HELP FILE

Configuração de serviços federados (AD FS) para LastPass Enterprise

Os admins da conta do LastPass Enterprise podem definir e configurar os Serviços de Federação do Active Directory (AD FS), de maneira que os usuários possam usar as credenciais do Active Directory da empresa para efetuar login no LastPass sem precisar criar uma segunda senha mestre.

Antes de começar a implementação...

  • Analisa as limitações que se aplicam às contas de usuário federadas.
  • É altamente recomendável que você crie um ambiente do Active Directory não-produtivo com os Serviços Federados, assim você pode se familiarizar com o AD FS para LastPass Enterprise.
    • Seu ambiente de teste também deve incluir uma versão não-produção dos componentes na Etapa 1 (incluindo a criação de uma conta de avaliação separada do LastPass Enterprise para fins de teste). Siga todas as etapas de configuração abaixo usando sua conta do LastPass Enterprise não-produção com seu ambiente de teste primeiro para evitar qualquer perda de dados da conta do usuário não intencional.
  • Também é altamente recomendável que você implemente a autenticação multifator para seus usuários, mas esteja ciente do seguinte:
    • Você precisa configurar a autenticação multifator no nível do Provedor de identidade (AD FS) e não no nível do LastPass (pelo Console de administração e/ou configurações de conta do usuário final). O uso da autenticação multifator não é suportado no LastPass para usuários federados, e isso acabará fazendo com que esses usuários não consigam acessar seu cofre.
    • Você não pode impor as políticas de autenticação multifator no Console de administração do LastPass pois essa autenticação será feita fora do LastPass, entre seu Provedor de identidade (AD FS) e seu serviço de autenticação. Por esta razão, recomendamos a imposição de políticas de autenticação multifator no AD FS.

Etapa 1: Certifique-se de que a lista de verificação dos componentes necessários esteja completa

Antes de começar a usar os Serviços de Federação do Active Directory (AD FS) com o LastPass Enterprise, você já deve ter a seguinte configuração (para os ambientes não-produção e live):

  • Uma conta ativa do LastPass Enterprise que inclua:
    • Pelo menos 1 conta de admin ativada
    • Uma contagem de espaços de usuário que corresponda (ou exceda) a contagem de usuários que será sincronizada com seu Active Directory (nos ambientes não-produção e live) Observação: Se você estiver testando seu ambiente não-produção, é recomendável que você configure uma conta de teste do LastPass Enterprise separada, que você pode registrar aqui.
  • Ambientes de servidor do Active Directory (não produção e live) que atendam aos seguintes requisitos:
    • Ambos os ambientes estão configurados para usar os Serviços de Federação (AD FS 3.0 ou AD FS 4.0 no Windows Server 2012 R2 ou Windows Server 2016 com as últimas atualizações instaladas, incluindo o .Net Framework)
    • Você criou um campo de atributo personalizado (ou redefiniu um atributo existente que estava disponível para personalização) e foi definido como CONFIDENCIAL (o que permite que você defina as permissões de leitura apenas para admins privilegiados) e confirmado que está listado em seus ambientes não-produtivo e live do Active Directory. O atributo attributeSyntax personalizado deve ser 2.5.5.4 = ( NOCASE_STRING ) para uma configuração de sucesso.
    • Observação: O nome do atributo personalizado deve ser formado apenas por caracteres alfanuméricos (sem espaços ou caracteres especiais). Ele também diferencia letras maiúsculas de minúsculas, e deve ser registrado exatamente como aparece no editor de atributos do Active Directory.

    • Suas configurações de firewall estão definidas para acessar https://www.lastpass.com e seus subdomínios (*.lastpass.com) e você confirmou que eles não estão bloqueados por qualquer regra de firewall em todos os seus servidores do AD FS.
    • O usuário AD que esteja executando o serviço AD FS (AD FS acessa o atributo personalizado STORE, que lê o K1 no momento do login) – deve ter as permissões "CONTROL ACCESS"
  • A política "Redefinição de senha mestre do Super Admin" ativada
    • Se for exigido que essa política esteja ativada nas versões não-produção e live de suas contas do LastPass Enterprise (o que permite que você redefina uma senha mestre do usuário) – observe que para usuários federados, a redefinição das senhas mestre é a única forma de convertê-los em status de usuários não-federados, pois a senha mestre não será mais correspondente àquela armazenada no Active Directory – saiba mais

Assim que você concluir todos esses requisitos, será preciso capturar várias partes de informações durante o processo de configuração.  Abra um aplicativo de editor de texto e prepare os seguintes campos:

  • Atributo personalizado do Active Directory
  • URL do provedor de identidade
  • Chave pública do provedor de identidade
  • URL do provedor do serviço

Depois de preparar esses campos em seu editor de texto, siga para a próxima etapa.

Etapa 2: Capture o URL do seu provedor de identidade e chave pública do provedor de identidade

Depois, você precisará efetuar login no servidor dos Serviços de Federação do Active Directory (AD FS) e obter seu URL do provedor de identidade completo (Nome do serviço da Federação + Caminho do URL do token do terminal) e a Chave pública do provedor de identidade.

URL do provedor de identidade:

  1. efetue login no servidor dos Serviços de Federação do Active Directory (AD FS) e abra a ferramenta de gestão AD FS.
  2. Clique com o botão direito em Serviço > Editar propriedades do Serviço de federação.
  3. Na guia Geral, copie o URL dentro do campo Nome do Serviço de federação (por exemplo, fs.fabrikam.com) e cole-o no editor de texto. Certifique-se de que o Nome do Serviço de Federação inserido em seu editor de texto comece com "https://" pois isso é exigido pelo protocolo de segurança (por exemplo, https://fs.fabrikam.com).

Copiar nome do Serviço de federação

Caminho do URL de emissão do token do terminal:

  1. Na ferramenta Gerenciamento AD FS, vá para ServiçoTerminais.
  2. Na seção Emissão de token, localize a entrada com Federação SAML 2.0/WS listada na coluna "Tipo" (por exemplo, adfs/ls é o caminho padrão, mas isso pode variar de acordo com seu ambiente).
  3. Copie o valor do campo Caminho do URL e cole-o no editor de texto no fim do caminho do URL do provedor de identidade para que ele fique assim: https:// <Nome do Serviço de federação> + <Caminho do URL da emissão do token do terminal>. Por exemplo, todos os 3 componentes combinados seriam https://fs.fabrikam.com/adfs/ls como seu URL do provedor de identidade completo.

Copiar caminho do URL de emissão do token do terminal AD FS

Chave pública do provedor de identidade:

  1. Na ferramenta Gerenciamento AD FS, vá para ServiçoCertificados.
  2. Clique com o botão direito na entrada Certificado de autenticação de tokens e selecione Exibir certificado.
  3. Clique na guia Detalhes e depois clique para selecionar Chave pública.
  4. Na seção abaixo, destaque e copie toda a chave pública e cole-a no editor de texto.

Assim que o URL do provedor de identidade e a chave pública do provedor de identidade completos forem registrados no editor do texto, continue na próxima etapa.

Chave pública de Detalhes das Propriedades do Certificado de autenticação de tokens

Etapa adicional para ambientes do farm do AD FS:

  • Confirme que cada nó AD FS tenha o mesmo certificado de autenticação de tokens.

Etapa 3: Defina as configurações de login federado do LastPass Enterprise

Se você já tiver instalado o conector do Active Directory do LastPass, você precisa parar o serviço e sair do aplicativo ADC. Você precisará iniciá-lo em uma etapa posterior.

Agora que você obteve todas as informações necessárias, é possível definir suas configurações de login federado do LastPass Enterprise:

  1. Efetue login e acesse o console de administração em https://lastpass.com/company/#!/dashboard.
  2. Vá para ConfiguraçõesLogin federado no painel de navegação à esquerda.
  3. No campo URL do provedor, cole o URL completo de seu provedor de identidade (por exemplo, https:// + Nome do Serviço de Federação + Caminho do URL de emissão do token do terminal) que você obteve na etapa 2.
  4. No campo Chave pública, copie sua Chave pública do provedor de identidade obtido da etapa 2.
  5. Clique em Salvar configurações.
  6. Depois de salvar o campo URL do provedor do serviço abaixo será gerado automaticamente. Copie seu URL do provedor do serviço e cole-o em um editor de texto.
  7. Adicione o nome do atributo personalizado (que você criou ou redefiniu a finalidade e configurou na etapa 1) na seção “Configurar conector AD”, depois clique em Salvar.
  8. Depois que todos os campos forem atualizados em ambas as seções, uma caixa de seleção "Ativado" será exibida na seção "Configurar AD FS".

Configuração do login federado no Console de administração do Enterprise

Etapa 4: Instale o conector do Active Directory do LastPass

DICA! Crie um pequeno grupo de controle de usuários no Active Directory para ser usado inicialmente nas etapas abaixo.

  1. Instale o conector do Active Directory do LastPass ou, caso ele já esteja instalado, abra o aplicativo.
  2. Configure o conector do Active Directory do LastPass ao selecionar AçõesQuando um usuário é detectado no Active Directory > Criar usuário automaticamente no LastPass (em seus ambientes locais não-produção e live). Esta opção deve ser selecionada para que os usuários federados sejam criados pelo AD FS. Adicionalmente:
    • O usuário do AD que está usando o conector AD do LastPass deve ter as permissões "CONTROL ACCESS".
    • Configure pelo menos 1 grupo a ser sincronizado com o LastPass – recomenda-se iniciar com um pequeno grupo de controle com apenas alguns usuários para fins de teste
  3. Quando todas as configurações forem feitas, vá para Página inicialAtivar sincronização.
  4. Efetue login e acesse o console de administração em https://lastpass.com/company/#!/dashboard.
  5. Vá para Usuários no menu à esquerda para ver seus usuários sendo preenchidos conforme eles são sincronizados a partir do Active Directory. Os usuários federados são exibidos com um asterisco (*) antes do nome de usuário (por exemplo, *john.doe@acme.com).
  6. Verifique em seu Active Directory se o atributo personalizado (da etapa 1 seção "Ambientes do servidor do Active Directory") de pelo menos 1 usuário federado sincronizado do LastPass está preenchido pelo conector do Active Directory e é exibido como uma string aleatória.
    • Se o atributo personalizado estiver presente no Active Directory = sucesso – Isso confirma que o conector do Active Directory possui acesso de gravação do atributo personalizado para todos os usuários federados – continue na etapa 5 para registrar seu atributo personalizado.
    • Se o atributo personalizado estiver vazio no Active Directory = falha – Isso significa que o conector do Active Directory não pode gravar o atributo personalizado no Active Directory pois o usuário do AD executando o conector do Active Directory do LastPass não tem a permissão "CONTROL ACCESS" atribuída.
      Vamos consertar isso!
      1. O usuário do AD precisa parar o serviço e sair do aplicativo do conector do Active Directory do LastPass.
      2. Efetue login e acesse o Console de administração do LastPass em https://lastpass.com/company/#!/dashboard.
      3. Vá para Usuários no painel de navegação à esquerda e selecione todos os usuários federados recém-preenchidos (exibidos com um asterisco).
      4. Clique no ícone Mais Elipsis no canto superior direito e clique em Excluir usuários selecionados e confirme (já que todos eles possuem um valor de atributo personalizado vazio).
      5. No Active Directory, conceda a permissão "CONTROL ACCESS" ao usuário que executará o conector do Active Directory do LastPass.
      6. O usuário do AD precisa agora reiniciar o conector do Active Directory do LastPass e iniciar o serviço.
      7. Verifique novamente em seu Active Directory se o atributo personalizado está presente para um dos usuários federados sincronizados do LastPass.

Etapa 5: Faça o registro do seu atributo personalizado com o LastPass

Em seguida, você precisará registrar o atributo personalizado (que você criou ou redefiniu a finalidade e configurou na etapa 1) com o LastPass ao executar o instalador do plugin AD FS em seu servidor AD FS.

Observação: O nome do atributo personalizado deve ser formado apenas por caracteres alfanuméricos (sem espaços ou caracteres especiais). Ele também diferencia letras maiúsculas de minúsculas, e deve ser registrado exatamente como aparece no editor de atributos do Active Directory.

  1. Efetue login e acesse o console de administração em https://lastpass.com/company/#!/dashboard.
  2. Vá para ConfiguraçõesLogin federado no menu à esquerda.
  3. Na seção "Repositório de atributos personalizados do LastPass" na parte inferior da página, clique em Baixar ADFS Server 3.0 (para Windows Server 2012 R2) ou Baixar ADFS Server 4.0 (para Windows Server 2016) e salve o arquivo LastPass .MSI.
  4. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS) e transfira o arquivo .MSI no desktop de seu servidor AD FS e dê um clique duplo nele para executá-lo.
  5. Clique em Avançar.
  6. Insira seu URL do provedor do serviço do LastPass Enterprise (da etapa 3, ação 6), depois insira seu valor de atributo personalizado (da etapa 1) e clique em Próximo.
  7. Clique em Concluir quando o registro for concluído.
  8. Reinicie o serviço Windows AD FS. Isso é obrigatório.

Configuração do plugin do AD FS

Etapas adicionais para ambientes do farm do AD FS:

  1. No servidor AD FS, navegue para C:\Windows\ADFS onde você instalou o arquivo .MSI do LastPass.
  2. Copie os seguintes arquivos em todas as pastas dos servidores secundários do AD FS C:\Windows\ADFS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Reinicie o serviço Windows AD FS nos nós secundários do AD FS. Isso é obrigatório.

Etapa 6: Aplique as alterações da Política de controle de acesso

O Repositório de atributos personalizados do LastPass instalou autorização de parceiro de confiança “LastPassTrust” em seu(s) servidor(es) do AD FS.

  1. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS)
  2. Navegue para suas configurações do gerenciamento AD FS.
  3. Vá para Relações de confiança > Autorização de parceiro de confiança no painel de navegação à esquerda, depois siga as etapas a seguir com base na versão de seu servidor AD FS:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar regras de declaração....
      2. Selecione a guia Regras de autorização de emissão e defina sua regra desejada.
    • AD FS Server – 4.0 Windows Server 2016
      1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar política de controle de acesso....
      2. Defina sua política desejada.

Tudo pronto! Você configurou com sucesso os Serviços de Federação do Active Directory (AD FS) para sua conta do LastPass Enterprise. Todos os seus usuários federados recém-preenchidos receberão um e-mail de boas-vindas informando que eles agora podem efetuar login e usar o LastPass.