HELP FILE

Configurar o login federado simplificado do LastPass usando o AD FS

Os administradores das contas do LastPass Enterprise e LastPass Identity podem definir e configurar os Serviços de Federação do Active Directory (AD FS) para que os usuários possam usar a conta do Active Directory da empresa para efetuar login no LastPass sem precisar criar uma segunda senha mestre.

Antes de começar a implementação...

  • Verifique as limitações que se aplicam às contas de usuário federadas.
  • É altamente recomendável que você crie um ambiente do Active Directory com os Serviços Federados fora do ambiente de produção; assim, você pode se familiarizar com o AD FS para o LastPass Enterprise ou LastPass Identity.
    • Seu ambiente de teste também deve incluir uma versão dos componentes fora do ambiente de produção na Etapa 1 (incluindo a criação de uma conta de avaliação separada do LastPass Enterprise ou LastPass Identity para fins de testes). Siga todas as etapas de configuração abaixo usando sua conta do LastPass Enterprise ou LastPass Identity fora do ambiente de produção com seu ambiente de teste primeiro para evitar qualquer perda de dados da conta do usuário não intencional.
  • Também é recomendável que você implemente a autenticação multifator para seus usuários, mas fique ciente do seguinte:
    • Você precisa configurar a autenticação multifator no nível do Provedor de identidade (AD FS), e não no nível do LastPass (pelo Console de administração e/ou configurações de conta do usuário final). O uso da autenticação multifator não é suportado no LastPass para usuários federados, e isso acabará fazendo com que esses usuários não consigam acessar seu cofre.
    • Você não pode impor as políticas de autenticação multifator no Console de administração do LastPass pois essa autenticação será feita fora do LastPass, entre seu Provedor de identidade (AD FS) e seu serviço de autenticação. Por esta razão, recomendamos a imposição de políticas de autenticação multifator no AD FS.
  • Por padrão, recomendamos o uso da chave da empresa, pois as etapas descritas aqui não requerem alteração do esquema do Active Directory. Se você quiser configurar uma chave única para cada usuário, siga estas instruções de configuração.

Etapa 1: Checar se a lista de verificação dos componentes necessários está completa

Antes de começar a usar os Serviços de Federação do Active Directory com o LastPass Enterprise ou LastPass Identity, você já deve ter a seguinte configuração (para os ambientes de teste e de produção):

  • Uma conta ativa do LastPass Enterprise ou LastPass Identity que inclua:
    • Pelo menos 1 conta de admin ativada
    • Uma contagem de espaços de usuário que corresponda (ou exceda) a contagem de usuários que será sincronizada com seu Active Directory (nos ambientes de teste e produção)
      Observação:  se você estiver testando seu ambiente de testes, é recomendável que configure uma conta de teste do LastPass Enterprise ou LastPass Identity separada, que você pode registrar aqui.
  • Ambientes de servidor do Active Directory (testes e produção) que atendam aos seguintes requisitos:
    • Ambos os ambientes estão instalados e configurados para usar os Serviços de Federação (AD FS 3.0 para Windows Server 2012 R2 ou AD FS 4.0 para Windows Server 2016 ou Windows Server 2019) com as últimas atualizações instaladas, incluindo o .Net Framework
    • Suas configurações de firewall estão definidas para acessar https://www.lastpass.com ou https://www.lastpass.eu e seus subdomínios (*.lastpass.com; *.lastpass.eu, respectivamente), e você confirmou que eles não estão bloqueados por qualquer regra de firewall em todos os seus servidores do AD FS.
  • A política "Permitir que os super admins redefinam as senhas mestre" está ativada
    • É necessário que você tenha ativado a política Permitir que os super admins redefinam as senhas mestre por pelo menos um administrador do LastPass (que não é administrador federado) no Console de administração do LastPass. Isso garante que todas as contas de usuário do LastPass ainda possam ser recuperadas (por meio da redefinição da senha mestre) se uma configuração importante estiver definida incorretamente ou tiver sido alterada para login federado após a conclusão da configuração.

Assim que você concluir todos esses requisitos, será preciso capturar várias informações importantes durante o processo de configuração.  Abra um editor de texto e prepare os seguintes campos:

  • Chave da empresa:
  • URL do provedor de identidade:
  • Chave pública do provedor de identidade:
  • URL do serviço do consumidor de declaração (ACS) do LastPass:

Depois de preparar esses campos no editor de texto, siga para a próxima etapa.

Etapa 2: Capturar o URL do seu provedor de identidade e a chave pública do provedor de identidade

Depois, você precisará efetuar login no servidor dos Serviços de Federação do Active Directory (AD FS) e obter seu URL do provedor de identidade completo (Nome do serviço da Federação + Caminho do URL de emissão do token do terminal) e a Chave pública do provedor de identidade.

URL do provedor de identidade

  1. Efetue login no servidor dos Serviços de Federação do Active Directory (AD FS) e abra a ferramenta de gerenciamento do AD FS.
  2. Clique com o botão direito em Serviço > Editar propriedades do Serviço de federação.
  3. Na guia Geral, copie o URL dentro do campo Nome do Serviço de federação (por exemplo, fs.fabrikam.com) e cole-o no editor de texto. Certifique-se de que o Nome do Serviço de Federação inserido em seu editor de texto comece com "https://" pois isso é exigido pelo protocolo de segurança (por exemplo, https://fs.fabrikam.com).

Copiar nome do Serviço de federação

Caminho do URL de emissão do token do terminal

  1. Na ferramenta Gerenciamento do AD FS, acesse ServiçoPontos de extremidade.
  2. Na seção Emissão de token, localize a entrada com Federação SAML 2.0/WS listada na coluna "Tipo" (por exemplo, adfs/ls é o caminho padrão, mas pode variar de acordo com seu ambiente).
  3. Copie o valor do campo Caminho do URL e cole-o no editor de texto no fim do caminho do URL do provedor de identidade para que ele fique assim: https:// + . Por exemplo, todos os 3 componentes combinados seriam https://fs.fabrikam.com/adfs/ls como seu URL do provedor de identidade completo.

Copiar caminho do URL de emissão do token do terminal AD FS

Chave pública do provedor de identidade

  1. Na ferramenta Gerenciamento do AD FS, acesse ServiçoCertificados.
  2. Clique com o botão direito na entrada Certificado de autenticação de tokens e selecione Exibir certificado.
  3. Clique na guia Detalhes e depois clique para selecionar Chave pública.
  4. Na seção abaixo, destaque e copie toda a chave pública e cole-a no editor de texto.

Assim que o URL do provedor de identidade e a chave pública do provedor de identidade completos forem registrados no editor do texto, continue na próxima etapa.

Chave pública de Detalhes das Propriedades do Certificado de autenticação de tokens

Etapa adicional para ambientes do farm do AD FS:

  • Confirme que cada nó do AD FS tenha o mesmo certificado de assinatura de tokens.

Etapa 3: Definir as configurações de login federado do LastPass Enterprise ou LastPass Identity

Se você já tiver instalado o Active Directory Connector do LastPass, precisa parar o serviço e sair do aplicativo ADC. Você precisará iniciá-lo em uma etapa posterior.

Agora que você obteve todas as informações necessárias, poderá definir as configurações de login federado do LastPass Enterprise ou LastPass Identity da seguinte maneira:

  1. Efetue login e acesse o Console de administração:
  2. Acesse ConfiguraçõesLogin federado no painel de navegação à esquerda.
  3. No campo URL do provedor, cole o URL completo de seu provedor de identidade (por exemplo, https:// + Nome do Serviço de Federação + Caminho do URL de emissão do token do terminal) que você obteve na etapa 2.
  4. No campo Chave pública, cole sua Chave pública do provedor de identidade obtida na etapa 2.
  5. Quando todos os campos forem atualizados em ambas as seções, marque a caixa da configuração Ativado.
  6. Clique em Salvar configurações.
  7. Após salvar, o campo URL do Serviço do consumidor de declaração (ACS) do LastPass abaixo será gerado automaticamente. Copie o URL do Serviço do consumidor de declaração (ACS) do LastPass e cole-o em um editor de texto.

Etapa 4: Instalar o Active Directory Connector do LastPass

Dica: crie um pequeno grupo de controle de usuários no Active Directory para ser usado inicialmente nas etapas abaixo.
  1. Instale o Active Directory Connector do LastPass (veja as instruções aqui). Se o AD Connector do LastPass já estiver instalado, você precisa reiniciar o aplicativo antes de prosseguir para a alteração das configurações.
  2. Configure o Active Directory Connector do LastPass selecionando AçõesQuando um usuário é detectado no Active Directory > Criar usuário automaticamente no LastPass (em seus ambientes locais de testes e produção).
    Aviso: esta opção deve ser selecionada para que os usuários federados sejam criados pelo AD FS.
  3. Selecione AD FS no painel de navegação à esquerda e clique em Editar.
  4. Clique em Gerar nova chave secreta.
    Importante: você precisa salvar a nova chave secreta (no campo chave da empresa) em um local seguro. Se você precisar reinstalar o AD Connector do LastPass no futuro, terá que inserir essa mesma chave da empresa novamente.
  5. Quando todas as configurações estiverem prontas, selecione a guia Página inicial no painel de navegação à esquerda do AD Connector do LastPass e marque a caixa Ativar sincronização para começar a sincronização.
  6. Efetue login e acesse o Console de administração:
  7. Acesse Usuários no painel de navegação à esquerda para ver seus usuários sendo preenchidos à medida que são sincronizados a partir do Active Directory. Os usuários federados são exibidos com um asterisco (*) antes do nome de usuário (por exemplo, *john.doe@acme.com).

Etapa 5: Registrar a chave da empresa no LastPass

Em seguida, você precisará registrar a chave da empresa no LastPass executando o instalador do plugin do AD FS em seu servidor AD FS.

  1. Efetue login e acesse o Console de administração:
  2. Acesse ConfiguraçõesLogin federado no painel de navegação à esquerda.
  3. Na seção "Repositório de atributos personalizados do LastPass" na parte inferior da página, clique em Baixar para ADFS Server 3.0 (para Windows Server 2012 R2) ou Baixar para ADFS Server 4.0 (para Windows Server 2016 ou Windows Server 2019) e salve o arquivo .MSI do LastPass.
  4. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS) e transfira o arquivo .MSI para a área de trabalho de seu servidor AD FS. Clique com o botão direito e selecione Executar como administrador ou execute o instalador .MSI em um prompt de comando com privilégios de administrador. Clique em Sim caso seja exibida uma janela do Controle de Conta de Usuário.
    Observação: O instalador .MSI do plugin do AD FS deve ser executado como administrador ou com permissões elevadas, mesmo se você tiver efetuado login como administrador de domínio.
  5. Clique em Avançar.
  6. Insira o URL do serviço do consumidor de declaração (ACS) do LastPass (da etapa 3, ação 6), insira a chave da empresa (da etapa 4, ação 4) e clique em Próximo.
  7. Clique em Concluir quando o registro for concluído.
  8. Reinicie o serviço Windows AD FS. Isso é obrigatório.

Etapas adicionais para ambientes de farm do AD FS:

  1. No servidor AD FS, navegue para C:\Windows\ADFS onde você instalou o arquivo .MSI do LastPass.
  2. Copie os seguintes arquivos em todas as pastas dos servidores secundários do AD FS C:\Windows\ADFS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Reinicie o serviço Windows AD FS nos nós secundários do AD FS. Isso é obrigatório.

Etapa 6: Aplicar as alterações da Política de controle de acesso

O Repositório de atributos personalizados do LastPass instalou autorização de parceiro de confiança "LastPass Trust" em seus servidores do AD FS.

  1. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS)
  2. Navegue para suas configurações do gerenciamento AD FS.
  3. Acesse Relações de confiança > Autorização de parceiro de confiança no painel de navegação à esquerda, depois siga as etapas a seguir com base na versão de seu servidor AD FS:
    • AD FS Server 3.0 – Windows Server 2012 R2
      1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar regras de declaração....
      2. Selecione a guia Regras de autorização de emissão e configure a regra desejada, que definirá como os usuários serão autenticados ao efetuar login no LastPass pelo login federado usando o AD FS.
    • AD FS Server 4.0 – Windows Server 2016 ou Windows Server 2019
      1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar política de controle de acesso....
      2. Configure a política desejada, que definirá como os usuários serão autenticados ao efetuar login no LastPass pelo login federado usando o AD FS.

Está tudo pronto!

Você configurou com sucesso os Serviços de Federação do Active Directory (AD FS) para sua conta do LastPass Enterprise ou LastPass Identity. Todos os seus usuários federados recém-preenchidos receberão um e-mail de boas-vindas informando que agora podem efetuar login e usar o LastPass.