HELP FILE

De Active Directory Connector voor LastPass configureren

De LastPass Active Directory Connector (AD-connector) synchronisatieclient is een Windows-service die lokaal wordt uitgevoerd. De client kan in uw LastPass Enterprise-account gedownload worden via de Admin Console. Deze client verbindt uw Active Directory zodat diverse processen voor inrichting en beheer in LastPass Enterprise worden ondersteund.

Opmerking: Installeer de Active Directory Connector niet op uw domein-controller.

U kunt de systeemvereisten en stappen voor de installatie doornemen, en leren hoe u de configuratie uitvoert voor de instellingen van de Verbinding, Acties, Synchronisatie, Proxy, Debug en Migratie.

Indien gewenst kunt u Active Directory Federation Services (AD FS) instellen voor uw LastPass Enterprise-account zodat gebruikers hun aanmeldingsgegevens van Active Directory kunnen gebruiken bij het aanmelden bij LastPass.

Systeemvereisten

Voor het installeren van de Active Directory Connector moet uw lokale omgeving voldoen aan de volgende vereisten.

Opmerking: De systeemvereisten kunnen afhankelijk zijn van uw Active Directory-omgeving.

Processor Intel Core Duo
Besturingssysteem
  • Windows 8.1 (x64) of later
  • Server 2012 R2 (x64) of later

*.NET Framework 4.5.2 of later moet geïnstalleerd zijn op het besturingssysteem

Geheugen 8 GB RAM
Schijfruimte 500 MB of meer
Bandbreedte Verbruikt 200 Mbps of meer per dag
Software Desktop-toepassing LastPass Active Directory Connector

De Active Directory Connector installeren

Opmerking: Installeer de Active Directory Connector niet op uw domein-controller.

Eerst moet u de AD-connector installeren. Dit werkt als volgt:

  1. Ga naar https://lastpass.com/company/#!/dashboard en meld u aan voor toegang tot de Admin Console.
  2. Ga naar InstellingenDirectory-integratiesAD-connector downloaden.
  3. Klik op Opslaan als dit gevraagd wordt en op Uitvoeren voor het LastPassADConnector.msi-bestand. Klik op Ja om gebruikersaccountbeheer toe te staan.
  4. Klik in de configuratiewizard van de LastPass AD-connector op Volgende.
  5. Accepteer de voorwaarden van de licentieovereenkomst en klik op Volgende.
  6. Bevestig het gewenste pad voor de installatie en klik op Volgende.
  7. Klik op Installeren Klik op Ja om gebruikersaccountbeheer toe te staan.
  8. Klik op Voltooien als de installatie is afgerond. Klik op Ja om gebruikersaccountbeheer toe te staan.
  9. Na de installatie verschijnt een aanmeldingsvenster.  Voer uw e-mailadres en hoofdwachtwoord als LastPass Enterprise-beheerder in en klik vervolgens op Aanmelden.

Verbindingsinstellingen configureren

Vervolgens moet u de verbinding tussen LastPass en uw Active Directory configureren door de volgende gegevens in te voeren:

  • Configuratie van de verbinding – Domein of server (bijv. lpadsync) of een domein-controller in plaats van een domein om verbinding mee te maken (bijv. lp-adsync-dc01.lpadsync.local)
  • Aanmeldingsgegevens – Aanmeldingsgegevens huidige gebruiker of een specifieke set aanmeldingsgegevens
  • Basis-DN – Automatisch een Basis-DN detecteren of deze opgeven. Hieronder worden alle relevante gebruikers- en groepsobjecten geplaatst. Voor optimale systeemprestaties wordt aanbevolen dat alle relevante gebruikers en hun ingebedde groepen onder de opgegeven Basis-DN komen.

Als u klaar bent, klikt u op Volgende om de instellingen voor acties te configureren.

Instellingen voor acties configureren

Als uw verbindingsinstellingen zijn geconfigureerd, is de volgende stap de instellingen voor acties. Geef op welke actie moet worden uitgevoerd als specifieke gebeurtenissen optreden voor gebruikers in uw Active Directory.

Opmerking: Het wordt aanbevolen om de optie "uitschakelen" te gebruiken voor accounts in plaats van "verwijderen" om ongewenste gevolgen voor gebruikersaccounts te vermijden (bij "verwijderen" gaan alle gegevens in de kluis van de verwijderde gebruiker volledig verloren).

Kies uit de volgende opties:

Als een gebruiker in Active Directory wordt gedetecteerd:

  • Voeg de gebruiker toe in de Enterprise Console, maar vereis goedkeuring – Deze functie synchroniseert gebruikers tussen Active Directory en LastPass, maar markeert hen als "in behandeling", in plaats van direct een account aan te maken voor iedere gebruiker (er is handmatige goedkeuring vereist voor iedere gebruiker).
  • Automatisch gebruiker maken in LastPass – Deze optie maakt automatisch accounts aan voor iedere gebruiker en verstuurt geautomatiseerde welkomstberichten met een tijdelijk wachtwoord en instructies om een eigen hoofdwachtwoord aan te maken. WAARSCHUWING! Deze optie moet worden geselecteerd als u accounts inricht voor federatieve gebruikers via de LastPass Enterprise-integratie met Active Directory Federation Services (AD FS).
  • Niets doen – Er wordt geen actie uitgevoerd.

Als een gebruiker in Active Directory wordt verwijderd:

  • LastPass-account administratief uitschakelen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Het account blijft echter bestaan in uw LastPass Enterprise-account. De gebruiker kan zich niet aanmelden, tenzij het account weer wordt geactiveerd.
  • Verwijderen uit Enterprise-account, maar gebruiker niet verwijderen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker en verwijdert het account uit uw Enterprise-account. Het wordt omgezet naar een LastPass Free-account. Alle gegevens in de kluis blijven beschikbaar voor de gebruiker.
  • LastPass-account automatisch verwijderen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Ook wordt het account met alle gegevens in de kluis compleet gewist.

Als een gebruiker in Active Directory wordt uitgeschakeld:

  • LastPass-account administratief uitschakelen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Het account blijft echter bestaan in uw LastPass Enterprise-account. De gebruiker kan zich niet aanmelden, tenzij het account weer wordt geactiveerd.
  • LastPass-account automatisch verwijderen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Ook wordt het account met alle gegevens in de kluis compleet gewist.
  • Verwijderen uit Enterprise-account, maar gebruiker niet verwijderen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker en verwijdert het account uit uw Enterprise-account. Het wordt omgezet naar een LastPass Free-account. Alle gegevens in de kluis blijven beschikbaar voor de gebruiker.

Als een gebruiker in Active Directory wordt verwijderd uit een gefilterde groep:

  • LastPass-account administratief uitschakelen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Het account blijft echter bestaan in uw LastPass Enterprise-account. De gebruiker kan zich niet aanmelden, tenzij het account weer wordt geactiveerd.
  • LastPass-account automatisch verwijderen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Ook wordt het account met alle gegevens in de kluis compleet gewist.
  • Verwijderen uit Enterprise-account, maar gebruiker niet verwijderen – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker en verwijdert het account uit uw Enterprise-account. Het wordt omgezet naar een LastPass Free-account. Alle gegevens in de kluis blijven beschikbaar voor de gebruiker.
  • Niets doen – Er wordt geen actie uitgevoerd.

Als u klaar bent met alle acties, klikt u op Volgende om de instellingen voor synchronisatie te configureren.

Synchronisatie configureren

Als de instellingen voor acties geconfigureerd zijn, is de volgende stap de synchronisatie-instellingen. Hier bepaalt u welke velden, groepen en gebruikers moeten synchroniseren tussen LastPass en Active Directory.

Opmerking: Gebruikers moeten een e-mailadres hebben in Active Directory om te kunnen synchroniseren met LastPass.

Configuratie synchroniseren:

  • Volledige naam van gebruiker synchroniseren vanuit AD – Als deze optie is ingeschakeld, wordt de volledige naam van de gebruiker gesynchroniseerd en weergegeven in LastPass. Standaard LastPass werkt LastPass alleen met de gebruikersnaam (het e-mailadres).
  • Groepen aanmaken in LastPass – Als deze optie is ingeschakeld en als er een groep bestaat in Active Directory maar niet in LastPass, dan wordt deze groep aangemaakt in LastPass. Als u groepen aanmaakt in LastPass op basis van uw Active Directory, worden bestaande groepen in LastPass verwijderd en vervangen door de opgegeven groepen in Active Directory.
  • Synchronisatie-interval – Deze optie dwingt de AD-connector om met een bepaald interval (tussen 5-3600 seconden) te controleren of er wijzigingen zijn in Active Directory en deze over te nemen.

Gebruikers filteren op basis van groepslidmaatschap:

  • Via Bladeren en Zoeken kunt u eenvoudig door uw Active Directory-groepen navigeren en alleen de groepen selecteren die u wilt synchroniseren. Als u groepen heeft toegevoegd die u niet wilt synchroniseren, selecteer deze dan en klik op Geselecteerde groepen verwijderen.
  • U kunt ook beperken welke gebruikers er worden toegevoegd aan uw Enterprise-account door een synchronisatiefilter in te stellen in de AD-connector. In dit veld moet u de DN-string invoeren van de groep die u wilt filteren. Een goede bron voor correcte DN-strings is het hulpprogramma ADSI bewerken. Als u meerdere groepen wilt toevoegen aan synchronisatiefilters, gebruik dan de volledige DN-strings in de volgende indeling:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Lidmaatschappen gebruiker:

  • Alle groepslidmaatschappen synchroniseren – Hiermee worden alle gebruikersgroepen in uw Active Directory gesynchroniseerd met uw LastPass Enterprise-account.
  • Whitelists gebruiken om groepen te filteren – Gebruik Bladeren of Zoeken om de overkoepelende groep te vinden en selecteren die de groepen bevat die moeten worden gesynchroniseerd. Let op: de overkoepelende groep zelf komt niet op de whitelist.
  • Inclusief geneste groepen – Schakel deze optie als u wilt dat alle onderliggende groepen binnen een groep worden meegenomen bij de synchronisatie (d.w.z. als groep A groep B bevat, en in groep B zit groep C, dan worden de groepen A, B en C allemaal gesynchroniseerd). Hiermee kunt u gebruikersaccounts consolideren, dubbele toegang verwijderen en onderliggende geneste groepen automatisch toegang geven tot sites of gedeelde mappen.
  • Alleen de groepen synchroniseren die zijn bepaald in het gedeelte "Gebruikers filteren" – Wees bijzonder voorzichtig met deze instelling. Deze optie synchroniseert alleen gebruikers binnen de groepen die zijn opgegeven bij Gebruikers filteren op basis van groepslidmaatschap. Als een gebruiker in uw Active Directory het groepslidmaatschap in alle opgegeven groepen verliest, wordt de actie uitgevoerd voor het uitschakelen of verwijderen van een account die u heeft geconfigureerd onder Acties. Dit kan ertoe leiden dat een gebruikersaccount buiten de opgegeven groepen wordt uitgeschakeld of verwijderd. Daarom is het sterk aanbevolen om bij het inschakelen van deze instelling een groepsset te selecteren die alle gebruikers bevat die moeten worden gesynchroniseerd, om te voorkomen dat ongewenste acties worden uitgevoerd. Opmerking: Zorg ervoor dat alle relevante gebruikers, groepen en subgroepen allemaal onder de geselecteerde Basis-DN staan die is geconfigureerd bij de Verbindingsinstellingen.
  • Groepslidmaatschappen niet synchroniseren – Hiermee worden gebruikersgroepen in uw Active Directory niet gesynchroniseerd met uw LastPass Enterprise-account.

Uitgesloten groepen:

  • Reguliere expressies gebruiken om subgroepen over te slaan – Als u de optie Alle groepslidmaatschappen synchroniseren heeft ingeschakeld, kunt u een zwarte lijst aanmaken om ervoor te zorgen dat ze niet worden gesynchroniseerd. Hiervoor voert u de reguliere expressie (regex) in (d.w.z. de specifieke naam van de groep in Active Directory). Als er een overeenkomst is met de ingevoerde reguliere expressie, dan wordt die groep niet gesynchroniseerd met uw LastPass Enterprise-account. Als de optie "Inclusief geneste groepen" is ingeschakeld, geldt dit ook voor de onderliggende subgroepen.

Extra attributen om te synchroniseren:

  • Door komma's gescheiden lijst – Hier kunt u een attribuutnaam van gebruikers in Active Directory opgeven (bijv. sAMAccountName) die u wilt synchroniseren met uw LastPass Enterprise-account.

Als u klaar bent met alle synchronisatie-instellingen, klikt u op Volgende om de instellingen voor het Debuggen te configureren.

Proxy-instellingen configureren

Proxy-instellingen kunnen worden geconfigureerd met een uitvoerbaar bestand voor alle .NET-toepassingen, of per gebruiker via IE-instellingen. De UI kan Kerberos-authenticatie gebruiken met de aanmeldingsgegevens van de huidige aangemelde gebruiker (moet een domeingebruiker zijn), de dienst met de aanmeldingsgegevens van de machine (moet verbonden zijn met het domein). Het is niet voldoende om de instellingen alleen te wijzigen voor de huidige aangemelde gebruiker, want alleen de AD-connector wordt uitgevoerd als de huidige aangemelde gebruiker en de synchronisatiedienst werkt als NT AUTHORITY\SYSTEM.

Voor meer gedetailleerde instructies kunt u de proxy-instellingen valideren.

Debuggen

U kunt uw instellingen voor het debuggen configureren om synchronisatieproblemen met de AD-connector op te lossen.

Opties voor logboekregistratie:

  • Registratieniveau – Gebruik de vervolgkeuzelijst om een keuze te maken uit 1 of meer van de volgende opties voor logboekregistratie:
    • Fout
    • Waarschuwing
    • Info (standaard)
    • Debuggen
    • Volgen
  • Maximumaantal logbestanden van 100 MB (5-90) – Selecteer de gewenste hoeveelheid ruimte die de logbestanden mogen innemen.

Lokale cache leegmaken:

  • Klik op Lokale cache leegmaken om de groeps- en gebruikersgegevens handmatig te wissen, die standaard lokaal worden opgeslagen (deze optie moet worden gebruikt als u uw Active Directory moet herstellen van een back-up). Meer info.
  • Klik op Logmap openen om Windows Verkenner te openen. Ga naar C:\ProgramData\LastPass en selecteer het bestand ADConnector.log. Verstuur het aan support@lastpass.com als u ondersteuning nodig heeft of problemen ondervindt bij het gebruik van de LastPass AD-connector.

Klik op Voltooien als u klaar bent en ga vervolgens naar Home. Selecteer de optie "Inschakelen" om de synchronisatie te starten.

Migratie

Als u Active Directory Federation Services (AD FS) voor uw LastPass Enterprise-account heeft ingesteld, kan de optie Migratie in de LastPass AD-connector worden gebruikt om non-federatieve gebruikers te converteren naar federatieve gebruikers. Raadpleeg voor gedetailleerde instructies Hoe zet ik een bestaande LastPass Enterprise-gebruiker om tot een federatieve gebruiker (AD FS)?

Gerelateerd

Veelgestelde vragen over Active Directory Connector

Federation Services (AD FS) voor LastPass Enterprise instellen

Hoe zet ik een bestaande LastPass Enterprise-gebruiker om tot een federatieve gebruiker (AD FS)?