HELP FILE

De Active Directory Connector voor LastPass configureren

De Active Directory Connector is een desktop-toepassing die updates voor gebruikers van Active Directory ontvangt en automatisch dezelfde wijzigingen doorvoert in uw zakelijke LastPass-account.

Opmerking: Installeer de Active Directory Connector niet op uw domeincontroller.

U kunt de systeemvereisten en stappen voor de installatie doornemen, en leren hoe u de configuratie uitvoert voor de instellingen van de Verbinding, Acties, Synchronisatie, Proxy, Debug en Migratie.

Indien gewenst kunt u Active Directory Federation Services (AD FS) instellen voor uw LastPass Enterprise- of Identity-account zodat gebruikers hun aanmeldingsgegevens van Active Directory kunnen gebruiken bij het aanmelden bij LastPass.

Systeemvereisten

Voor het installeren van de Active Directory Connector moet uw lokale omgeving voldoen aan de volgende vereisten.

Opmerking: De systeemvereisten kunnen afhankelijk zijn van uw Active Directory-omgeving.
Processor Intel Core Duo
Besturingssysteem
  • Windows 8.1 (x64) of later
  • Server 2012 R2 (x64) of later

*.NET Framework 4.5.2 of later moet geïnstalleerd zijn op het besturingssysteem

Geheugen 8 GB RAM
Schijfruimte 500 MB of meer
Bandbreedte Verbruikt minimaal 200 Mbps per dag
Software Desktop-toepassing LastPass Active Directory Connector

De Active Directory Connector installeren

Opmerking: Installeer de Active Directory Connector niet op uw domeincontroller.

Eerst moet u de AD-connector installeren. Dit werkt als volgt:

  1. Ga naar https://lastpass.com/company/#!/dashboard en meld u aan voor toegang tot de Admin Console.
  2. Ga naar InstellingenDirectory-integratiesAD-connector downloaden.
  3. Klik op Opslaan als dit gevraagd wordt en op Uitvoeren voor het LastPassADConnector.msi-bestand. Klik op Ja om gebruikersaccountbeheer toe te staan.
  4. Klik in de configuratiewizard van de LastPass AD-connector op Next (Volgende).
  5. Accepteer de voorwaarden van de licentieovereenkomst en klik op Next.
  6. Bevestig het gewenste pad voor de installatie en klik op Next.
  7. Klik op Install (Installeren). Klik op Yes (Ja) om gebruikersaccountbeheer toe te staan.
  8. Klik op Finish (Voltooien) als de installatie is afgerond. Klik op Yes om gebruikersaccountbeheer toe te staan.
  9. Na de installatie wordt er een aanmeldingsvenster weergegeven.  Voer het e-mailadres en hoofdwachtwoord van de LastPass-beheerder in en klik vervolgens op Login (Aanmelden).

Verbindingsinstellingen configureren

Vervolgens moet u de verbinding tussen LastPass en uw Active Directory configureren door de volgende gegevens in te voeren:

  • Connection configuration (Configuratie van de verbinding) – Domein of server (bijv. lpadsync) of een domeincontroller in plaats van een domein om verbinding mee te maken (bijv. lp-adsync-dc01.lpadsync.local)
  • Credentials (Aanmeldingsgegevens) – Aanmeldingsgegevens huidige gebruiker of een specifieke set aanmeldingsgegevens
  • Base DN (Basis-DN) – Automatisch een basis-DN detecteren of deze opgeven. Hieronder worden alle relevante gebruikers- en groepsobjecten geplaatst. Voor optimale systeemprestaties wordt aanbevolen dat alle relevante gebruikers en hun ingebedde groepen onder de opgegeven basis-DN komen.

Als u klaar bent, klikt u op Next om de instellingen voor acties te configureren.

Instellingen voor acties configureren

Als uw verbindingsinstellingen zijn geconfigureerd, is de volgende stap de instellingen voor acties. Geef op welke actie moet worden uitgevoerd als specifieke gebeurtenissen optreden voor gebruikers in uw Active Directory.

Opmerking: Het wordt aanbevolen om de optie "disable" (uitschakelen) te gebruiken voor accounts in plaats van "delete" (verwijderen) om ongewenste gevolgen voor gebruikersaccounts te vermijden (bij "delete" gaan alle gegevens in de kluis van de verwijderde gebruiker volledig verloren).

Kies uit de volgende opties:

Als een gebruiker in Active Directory wordt gedetecteerd:

  • Add the user in the Enterprise Console, but require approval (Voeg de gebruiker toe in de Enterprise Console, maar vereis goedkeuring) – Deze functie synchroniseert gebruikers tussen Active Directory en LastPass, maar markeert hen als "in behandeling", in plaats van direct een account aan te maken voor iedere gebruiker (er is handmatige goedkeuring vereist voor iedere gebruiker).
  • Automatically create user in LastPass (Automatisch gebruiker maken in LastPass) – Deze optie maakt automatisch accounts aan voor iedere gebruiker en verstuurt geautomatiseerde welkomstberichten met een tijdelijk wachtwoord en instructies om een eigen hoofdwachtwoord aan te maken.
    Opmerking: WAARSCHUWING! Deze optie moet worden geselecteerd als u accounts inricht voor federatieve gebruikers via de LastPass Enterprise- of Identity-integratie met Active Directory Federation Services (AD FS).
  • Do nothing (Niets doen) – Er wordt geen actie uitgevoerd.

Als een gebruiker in Active Directory wordt verwijderd:

  • Administratively disable the LastPass account (LastPass-account administratief uitschakelen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Het account blijft echter bestaan in uw LastPass Enterprise- of Identity-account. De gebruiker kan zich niet aanmelden, tenzij het account weer wordt geactiveerd.
  • Remove from Enterprise account, but do not delete user (Verwijderen uit Enterprise-account, maar gebruiker niet verwijderen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker en verwijdert het account uit uw Enterprise- of Identity-account. Het wordt omgezet naar een LastPass Free-account. Alle gegevens in de kluis blijven beschikbaar voor de gebruiker.
  • Automatically delete their LastPass account (LastPass-account automatisch verwijderen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Ook wordt het account met alle gegevens in de kluis compleet gewist.

Als een gebruiker in Active Directory wordt uitgeschakeld:

  • Administratively disable the LastPass account (LastPass-account administratief uitschakelen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Het account blijft echter bestaan in uw LastPass Enterprise- of Identity-account. De gebruiker kan zich niet aanmelden, tenzij het account weer wordt geactiveerd.
  • Automatically delete their LastPass account (LastPass-account automatisch verwijderen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Ook wordt het account met alle gegevens in de kluis compleet gewist.
  • Remove from Enterprise account, but do not delete user (Verwijderen uit Enterprise-account, maar gebruiker niet verwijderen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker en verwijdert het account uit uw Enterprise- of Identity-account. Het wordt omgezet naar een LastPass Free-account. Alle gegevens in de kluis blijven beschikbaar voor de gebruiker.

Als een gebruiker in Active Directory wordt verwijderd uit een gefilterde groep:

  • Administratively disable the LastPass account (LastPass-account administratief uitschakelen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Het account blijft echter bestaan in uw LastPass Enterprise- of Identity-account. De gebruiker kan zich niet aanmelden, tenzij het account weer wordt geactiveerd.
  • Automatically delete their LastPass account (LastPass-account automatisch verwijderen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker. Ook wordt het account met alle gegevens in de kluis compleet gewist.
  • Remove from Enterprise account, but do not delete user (Verwijderen uit Enterprise-account, maar gebruiker niet verwijderen) – Dit maakt de licentie beschikbaar voor een nieuwe gebruiker en verwijdert het account uit uw Enterprise- of Identity-account. Het wordt omgezet naar een LastPass Free-account. Alle gegevens in de kluis blijven beschikbaar voor de gebruiker.
  • Do nothing (Niets doen) – Er wordt geen actie uitgevoerd.

Als u klaar bent met alle acties, klikt u op Next om de instellingen voor synchronisatie te configureren.

Synchronisatie configureren

Als de instellingen voor acties geconfigureerd zijn, is de volgende stap de synchronisatie-instellingen. Hier bepaalt u welke velden, groepen en gebruikers moeten synchroniseren tussen LastPass en Active Directory.

Opmerking: Gebruikers moeten een e-mailadres hebben in Active Directory om te kunnen synchroniseren met LastPass.

Configuratie synchroniseren:

  • Sync user's full name from AD (Volledige naam van gebruiker synchroniseren vanuit AD) – Als deze optie is ingeschakeld, wordt de volledige naam van de gebruiker gesynchroniseerd en weergegeven in LastPass. LastPass werkt standaard alleen met de gebruikersnaam (het e-mailadres).
  • Create groups in LastPass (Groepen aanmaken in LastPass) – Als deze optie is ingeschakeld en als er een groep bestaat in Active Directory maar niet in LastPass, dan wordt deze groep aangemaakt in LastPass. Als u groepen aanmaakt in LastPass op basis van uw Active Directory, worden bestaande groepen in LastPass verwijderd en vervangen door de opgegeven groepen in Active Directory.
  • Sync search interval (Synchronisatie-interval) – Deze optie dwingt de AD-connector om met een bepaald interval (tussen 5-3600 seconden) te controleren of er wijzigingen zijn in Active Directory en deze over te nemen.

Gebruikers filteren op basis van groepslidmaatschap:

  • U moet in dit gedeelte minimaal één groep opgeven om verder te kunnen met het configuratieproces, ook als u niet van plan bent groepen te gaan gebruiken in LastPass. Als u geen groep opgeeft, krijgt u de foutmelding "Login failed" (Aanmelding mislukt).
  • Via Browse (Bladeren) en Search (Zoeken) kunt u eenvoudig door uw Active Directory-groepen navigeren en alleen de groepen selecteren die u wilt synchroniseren. Als u groepen heeft toegevoegd die u niet wilt synchroniseren, selecteer deze dan en klik op Remove selected groups (Geselecteerde groepen verwijderen).
  • U kunt ook beperken welke gebruikers er worden toegevoegd aan uw bedrijfsaccount door een synchronisatiefilter in te stellen in de AD-connector. In dit veld moet u de DN-tekenreeks invoeren van de groep die u wilt filteren. Een goede bron voor een correcte DN-tekenreeks is het gebruik van het hulpprogramma ADSI bewerken. Als u meerdere groepen wilt toevoegen aan synchronisatiefilters, gebruik dan de volledige DN-strings in de volgende indeling:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Lidmaatschappen gebruiker:

  • Sync all group memberships (Alle groepslidmaatschappen synchroniseren) – Hiermee worden alle gebruikersgroepen in uw Active Directory gesynchroniseerd met uw LastPass Enterprise- of Identity-account.
  • Use allowlists to filter groups (Lijst met toegestane vermeldingen gebruiken om groepen te filteren) – Gebruik Browse (Bladeren) of Search (Zoeken) om de overkoepelende groep te vinden en selecteren die de groepen bevat die moeten worden gesynchroniseerd. Let op: de overkoepelende groep zelf komt niet op de lijst met toegestane vermeldingen.
  • Include nested groups (Inclusief geneste groepen) – Schakel deze optie als u wilt dat alle onderliggende groepen binnen een groep worden meegenomen bij de synchronisatie (d.w.z. als groep A groep B bevat, en in groep B zit groep C, dan worden de groepen A, B en C allemaal gesynchroniseerd). Hiermee kunt u gebruikersaccounts consolideren, dubbele toegang verwijderen en onderliggende geneste groepen automatisch toegang geven tot sites of gedeelde mappen.
  • Sync only the groups specified in the Filter users section (Alleen de groepen synchroniseren die zijn bepaald in het gedeelte "Gebruikers filteren") – Wees bijzonder voorzichtig met deze instelling. Deze optie synchroniseert alleen gebruikers binnen de groepen die zijn opgegeven bij Filter users based on group membership list (Gebruikers filteren op basis van groepslidmaatschap). Als een gebruiker in uw Active Directory het groepslidmaatschap in alle opgegeven groepen verliest, wordt de actie uitgevoerd voor het uitschakelen of verwijderen van een account die u heeft geconfigureerd onder Action setting (Instellingen actie). Dit kan ertoe leiden dat een gebruikersaccount buiten de opgegeven groepen wordt uitgeschakeld of verwijderd. Daarom is het sterk aanbevolen om bij het inschakelen van deze instelling een groepsset te selecteren die alle gebruikers bevat die moeten worden gesynchroniseerd, om te voorkomen dat ongewenste acties worden uitgevoerd.
    Opmerking:  Zorg ervoor dat alle relevante gebruikers, groepen en subgroepen allemaal onder de geselecteerde basis-DN staan die is geconfigureerd bij de Connection settings (Verbindingsinstellingen).
  • Do not sync group memberships (Groepslidmaatschappen niet synchroniseren) – Hiermee worden gebruikersgroepen in uw Active Directory niet gesynchroniseerd met uw LastPass Enterprise-account.

Uitgesloten groepen:

  • Use regular expressions to skip subgroups (Reguliere expressies gebruiken om subgroepen over te slaan) – Als u de optie Sync all group memberships (Alle groepslidmaatschappen synchroniseren) heeft ingeschakeld, kunt u een zwarte lijst aanmaken om ervoor te zorgen dat ze niet worden gesynchroniseerd. Hiervoor voert u de reguliere expressie (regex) in (d.w.z. de specifieke naam van de groep in Active Directory). Als er een overeenkomst is met de ingevoerde reguliere expressie, dan wordt die groep niet gesynchroniseerd met uw LastPass Enterprise-account. Als de optie "Include nested groups" (Inclusief geneste groepen) is ingeschakeld, geldt dit ook voor de onderliggende subgroepen.

Extra attributen om te synchroniseren:

  • Comma separated list (Door komma's gescheiden lijst) – Hier kunt u een attribuutnaam van gebruikers in Active Directory opgeven (bijv. sAMAccountName) die u wilt synchroniseren met uw LastPass Enterprise-account.

Als u klaar bent met alle synchronisatie-instellingen, klikt u op Next om de instellingen voor het debuggen te configureren.

Proxy-instellingen configureren

Proxy-instellingen kunnen worden geconfigureerd met een uitvoerbaar bestand voor alle .NET-toepassingen, of per gebruiker via IE-instellingen. De UI kan Kerberos-authenticatie gebruiken met de aanmeldingsgegevens van de huidige aangemelde gebruiker (moet een domeingebruiker zijn), de dienst met de aanmeldingsgegevens van de machine (moet verbonden zijn met het domein). Het is niet voldoende om de instellingen alleen te wijzigen voor de huidige aangemelde gebruiker, want alleen de AD-connector wordt uitgevoerd als de huidige aangemelde gebruiker en de synchronisatiedienst werkt als NT AUTHORITY\SYSTEM.

Debuggen

U kunt uw instellingen voor het debuggen configureren om synchronisatieproblemen met de AD-connector op te lossen.

Opties voor logboekregistratie:

  • Logging level (Registratieniveau) – Gebruik de vervolgkeuzelijst om een keuze te maken uit één of meer van de volgende opties voor logboekregistratie:
    • Error (Fout)
    • Warning (Waarschuwing)
    • Info (default) (Info (standaard))
    • Debug (Debuggen)
    • Trace (Volgen)
  • Maximum number of 100MB log files (5-90) (Maximumaantal logbestanden van 100 MB (5-90)) – Selecteer de gewenste hoeveelheid ruimte die de logbestanden mogen innemen.

Clear local cache (Lokale cache leegmaken):

  • Klik op Clear local cache om de groeps- en gebruikersgegevens handmatig te wissen, die standaard lokaal worden opgeslagen (deze optie moet worden gebruikt als u uw Active Directory moet herstellen van een back-up). Meer info.
  • Klik op Open log folder (Logmap openen) om Windows Verkenner te openen. Ga naar C:\ProgramData\LastPass en selecteer het bestand ADConnector.log. Als u extra assistentie nodig heeft, maakt u een supportticket voor LastPass Customer Care door de link Neem contact op met Support onder dit artikel te kiezen. Nadat LastPass Customer Care heeft gereageerd voegt u het logboekbestand toe aan uw ticket zodat de zaak nader onderzocht kan worden.

Klik op Finish (Voltooien) als u klaar bent en ga vervolgens naar Home. Schakel het selectievakje bij Enable sync (Synchronisatie inschakelen) in om de synchronisatie te starten.

Migratie

Als u Active Directory Federation Services (AD FS) voor uw LastPass Enterprise-account heeft ingesteld, kan de optie Migration (Migratie) in de LastPass AD-connector worden gebruikt om non-federatieve gebruikers te converteren naar federatieve gebruikers. Raadpleeg voor gedetailleerde instructies Hoe zet ik een bestaande LastPass-gebruiker om in een federatieve gebruiker (AD FS)?

Tabblad Migration in LastPass AD-connector