HELP FILE

Vereenvoudigde federatieve aanmelding met AD FS instellen voor LastPass

Accountbeheerders van LastPass Enterprise en LastPass Identity kunnen Active Directory Federation Services (AD FS) instellen en configureren zodat gebruikers het Active Directory-account van hun organisatie kunnen gebruiken zonder een tweede hoofdwachtwoord te hoeven aanmaken.

Voordat u aan de implementatie begint...

  • Controleer welke beperkingen er gelden voor federatieve gebruikersaccounts.
  • U wordt met klem geadviseerd een niet-productieomgeving voor Active Directory te maken met Federation Services om bekend te raken met AD FS voor LastPass Enterprise of LastPass Identity.
    • Neem in uw testomgeving ook een niet-productieversie op van de componenten in stap 1 (waaronder het maken van een apart LastPass Enterprise- of LastPass Identity-proefaccount voor testdoeleinden). Volg de onderstaande installatiestappen eerst in uw testomgeving met de niet-productieversie van uw LastPass Enterprise- of LastPass Identity-account zodat er niet onbedoeld gebruikersgegevens verloren gaan.
  • Ook in een live-omgeving wordt u met klem geadviseerd meervoudige verificatie te implementeren voor uw gebruikers. Denk hierbij aan het volgende:
    • U moet meervoudige verificatie configureren op het niveau van de identiteitsprovider (AD FS) en niet op LastPass-niveau (via de Admin Console en/of de accountinstellingen van de eindgebruiker). Het gebruik van meervoudige verificatie voor federatieve gebruikers wordt niet ondersteund in LastPass en als gevolg daarvan zullen deze gebruikers geen toegang tot hun kluis hebben.
    • U kunt beleidsregels voor meervoudige verificatie niet afdwingen in de Admin Console in LastPass omdat deze verificatie buiten LastPass plaatsvindt, namelijk tussen uw identiteitsprovider (AD FS) en uw verificatieservice. Daarom adviseren wij een beleidsregel voor meervoudige verificatie af te dwingen in AD FS.
  • Wij adviseren standaard het gebruik van de bedrijfsbrede sleutel, aangezien de stappen die hier worden genoemd geen wijziging in uw Active Directory-schema vereisen. Als u toch voor elke gebruiker een unieke sleutel wilt instellen, volgt u deze instructies voor configuratie.

Stap 1: Controleer of de lijst met vereiste componenten volledig is

Voordat u Active Directory Federation Services kunt gaan gebruiken met LastPass Enterprise of LastPass Identity, moet u het volgende hebben geconfigureerd (zowel in niet-productieomgevingen als in live-omgevingen):

  • Een actieve LastPass Enterprise- of LastPass Identity-account met:
    • Minimaal één beheerdersaccount ingeschakeld
    • minimaal zoveel licenties als gebruikers die worden gesynchroniseerd met uw Active Directory (voor zowel niet-productieomgevingen als live-omgevingen)
      Opmerking: Als u in uw niet-productieomgeving gaat testen, kunt u het beste een apart LastPass Enterprise- of LastPass Identity-testaccount instellen. Daarvoor kunt u zich hier aanmelden.
  • Active Directory-serveromgevingen (zowel niet-productie als live) die voldoen aan de volgende vereisten:
    • Beide omgevingen worden zo ingesteld en geconfigureerd dat Federation Services kan worden gebruikt (AD FS 3.0 voor Windows Server 2012 R2 of AD FS 4.0 voor Windows Server 2016 of Windows Server 2019) met de meest recente updates, waaronder .Net Framework
    • Uw firewallinstellingen zijn zo geconfigureerd dat er verbinding kan worden gemaakt met https://www.lastpass.com of https://www.lastpass.eu en de bijbehorende subdomeinen (respectievelijk *.lastpass.com en *.lastpass.eu) en u heeft gecontroleerd of deze op geen van uw AD FS-servers worden geblokkeerd door een firewallregel.
  • Het beleid "Superbeheerders toestaan hoofdwachtwoorden te resetten" is ingesteld
    • De machtiging voor superbeheerders om het beleid voor hoofdwachtwoorden te resetten is ingeschakeld voor minimaal één LastPass-beheerder (die ook niet-federatieve beheerder is) in de LastPass Admin Console. Hierdoor kunnen alle LastPass-gebruikersaccounts nog hersteld worden (via het resetten van een hoofdwachtwoord) als een kritieke instelling voor federatieve aanmelding verkeerd is geconfigureerd of gewijzigd nadat de configuratie is voltooid.

Zodra u aan al deze vereisten heeft voldaan, moet u een aantal belangrijke gegevens vastleggen tijdens het installatieproces.  Open een teksteditor en maak de volgende velden aan:

  • Bedrijfsbrede sleutel:
  • URL identiteitsprovider:
  • Openbare sleutel identiteitsprovider:
  • URL LastPass Assertion Consumer Service (ACS):

Nadat deze velden zijn aangemaakt in uw teksteditor gaat u verder met de volgende stap.

Stap 2: URL en openbare sleutel van identiteitsprovider vastleggen

Vervolgens moet u inloggen bij uw Active Directory Federation Services-server (AD FS) en de volledige URL van uw identiteitsprovider (naam Federation Service en URL-pad tokenuitgifte eindpunt) en de openbare sleutel van de identiteitsprovider opvragen.

URL identiteitsprovider

  1. Meld u aan bij uw Active Directory Federation Services-server (AD FS) en start het AD FS-beheerprogramma.
  2. Klik met de rechtermuisknop op Service > Eigenschappen van de Federation Service bewerken.
  3. Ga naar het tabblad Algemeen, kopieer de URL in het veld met de naam Naam Federation-service (bijv. fs.fabrikam.com) en plak die in een teksteditor. Zorg dat de naam van de Federation-service die u in uw teksteditor invoert, begint met "https://", zoals vereist voor een veilig protocol (bijv. https://fs.fabrikam.com).

Naam Federation-service kopiëren

URL-pad tokenuitgifte eindpunt

  1. Ga in het beheerprogramma voor AD FS naar ServiceEindpunten.
  2. Zoek in het gedeelte Tokenuitgifte de vermelding SAML 2.0/WS-Federation in de kolom "Type" (adfs/ls is bijv. het standaardpad, maar dit kan variëren afhankelijk van uw omgeving).
  3. Kopieer de waarde in het veld URL-pad en plak het in een teksteditor aan het eind van het URL-pad van de identiteitsprovider, zodat dit er zo uitziet: https:// + . Deze drie componenten samen vormen dan de volledige URL uw identiteitsprovider, bijvoorbeeld: https://fs.fabrikam.com/adfs/ls.

URL-pad tokenuitgifte AD FS-eindpunt kopiëren

Openbare sleutel identiteitsprovider

  1. Ga in het beheerprogramma voor AD FS naar ServiceCertificaten.
  2. Klik met de rechtermuisknop op Certificaat voor token-ondertekening en selecteer Certificaat weergeven.
  3. Klik op het tabblad Details en klik om Openbare sleutel te selecteren.
  4. Markeer en kopieer in het gedeelte daaronder de volledige openbare sleutel en plak deze in een teksteditor.

Nadat u de URL van de identiteitsprovider en de openbare sleutel van de identiteitsprovider heeft vastgelegd in een teksteditor, kunt u verder naar de volgende stap.

Openbare sleutel uit details van eigenschappen Certificaat voor token-ondertekening

Extra stap voor AD FS-farmomgevingen

  • Controleer of elke AD FS-node hetzelfde certificaat voor token-ondertekening heeft.

Stap 3: Instellingen federatieve aanmelding voor LastPass Enterprise of LastPass Identity configureren

Als u de Active Directory Connector voor LastPass al heeft geïnstalleerd, moet u deze service stoppen en de ADC-toepassing sluiten. U moet deze tijdens een volgende stap starten.

Nu u alle benodigde informatie heeft opgevraagd, kunt u uw instellingen voor federatieve aanmelding voor LastPass Enterprise of LastPass Identity als volgt configureren:

  1. Meld u aan en open de Admin Console:
  2. Ga naar InstellingenFederatieve aanmelding in het navigatiegedeelte links.
  3. Plak in het veld URL provider de volledige URL van uw identiteitsprovider (https:// + naam Federation-service + URL-pad tokenuitgifte eindpunt) die u in stap 2 heeft opgevraagd.
  4. Plak in het veld Openbare sleutel de openbare sleutel van uw identiteitsprovider die u in stap 2 heeft opgevraagd.
  5. Als alle velden zijn bijgewerkt in beide gedeelten, schakelt u het selectievakje bij de optie Ingeschakeld in.
  6. Klik op Instellingen opslaan.
  7. Na het opslaan wordt automatisch het onderstaande veld URL van LastPass Assertion Consumer Service (ACS)gegenereerd. Kopieer de URL van uw LastPass Assertion Consumer Service (ACS) en plak die in een teksteditor.

Stap 4: De LastPass Active Directory Connector installeren

Tip: Creëer een kleine controlegroep van gebruikers in Active Directory die u in eerste instantie voor de onderstaande stappen kunt gebruiken.
  1. Installeer de LastPass Active Directory Connector (instructies hier). Als de LastPass AD-connector al geïnstalleerd is, moet u de toepassing opnieuw starten voordat u verder gaat met het wijzigen van de instellingen.
  2. Configureer de LastPass Active Directory Connector via Actions (Acties) > When a user is detected in Active Directory (Wanneer een gebruiker wordt gedetecteerd in Active Directory) > Automatically create user in LastPass (Automatisch gebruiker maken in LastPass). U moet dit configureren in uw niet-productie- en live-omgevingen.
    Waarschuwing: Deze optie moet geselecteerd worden zodat er federatieve gebruikers kunnen worden gemaakt via AD FS.
  3. Selecteer AD FS in het navigatiegedeelte links en klik vervolgens op Edit (Bewerken).
  4. Klik op Generate New Secret (Nieuw geheim genereren).
    Belangrijk: U moet de sleutel voor het nieuwe geheim (in het veld "Company-wide key" (Bedrijfsbrede sleutel)) op een veilige locatie bewaren. Als u de LastPass AD-connector in de toekomst opnieuw moet installeren, moet u deze bedrijfsbrede sleutel opnieuw invoeren.
  5. Nadat alle configuraties voltooid zijn, selecteert u het tabblad Home in het navigatiegedeelte links in de LastPass AD-connector en schakelt u het selectievakje bij Enable sync (Synchronisatie inschakelen) in om de synchronisatie te starten.
  6. Meld u aan en open de Admin Console:
  7. Ga naar Gebruikers in het navigatiegedeelte links. U ziet de vermeldingen voor uw gebruikers verschijnen terwijl ze uit uw Active Directory gesynchroniseerd worden. Federatieve gebruikers worden weergegeven met een asterisk (*) voor hun gebruikersnaam (bijv. *john.doe@acme.com).

Stap 5: Uw bedrijfsbrede sleutel registreren bij LastPass

Vervolgens moet u de bedrijfsbrede sleutel bij LastPass registreren door de installer voor de AD FS-plug-in uit te voeren om uw AD FS-server.

  1. Meld u aan en open de Admin Console:
  2. Ga naar InstellingenFederatieve aanmelding in het navigatiegedeelte links.
  3. Klik in het gedeelte "LastPass-store voor aangepaste kenmerken" onder aan de pagina op Downloaden voor AD FS Server 3.0 (voor Windows Server 2012 R2) of Downloaden voor AD FS Server 4.0 (voor Windows Server 2016 of Windows Server 2019) en sla het .MSI-bestand van LastPass op.
  4. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS) en kopieer het .MSI-bestand naar het bureaublad van uw AD FS-server. Klik met de rechtermuisknop op het bestand en selecteer Uitvoeren als beheerder of voer het MSI-installatieprogramma uit vanuit een opdrachtprompt met verhoogde bevoegdheid. Klik op Ja als u daarom wordt gevraagd door Gebruikersaccountbeheer.
    Opmerking: Het MSI-installatieprogramma van de AD FS-invoegtoepassing moet worden uitgevoerd als beheerder of met verhoogde bevoegdheid, ook als u als domeinbeheerder bent aangemeld.
  5. Klik op Volgende.
  6. Voer deURL van de LastPass Assertion Consumer Service (ACS) (uit stap 3, actie 6 ) in, voer vervolgens de bedrijfsbrede sleutel (uit stap 4, actie 4 ) in en klik op Volgende.
  7. Klik op Voltooien wanneer de registratie voltooid is.
  8. Start de Windows-service AD FS opnieuw. Deze handeling is vereist.

Extra stappen voor AD FS-farmomgevingen

  1. Ga op de AD FS-server naar C:\Windows\ADFS, de locatie waar u het .MSI-bestand van LastPass heeft geïnstalleerd.
  2. Kopieer de volgende bestanden naar de map C:\Windows\ADFS op alle secundaire AD FS-servers:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Start de Windows-service AD FS opnieuw op de secundaire AD FS-knooppunten. Deze handeling is vereist.

Stap 6: Wijzigingen in toegangsbeheerbeleid toepassen

Het aangepaste LastPass-kenmerk heeft de Vertrouwensrelatie "LastPass Trust" van de relying party op uw AD FS-server(s) geïnstalleerd.

  1. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS).
  2. Ga naar de AD FS-beheerinstellingen.
  3. Ga in het navigatiegedeelte links naar Vertrouwensrelaties > Vertrouwensrelatie van de relying party en volg de onderstaande instructies, afhankelijk van de versie van uw AD FS-server:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Claimregels bewerken....
      2. Selecteer het tabblad Autorisatieregels voor uitgifte en stel de gewenste regel in. Hiermee wordt geregeld hoe gebruikers worden geverifieerd wanneer ze zich aanmelden bij LastPass via federatieve aanmelding met AD FS.
    • AD FS Server 4.0 – Windows Server 2016 of Windows Server 2019
      1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Toegangsbeheerbeleid bewerken....
      2. Stel de gewenste beleidsregel in. Hiermee wordt geregeld hoe gebruikers worden geverifieerd wanneer ze zich aanmelden bij LastPass via federatieve aanmelding met AD FS.

Dat was het!

U heeft nu Active Directory Federation Services (AD FS) ingesteld voor uw LastPass Enterprise- of LastPass Identity-account. Al uw nieuw ingevulde federatieve gebruikers ontvangen een welkomstmail waarin ze geïnformeerd worden dat ze zich nu bij LastPass kunnen aanmelden en LastPass kunnen gebruiken.