan schrijven omdat de AD-gebruiker die de LastPass Active Directory Connector uitvoert, geen machtiging heeft voor "Toegang beheren". Dit gaan we corrigeren.
- De AD-gebruiker moet de service stoppen en de LastPass Active Directory Connector-toepassing sluiten.
- Meld u aan en open de Admin Console:
- Voor accounts die gebruikmaken van datacenters in de VS – https://lastpass.com/company/#!/dashboard
- Voor accounts die gebruikmaken van datacenters in de EU – https://lastpass.eu/company/#!/dashboard
- Ga naar Gebruikers in het navigatiegedeelte links en selecteer alle nieuw toegevoegde federatieve gebruikers (aangegeven met een asterisk).
- Klik op het pictogram Meer
rechtsboven, klik op Geselecteerde gebruikers verwijderen en bevestig uw keuze (deze hebben allemaal een lege waarde voor het aangepaste kenmerk).
- Geef in Active Directory de machtiging voor "Toegang beheren" aan de gebruiker die de LastPass Active Directory Connector gaat uitvoeren.
- De AD-gebruiker kan nu de LastPass Active Directory Connector-toepassing opnieuw starten en de service starten.
- Controleer nogmaals in uw Active Directory of het aangepaste kenmerk aanwezig is voor een van de gesynchroniseerde federatieve LastPass-gebruikers.
Stap 5: Uw aangepaste kenmerk registreren bij LastPass
U moet nu het aangepaste kenmerk (dat u heeft gemaakt of opnieuw heeft toegewezen en geconfigureerd in stap 1 ) registreren bij LastPass door het installatieprogramma van de AD FS-invoegtoepassing uit te voeren op uw AD FS-server.
Opmerking: De naam van het aangepaste kenmerk moet uitsluitend uit alfanumerieke tekens bestaan (geen speciale tekens of spaties). De naam is bovendien hoofdlettergevoelig en moet dus precies zo worden genoteerd als in de Kenmerkeditor in Active Directory.
- Meld u aan en open de Admin Console:
- Voor accounts die gebruikmaken van datacenters in de VS – https://lastpass.com/company/#!/dashboard
- Voor accounts die gebruikmaken van datacenters in de EU – https://lastpass.eu/company/#!/dashboard
- Ga in het menu links naar Instellingen > Federatieve aanmelding.
- Klik in het gedeelte "LastPass-store voor aangepaste kenmerken" onder aan de pagina op Downloaden voor AD FS Server 3.0 (voor Windows Server 2012 R2) of Downloaden voor AD FS Server 4.0 (voor Windows Server 2016 of Windows Server 2019) en sla het .MSI-bestand van LastPass op.
- Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS) en kopieer het .MSI-bestand naar het bureaublad van uw AD FS-server. Klik met de rechtermuisknop op het bestand en selecteer Uitvoeren als beheerder of voer het MSI-installatieprogramma uit vanuit een opdrachtprompt met verhoogde bevoegdheid. Klik op Ja als u daarom wordt gevraagd door Gebruikersaccountbeheer.
Opmerking: Het MSI-installatieprogramma van de AD FS-invoegtoepassing moet worden uitgevoerd als beheerder of met verhoogde bevoegdheid, ook als u als domeinbeheerder bent aangemeld.
- Klik op Volgende.
- Voer de URL van uw LastPass Enterprise- of LastPass Identity-serviceprovider in (uit stap 3, handeling 6 ), voer de waarde van uw aangepaste kenmerk in (uit stap 1 ) en klik op Volgende.
- Klik op Voltooien wanneer de registratie voltooid is.
- Start de Windows-service AD FS opnieuw. Deze handeling is vereist.
Extra stappen voor AD FS-farmomgevingen:
- Ga op de AD FS-server naar C:\Windows\ADFS, de locatie waar u het .MSI-bestand van LastPass heeft geïnstalleerd.
- Kopieer de volgende bestanden naar de map C:\Windows\ADFS op alle secundaire AD FS-servers:
- LastPassADFS.dll
- LastPassConfig.dll
- LastPassLib.dll
- LastPassLogger.dll
- LastPassSettings.dll
- BouncyCastle.Crypto.dll
- NLog.dll
- Start de Windows-service AD FS opnieuw op de secundaire AD FS-knooppunten. Deze handeling is vereist.
Stap 6: Wijzigingen in toegangsbeheerbeleid toepassen
Het aangepaste LastPass-kenmerk heeft de Vertrouwensrelatie "LastPass Trust" van de relying party op uw AD FS-server(s) geïnstalleerd.
- Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS).
- Ga naar de AD FS-beheerinstellingen.
- Ga in het navigatiegedeelte links naar Vertrouwensrelaties > Vertrouwensrelatie van de relying party en volg de onderstaande instructies, afhankelijk van de versie van uw AD FS-server:
- AD FS Server 3.0 – Windows Server 2012 R2
- Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Claimregels bewerken....
- Selecteer het tabblad Autorisatieregels voor uitgifte en stel de gewenste regel in. Hiermee wordt geregeld hoe gebruikers worden geverifieerd wanneer ze zich aanmelden bij LastPass via federatieve aanmelding met AD FS.
- AD FS Server 4.0 – Windows Server 2016 of Windows Server 2019
- Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Toegangsbeheerbeleid bewerken....
- Stel de gewenste beleidsregel in. Hiermee wordt geregeld hoe gebruikers worden geverifieerd wanneer ze zich aanmelden bij LastPass via federatieve aanmelding met AD FS.
- AD FS Server 3.0 – Windows Server 2012 R2
Dat was het!
U heeft nu Active Directory Federation Services (AD FS) ingesteld voor uw LastPass Enterprise- of LastPass Identity-account. Al uw nieuw ingevulde federatieve gebruikers ontvangen een welkomstmail waarin ze geïnformeerd worden dat ze zich nu bij LastPass kunnen aanmelden en LastPass kunnen gebruiken.
- Als u wilt zien hoe de ervaring voor de eindgebruiker is, raadpleegt u Federatief aanmelden voor LastPass-gebruikers.
- Als u extra hulp nodig heeft bij het oplossen van problemen, leest u Problemen met federatieve aanmelding voor Active Directory Federation Services (AD FS) oplossen.
- Als u een federatief account wilt inrichten voor standaard (niet-federatieve) gebruikers, raadpleegt Hoe zet ik een bestaande LastPass-gebruiker om in een federatieve gebruiker (AD FS)?
- Voor meer informatie over het migreren van AD FS naar federatieve aanmelding in de cloud (Okta of Azure AD) raadpleegt u Hoe migreer ik van AD FS naar federatieve aanmelding in de cloud voor LastPass?