HELP FILE

Configurar o Active Directory Connector do LastPass

O Active Directory Connector é um aplicativo desktop que recebe atualizações de usuários do Active Directory e faz as mesmas alterações na sua conta do LastPass para empresas automaticamente.

Observação: não instale o Active Directory Connector em seu controlador de domínio.

Você pode visualizar os requisitos de sistema e as etapas de instalação, depois aprender a definir as configurações de conexão, ações, sincronização, proxy, depuração e migração.

Se desejar, você pode configurar os Serviços de Federação do Active Directory (AD FS) em sua conta do LastPass Enterprise ou Identity para permitir que os usuários usem as credenciais do Active Directory ao efetuar o login no LastPass.

Requisitos de sistema

Para instalar o Active Directory Connector, seu ambiente local deve atender aos requisitos mínimos abaixo.

Observação: Os requisitos do sistema podem variar de acordo com o seu ambiente do Active Directory.
Processador Intel Core Duo
Sistema operacional
  • Windows 8.1 (x64) ou posterior
  • Server 2012 R2 (x64) ou posterior

*O sistema operacional deve ter .NET Framework 4.5.2 ou superior instalado

Memória 8 GB de RAM
Espaço em disco 500 MB ou mais
Largura de banda Consumo de pelo menos 200 Mbps ou mais por dia
Software Aplicativo para desktop do Active Directory Connector do LastPass

Instalar o Active Directory Connector

Observação: não instale o Active Directory Connector em seu controlador de domínio.

Primeiramente você precisa instalar o AD Connector da seguinte forma:

  1. Acesse https://lastpass.com/company/#!/dashboard e efetue login para acessar o Console de administração.
  2. Acesse ConfiguraçõesIntegrações de diretóriosBaixar AD Connector.
  3. Quando solicitado, clique em Salvar, depois Executar o arquivo LastPassADConnector.msi. Se solicitado pelo Controle de Conta de Usuário, clique em Sim para permitir.
  4. No assistente de configuração do AD Connector do LastPass, clique em Próximo.
  5. Marque a caixa para ativar a opção "Eu aceito os termos no Acordo de licença" e depois clique em Próximo.
  6. Confirme o caminho de instalação desejado e clique em Próximo.
  7. Clique em Instalar. Se solicitado pelo Controle de Conta de Usuário, clique em Sim para permitir.
  8. Quando a instalação for concluída, clique em Concluir. Se solicitado pelo Controle de Conta de Usuário, clique em Sim para permitir.
  9. Depois de instalado, uma janela de login será exibida.  Efetue login com seu endereço de e-mail e senha mestre de administrador do LastPass e clique em Efetuar login.

Definir as configurações de conexão

Depois você precisa configurar a conexão entre o LastPass e seu Active Directory ao inserir as seguintes informações:

  • Configuração da conexão – Domínio ou servidor (por exemplo, lpadsync) ou um controlador de domínio para se conectar em vez de um domínio (por exemplo, lp-adsync-dc01.lpadsync.local)
  • Credenciais – Credenciais de login do usuário atual ou um conjunto específico de credenciais do usuário
  • Base DN – Descobrir automaticamente ou especificar uma BaseDN. Este é o nó raiz sob o qual todos os objetos relevantes para o usuário e grupo estão localizados. Para um desempenho ideal, é recomendável que todos os usuários relevantes e seus grupos integrados estejam localizados sob um BaseDN específico.

Quando terminar, clique em Avançar para definir as configurações de Ações.

Definir as configurações de Ações

Assim que as configurações de conexão forem definidas, você definirá suas configurações de Ações para especificar quais ações devem ser executadas quando eventos específicos acontecem com os usuários em seu Active Directory.

Observação: É recomendável usar a opção de conta "desativar" em vez de "excluir" para evitar ações indesejadas nas contas dos usuários (por exemplo, perda total dos dados do cofre de um usuário excluído).

Escolha uma das seguintes opções:

Quando um usuário no Active Directory é detectado:

  • Adicionar o usuário no console do Enterprise, mas exigir aprovação – Isso sincronizará os usuários entre seu Active Directory e LastPass, mas irá colocá-los em um status "pendente" (e exigirá aprovação manual de cada um deles) em vez de criar imediatamente uma conta para cada usuário.
  • Criar automaticamente usuário no LastPass – Serão criadas automaticamente contas para cada novo usuário e será enviado um e-mail de boas-vindas automatizado com uma senha temporária e as instruções para criar sua senha mestre individual.
    Observação: AVISO! Esta opção deve ser obrigatoriamente selecionada se você estiver fazendo o provisionamento de usuários federados pela integração do LastPass Enterprise ou Identity com os Serviços de Federação do Active Directory (AD FS).
  • Nenhuma ação – Nenhuma ação será tomada.

Quando um usuário no Active Directory é excluído:

  • Desativar a conta do LastPass de forma administrativa – Será liberado o espaço de usuário para ser distribuído para outro usuário; no entanto, a conta do usuário continuará existindo dentro da conta do LastPass Enterprise ou Identity, e o usuário não conseguirá efetuar login e usar o LastPass, a menos que seja reativado.
  • Remover da conta Enterprise, mas não excluir usuário – Será liberado o espaço de usuário para ser distribuído para outro usuário e ele será removido da conta do LastPass Enterprise ou Identity; no entanto, a conta será convertida em um usuário do LastPass Free, e todos os dados do cofre da conta permanecerão acessíveis ao usuário.
  • Excluir automaticamente sua conta do LastPass – Será liberado o espaço de usuário para ser distribuído para outro usuário; no entanto, também será excluída completamente a conta do LastPass e todos os dados dentro do cofre do usuário.

Quando um usuário no Active Directory é desativado:

  • Desativar a conta do LastPass de forma administrativa – Será liberado o espaço de usuário para ser distribuído para outro usuário; no entanto, a conta do usuário continuará existindo dentro da conta do LastPass Enterprise ou Identity, e o usuário não conseguirá efetuar login e usar o LastPass, a menos que seja reativado.
  • Excluir automaticamente sua conta do LastPass – Será liberado o espaço de usuário para ser distribuído para outro usuário; no entanto, também será excluída completamente a conta do LastPass e todos os dados dentro do cofre do usuário.
  • Remover da conta Enterprise, mas não excluir usuário – Será liberado o espaço de usuário para ser distribuído para outro usuário e ele será removido da conta do LastPass Enterprise ou Identity; no entanto, a conta será convertida em um usuário do LastPass Free, e todos os dados do cofre da conta permanecerão acessíveis ao usuário.

Quando um usuário no Active Directory é removido do grupo no filtro:

  • Desativar a conta do LastPass de forma administrativa – Será liberado o espaço de usuário para ser distribuído para outro usuário; no entanto, a conta do usuário continuará existindo dentro da conta do LastPass Enterprise ou Identity, e o usuário não conseguirá efetuar login e usar o LastPass, a menos que seja reativado.
  • Excluir automaticamente sua conta do LastPass – Será liberado o espaço de usuário para ser distribuído para outro usuário; no entanto, também será excluída completamente a conta do LastPass e todos os dados dentro do cofre do usuário.
  • Remover da conta Enterprise, mas não excluir usuário – Será liberado o espaço de usuário para ser distribuído para outro usuário e ele será removido da conta do LastPass Enterprise ou Identity; no entanto, a conta será convertida em um usuário do LastPass Free, e todos os dados do cofre da conta permanecerão acessíveis ao usuário.
  • Nenhuma ação – Nenhuma ação será tomada.

Quando você tiver selecionado todas as suas configurações de Ações, clique em Próximo para configurar as definições de sincronização.

Configurar as definições de sincronização

Depois de definir suas configurações de Ações, você então definirá suas configurações de sincronização para especificar seus campos, grupos e usuários que você deseja que sejam sincronizados entre o LastPass e seu Active Directory.

Observação: Os usuários precisam ter um endereço de e-mail listado no Active Directory para serem sincronizados com o LastPass.

Configuração de sincronização:

  • Sincronizar nome completo do usuário do AD – Esta opção sincronizará o nome completo de cada usuário para ser exibido no LastPass quando ativado. Por padrão, o LastPass só lista os usuários por seu nome de usuário (ou seja, endereço de e-mail).
  • Criar grupos no LastPass – Se um grupo existir no Active Directory, mas não no LastPass, a ativação desta opção criará esses grupos no LastPass. Se você estiver criando grupos no LastPass com base em seu Active Directory, qualquer grupo existente no LastPass será removido e substituído pelos grupos especificados do Active Directory.
  • Intervalo de pesquisa de sincronização – Isso forçará o AD Connector a verificar e fazer alterações em um ciclo conforme o intervalo de tempo designado (entre 5-3600 segundos).

Filtrar usuários com base na associação ao grupo:

  • Você deve especificar pelo menos um grupo nesta seção para continuar o processo de configuração, mesmo se não planeja usar grupos no LastPass. Se o grupo não for especificado, será exibida a mensagem de erro "Falha no login".
  • Você pode clicar em Pesquisar e Buscar para navegar facilmente pelos grupos conectados do Active Directory e selecionar apenas os grupos que deseja sincronizar. Se você tiver adicionado grupos que não deseja sincronizar, selecione o grupo e depois clique em Remover grupos selecionados.
  • Você também pode limitar quais usuários são adicionados à sua conta para empresas especificando um filtro de sincronização dentro do AD Connector. Esse filtro deve ser preenchido com a string DN do grupo que você deseja filtrar. Uma boa fonte para um string DN preciso é por meio do uso da ferramenta ADSI Edit. Ao adicionar vários grupos aos filtros de sincronização, use as strings DN completas no seguinte formato:
CN=LastPass,OU=Groups,OU=USA,DC=yourdomain,DC=com|CN=LastPass2,OU=Groups,OU=USA,DC=yourdomain,DC=com

Associações do usuário:

  • Sincronizar todas as associações de grupos – Serão sincronizados todos os grupos de usuário em seu Active Directory com a conta do LastPass Enterprise.
  • Usar lista de permissão para filtrar grupos – Use Pesquisar ou Buscar para localizar e selecionar um grupo geral que contém diretamente os grupos a serem sincronizados, mas o grupo geral selecionado não entrará em uma lista de permissões.
  • Incluir grupos aninhados – Marque a caixa para ativar esta opção se você deseja que todos os subgrupos em um grupo sejam incluídos durante a sincronização (por exemplo, se o grupo A inclui o grupo B e o grupo B inclui o grupo C, então os grupos A, B e C serão incluídos). Isso permite que você consolide as contas dos usuários, remova o acesso duplicado e dê automaticamente acesso aos grupos aninhados para o site ou pasta compartilhada.
  • Sincronizar somente os grupos especificados na seção filtrar usuários – Use esta configuração com muito cuidado. Esta opção sincronizará apenas os usuários dentro dos grupos especificados na lista Filtrar usuários com base na associação ao grupo que você especificou. Se um usuário em seu Active Directory deixar de pertencer a todos os grupos especificados, a ação desativar/excluir definida em suas configurações de Ações é acionada e poderia resultar na desativação ou exclusão dos usuários fora de seus grupos selecionados. Por este motivo, é altamente recomendável que você selecione uma definição de grupo que inclua todos os usuários que deveriam ser sincronizados para evitar ações indesejadas ao ativar esta configuração.
    Observação:  Certifique-se de que todos os usuários, grupos e subgrupos relevantes estejam localizados sob o BaseDN selecionado que você especificou nas configurações de conexão.
  • Não sincronizar as associações de grupos – Essa opção não sincronizará os grupos de usuário em seu Active Directory com sua conta do LastPass Enterprise.

Grupos excluídos:

  • Usar expressões regulares para pular subgrupos – Se você tiver ativado a opção Sincronizar todas as associações de grupo, você pode criar uma lista negra para garantir que o(s) grupo(s) especificado(s) não sejam sincronizados ao inserir a expressão regular (por exemplo, nome do grupo específico em seu Active Directory). Se houver uma correspondência para a respectiva expressão regular, então o grupo (e os subgrupos se a opção "Incluir grupos aninhados" estiver ativada) não será sincronizado com sua conta do LastPass Enterprise.

Atributos adicionais para sincronização:

  • Lista separada por vírgulas – Aqui você pode especificar um nome de atributo do usuário do Active Directory (por exemplo, sAMAccountName) que você deseja sincronizar com sua conta do LastPass Enterprise.

Quando você tiver selecionado todas as suas configurações de Sincronização, clique em Próximo para configurar as definições de Debug.

Configurar as definições de proxy

As configurações de proxy podem ser definidas por executável, para todos os aplicativos .NET ou por usuário através das configurações do IE. A IU pode usar a autenticação Kerberos com as credenciais do usuário atualmente conectado (deve ser um usuário de domínio), o serviço com as credenciais da máquina (deve estar conectado ao domínio). Não é suficiente mudar as configurações apenas para o usuário atualmente conectado, pois apenas o AD Connector está sendo executado com a conta do usuário atualmente conectado, e o serviço de sincronização está sendo executado com a conta NT AUTHORITY\SYSTEM.

Depuração

Você pode definir suas configurações de debug para solução de problemas de sincronização do AD Connector.

Opções de registro:

  • Nível de registro – Use o menu suspenso para selecionar 1 dos seguintes tipos de registro:
    • Erro
    • Aviso
    • Informação (padrão)
    • Depuração
    • Rastreamento
  • Número máximo de arquivos de log de 100 MB (5-90) – Selecione a quantidade desejada de espaço que você deseja ocupar com os arquivos de log.

Limpar cache local:

  • Clique em Limpar cache local para limpar manualmente os dados do grupo e do usuário armazenados localmente por padrão (deve ser usado se você precisar restaurar seu Active Directory a partir do backup). Saiba mais.
  • Clique em Abrir pasta do log para abrir o Windows Explorer e navegar para C:\ProgramData\LastPass para selecionar seu arquivo ADConnector.log. Para mais ajuda, crie um tíquete de suporte para o Atendimento ao Cliente do LastPass selecionando Entrar em contato com o suporte ao final deste artigo. Depois que o Atendimento ao Cliente do LastPass responder, anexe o arquivo de registro ao tíquete para maiores investigações.

Quando terminar, clique em Concluir, vá para Página inicial e marque a caixa Ativar sincronização para começar a sincronização.

Migração

Se você tiver configurado os Serviços de Federação do Active Directory (AD FS) em sua conta do LastPass Enterprise, a opção Migração no AD Connector do LastPass pode ser usada para converter contas de usuários não federados em usuários federados. Para obter instruções detalhadas, consulte Como converto um usuário existente do LastPass em um usuário federado (AD FS)?

Guia Migração do AD Connector do LastPass