HELP FILE

Configuração do conector do Active Directory do LastPass

O cliente de sincronização do conector do Active Directory do LastPass (conector AD) é um serviço do Windows executado localmente e pode ser baixado a partir do Console de administração em sua conta do LastPass Enterprise. Ele se conecta ao seu ambiente do Active Directory para oferecer suporte a vários processos de provisionamento e gerenciamento no LastPass Enterprise.

Observação: Não instale o conector do Active Directory em seu controlador de domínio.

Você pode visualizar os requisitos do sistema e as etapas de instalação, depois aprender a definir as configurações de conexão, ações, sincronização, proxy, debug e migração.

Se desejado, você pode configurar os Serviços de Federação do Active Directory (AD FS) em sua conta do LastPass Enterprise para permitir que seus usuários usem suas credenciais do Active Directory ao efetuar o login no LastPass.

Requisitos do sistema

Para instalar o conector do Active Directory, seu ambiente local deve atender aos requisitos mínimos abaixo.

Observação: Os requisitos do sistema podem variar de acordo com o seu ambiente do Active Directory.

Processador Intel Core Duo
Sistema operacional
  • Windows 8.1 (x64) ou posterior
  • Server 2012 R2 (x64) ou posterior

*O sistema operacional deve ter .NET Framework 4.5.2 ou superior instalado

Memória 8 GB de RAM
Espaço em disco 500 MB ou mais
Largura de banda Consumo de 200 Mbps ou mais por dia
Software Aplicativo para desktop do conector do Active Directory do LastPass

Instalar o conector do Active Directory

Observação: Não instale o conector do Active Directory em seu controlador de domínio.

Primeiramente você precisa instalar o conector do AD da seguinte forma:

  1. Visite https://lastpass.com/company/#!/dashboard e efetue login para acessar o Console de administração.
  2. Vá para ConfiguraçõesIntegrações com diretórios > Baixar conector AD.
  3. Quando solicitado, clique em Salvar, depois Executar o arquivo LastPassADConnector.msi. Se solicitado pelo controle da conta do usuário, clique em Sim para permitir.
  4. No assistente de configuração do conector AD do LastPass, clique em Próximo.
  5. Marque a caixa para ativar a opção "Eu aceito os termos no Acordo de licença" e depois clique em Próximo.
  6. Confirme o caminho de instalação desejado e clique em Próximo.
  7. Clique em Instalar. Se solicitado pelo controle da conta do usuário, clique em Sim para permitir.
  8. Quando a instalação for concluída, clique em Concluir. Se solicitado pelo controle da conta do usuário, clique em Sim para permitir.
  9. Depois de instalado, um prompt de login será exibido.  Efetue login com seu endereço de e-mail de admin do LastPass Enterprise e senha mestre e clique em Efetuar login.

Definir as configurações de conexão

Depois você precisa configurar a conexão entre o LastPass e seu Active Directory ao inserir as seguintes informações:

  • Configuração da conexão – Domínio ou servidor (por exemplo, lpadsync) ou um controlador de domínio para se conectar em vez de um domínio (por exemplo, lp-adsync-dc01.lpadsync.local)
  • Credenciais – Credenciais de login do usuário atual ou um conjunto específico de credenciais do usuário
  • Base DN – Descobrir automaticamente ou especificar uma BaseDN. Este é o nó raiz sob o qual todos os objetos relevantes para o usuário e grupo estão localizados. Para um desempenho ideal, é recomendável que todos os usuários relevantes e seus grupos integrados estejam localizados sob um BaseDN específico.

Quando terminar, clique em Avançar para definir as configurações de Ações.

Definir as configurações de Ações

Assim que as configurações de conexão forem definidas, você definirá suas configurações de Ações para especificar quais ações devem ser executadas quando eventos específicos acontecem com os usuários em seu Active Directory.

Observação: É recomendável usar a opção de conta "desativar" em vez de "excluir" para evitar ações indesejadas nas contas dos usuários (por exemplo, perda total dos dados do cofre de um usuário excluído).

Escolha entre as seguintes opções:

Quando um usuário no Active Directory é detectado:

  • Adicionar o usuário no console do Enterprise, mas exigir aprovação – Isso sincronizará os usuários entre seu Active Directory e LastPass, mas irá colocá-los em um status "pendente" (e exigirá aprovação manual de cada um deles) em vez de criar imediatamente uma conta para cada usuário.
  • Criar automaticamente usuário no LastPass – Isso automaticamente criará contas para cada novo usuário e enviará a eles um e-mail de boas-vindas automatizado com uma senha temporária e as instruções para criar sua senha mestre individual. AVISO! Esta opção deve ser obrigatoriamente selecionada se você estiver fazendo o provisionamento de usuários federados pela integração do LastPass Enterprise com os Serviços de Federação do Active Directory (AD FS).
  • Nenhuma ação – Nenhuma ação será tomada.

Quando um usuário no Active Directory é excluído:

  • Desativar a conta do LastPass de forma administrativa – Isso liberará o espaço de usuário para ser distribuído para outro usuário, no entanto a conta do usuário continuará a existir dentro de sua conta do LastPass Enterprise e o usuário não conseguirá efetuar login e usar o LastPass, a menos que ele seja reativado.
  • Remover da conta Enterprise, mas não excluir usuário – Isso liberará o espaço de usuário para ser distribuído para outros usuário e removê-lo da conta do LastPass Enterprise, no entanto, isso converterá a conta em um usuário do LastPass Free, e todos os dados do cofre da conta permanecerão acessíveis ao usuário.
  • Excluir automaticamente sua conta do LastPass – Isso liberará o espaço de usuário para ser distribuído para outro usuário, no entanto isso também excluirá completamente a conta do LastPass e todos os dados dentro do cofre do usuário.

Quando um usuário no Active Directory é desativado:

  • Desativar a conta do LastPass de forma administrativa – Isso liberará o espaço de usuário para ser distribuído para outro usuário, no entanto a conta do usuário continuará a existir dentro de sua conta do LastPass Enterprise e o usuário não conseguirá efetuar login e usar o LastPass, a menos que ele seja reativado.
  • Excluir automaticamente sua conta do LastPass – Isso liberará o espaço de usuário para ser distribuído para outro usuário, no entanto isso também excluirá completamente a conta do LastPass e todos os dados dentro do cofre do usuário.
  • Remover da conta Enterprise, mas não excluir usuário – Isso liberará o espaço de usuário para ser distribuído para outros usuário e removê-lo da conta do LastPass Enterprise, no entanto, isso converterá a conta em um usuário do LastPass Free, e todos os dados do cofre da conta permanecerão acessíveis ao usuário.

Quando um usuário no Active Directory é removido do grupo em filtro:

  • Desativar a conta do LastPass de forma administrativa – Isso liberará o espaço de usuário para ser distribuído para outro usuário, no entanto a conta do usuário continuará a existir dentro de sua conta do LastPass Enterprise e o usuário não conseguirá efetuar login e usar o LastPass, a menos que ele seja reativado.
  • Excluir automaticamente sua conta do LastPass – Isso liberará o espaço de usuário para ser distribuído para outro usuário, no entanto isso também excluirá completamente a conta do LastPass e todos os dados dentro do cofre do usuário.
  • Remover da conta Enterprise, mas não excluir usuário – Isso liberará o espaço de usuário para ser distribuído para outros usuário e removê-lo da conta do LastPass Enterprise, no entanto, isso converterá a conta em um usuário do LastPass Free, e todos os dados do cofre da conta permanecerão acessíveis ao usuário.
  • Nenhuma ação – Nenhuma ação será tomada.

Quando você tiver selecionado todas as suas configurações de Ações, clique em Próximo para configurar as definições de sincronização.

Configurar as definições de sincronização

Depois de definir suas configurações de Ações, você então definirá suas configurações de sincronização para especificar seus campos, grupos e usuários que você deseja que sejam sincronizados entre o LastPass e seu Active Directory.

Observação: Os usuários precisam ter um endereço de e-mail listado no Active Directory para serem sincronizados com o LastPass.

Configuração de sincronização:

  • Sincronizar nome completo do usuário do AD – Esta opção sincronizará o nome completo de cada usuário para ser exibido no LastPass quando ativado. Por padrão, o LastPass só lista os usuários por seu nome de usuário (ou seja, endereço de e-mail).
  • Criar grupos no LastPass – Se um grupo existir no Active Directory, mas não no LastPass, a ativação desta opção criará esses grupos no LastPass. Se você estiver criando grupos no LastPass com base em seu Active Directory, qualquer grupo existente no LastPass será removido e substituído pelos grupos especificados do Active Directory.
  • Intervalo de pesquisa de sincronização – Isso forçará o conector AD a verificar e fazer alterações em um ciclo conforme o intervalo de tempo designado (entre 5-3600 segundos).

Filtrar usuários com base na associação ao grupo:

  • Você pode clicar em Pesquisar e Buscar para navegar facilmente em seus grupos conectados do Active Directory e selecionar apenas os grupos que você deseja sincronizar. Se você tiver adicionado grupo(s) que você não deseja sincronizar, clique para selecionar o grupo e depois clique em Remover grupos selecionados.
  • Você também pode limitar quais usuários são adicionados ao seu Enterprise ao especificar um filtro de sincronização dentro do conector AD. Este filtro deve ser preenchido com a string DN do grupo que você deseja filtrar. Uma boa fonte para um string DN preciso é por meio do uso da ferramenta ADSI Edit. Ao adicionar vários grupos aos filtros de sincronização, use as strings DN completas no seguinte formato:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Associações do usuário:

  • Sincronizar todas as associações de grupos – Isso sincronizará todos os grupos de usuário em seu Active Directory com sua conta do LastPass Enterprise.
  • Usar lista de permissão para filtrar grupos – Use Pesquisar ou Busca para localizar e selecionar um grupo geral que contém diretamente os grupos a serem sincronizados, mas o grupo geral selecionado não entrará em uma lista de permissões.
  • Incluir grupos aninhados – Marque a caixa para ativar esta opção se você deseja que todos os subgrupos em um grupo sejam incluídos durante a sincronização (por exemplo, se o grupo A inclui o grupo B e o grupo B inclui o grupo C, então os grupos A, B e C serão incluídos). Isso permite que você consolide as contas dos usuários, remova o acesso duplicado e dê automaticamente acesso aos grupos aninhados para o site ou pasta compartilhada.
  • Sincronizar somente os grupos especificados na seção filtrar usuários – Use esta configuração com muito cuidado. Esta opção sincronizará apenas os usuários dentro dos grupos especificados na lista Filtrar usuários com base na associação ao grupo que você especificou. Se um usuário em seu Active Directory deixar de pertencer a todos os grupos especificados, a ação desativar/excluir definida em suas configurações de Ações é acionada e poderia resultar na desativação ou exclusão dos usuários fora de seus grupos selecionados. Por este motivo, é altamente recomendável que você selecione uma definição de grupo que inclua todos os usuários que deveriam ser sincronizados para evitar ações indesejadas ao ativar esta configuração. Observação: Certifique-se de que todos os usuários, grupos e subgrupos relevantes estejam localizados sob o BaseDN selecionado que você especificou em suas configurações de conexão.
  • Não sincronizar as associações de grupos – Essa opção não sincronizará os grupos de usuário em seu Active Directory com sua conta do LastPass Enterprise.

Grupos excluídos:

  • Usar expressões regulares para pular subgrupos – Se você tiver ativado a opção Sincronizar todas as associações de grupo, você pode criar uma lista negra para garantir que o(s) grupo(s) especificado(s) não sejam sincronizados ao inserir a expressão regular (por exemplo, nome do grupo específico em seu Active Directory). Se houver uma correspondência para a respectiva expressão regular, então o grupo (e os subgrupos se a opção "Incluir grupos aninhados" estiver ativada) não será sincronizado com sua conta do LastPass Enterprise.

Atributos adicionais para sincronização:

  • Lista separada por vírgulas – Aqui você pode especificar um nome de atributo do usuário do Active Directory (por exemplo, sAMAccountName) que você deseja sincronizar com sua conta do LastPass Enterprise.

Quando você tiver selecionado todas as suas configurações de Sincronização, clique em Próximo para configurar as definições de Debug.

Configurar as definições de proxy

As configurações de proxy podem ser definidas por executável, para todos os aplicativos .NET ou por usuário através das configurações do IE. A IU pode usar a autenticação Kerberos com as credenciais do usuário atualmente conectado (deve ser um usuário de domínio), o serviço com as credenciais da máquina (deve estar conectado ao domínio). Não é suficiente mudar as configurações apenas para o usuário atualmente conectado, pois apenas o conector AD está sendo executado no usuário atualmente conectado e o serviço de sincronização está sendo executado como NT AUTHORITY\SYSTEM.

Para instruções detalhadas, você pode validar suas configurações de proxy.

Debug

Você pode definir suas configurações de debug para solução de problemas de sincronização do conector AD.

Opções de registro:

  • Nível de registro – Use o menu suspenso para selecionar 1 dos seguintes tipos de registro:
    • Erro
    • Aviso
    • Informação (padrão)
    • Debug
    • Rastreamento
  • Número máximo de arquivos de log de 100MB (5-90) – Selecione a quantidade desejada de espaço que você deseja ocupar com os arquivos de log.

Limpar cache local:

  • Clique em Limpar cache local para limpar manualmente os dados do grupo e do usuário armazenados localmente por padrão (deve ser usado se você precisar restaurar seu Active Directory a partir do back-up. Saiba mais.
  • Clique em Abrir pasta do log para abrir o Windows Explorer e navegar para C:\ProgramData\LastPass para selecionar seu arquivo ADConnector.log e enviá-lo para support@lastpass.com caso você precise de suporte ou tiver problemas ao usar o conector AD do LastPass.

Quando terminar, clique em Concluir e vá para Página inicial e marque a caixa "Ativar" para começar a sincronização.

Migração

Se você tiver configurado os Serviços de Federação do Active Directory (AD FS) em sua conta to LastPass Enterprise, a opção Migração no conector AD do LastPass pode ser usado para converter contas de usuários não-federados em usuários federados. Para obter instruções detalhadas, consulte Como eu converto um usuário existente do LastPass Enterprise em um usuário federado (AD FS)?

Relacionado

Perguntas frequentes do conector do Active Directory

Configuração de serviços federados (AD FS) para LastPass Enterprise

Como eu converto um usuário existente do LastPass Enterprise em um usuário federado (AD FS)?