Olá! Estamos aqui para ajudar.

Verifique se há atualizações e instale as versões mais recentes do seguinte:

• Atualizações do Windows Server (incluindo a última versão do .Net Framework)
• O Active Directory Connector do LastPass deve estar na versão 1.2.652 ou posterior – Atualize agora ou abra o AD Connector do LastPass e acesse Página inicial > Verificar se há atualizações.
• A extensão do navegador do LastPass usada deve estar na última versão disponível – Atualize agora

O Repositório de atributos personalizados deve poder se comunicar com os APIs do LastPass, o que significa que o(s) servidor(es) do AD FS precisam acessar *.lastpass.com.

• Abra um navegador em seus servidores do AD FS e acesse https://lastpass.com. Se não for possível acessar, você precisa colocar o domínio *.lastpass.com na lista de permissões de seu firewall.

Há dois usuários em seu ambiente do Active Directory que precisam ter acesso leitura e gravação para o atributo personalizado:

• O usuário AD que executa o AD Connector do LastPass (que preenche o atributo personalizado no momento do provisionamento)
• O usuário AD que esteja executando o serviço AD FS (AD FS acessa o Repositório de atributos personalizados, que lê o atributo personalizado no momento do login)

Ambos os usuários precisam ter permissão de CONTROLE DE ACESSO para acessar o atributo personalizado marcado como CONFIDENCIAL. Se os usuários não tiverem essa permissão, ela precisa ser definida. Você pode verificar as permissões do usuário de uma das seguintes maneiras:

Os sistemas operacionais do Windows Server possuem uma ferramenta integrada que permite que você verifique as permissões de seus usuários do AD com base em suas associações ao grupo.

• No servidor do Active Directory, execute o ldp.exe e confirme que o grupo atribuído do usuário do AD possui o CONTROLE DE ACESSO ativado.

Você pode executar distinguishedName do comando do atributo personalizado" para verificar as permissões de seus usuários do AD:

1. Em seu servidor do Active Directory, execute o prompt de comando como um administrador.
2. Insira o seguinte comando: dsacls
3. Confirme que a permissão CONTROLE DE ACESSO está atribuída.

Se o plugin do AD FS estiver instalado corretamente, você vai encontrar o LastPassAttributeStore listado.

1. Em seu servidor AD FS, abra a ferramenta do gerente de servidor AD FS.
2. Acesse AD FS > Serviço > Repositórios de atributos.
3. Verifique se LastPassAttributeStore está listado.

AVISO! Se você não conseguir encontrar o Repositório de atributos, isso significa que a instalação não foi concluída com sucesso. Reinstale o plugin do AD FS e confirme se o nome do valor do atributo personalizado e a versão estão corretos.

1. Desinstale o LastPassAttributeStore.msi.
2. Efetue login e acesse o Console de administração em https://lastpass.com/company/#!/dashboard.
3. Acesse Configurações > Login federado no menu à esquerda.
4. Confirme se o nome do valor do atributo personalizado está correto.
5. Na seção "Repositório de atributos personalizados do LastPass" na parte inferior da página, clique em Baixar ADFS Server 3.0(para Windows Server 2012 R2) ou Baixar ADFS Server 4.0 (para Windows Server 2016) e salve o arquivo CustomAttributeStore.msi no LastPass.
6. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS) e transfira o arquivo CustomAttributeStore.msi no desktop de seu servidor AD FS e dê um clique duplo nele para executá-lo.
7. Clique em Avançar.
8. Insira seu URL do provedor do serviço do LastPass Enterprise, depois insira seu valor de atributo personalizado e clique em Próximo.
9. Clique em Concluir quando o registro for concluído.
10. Reinicie o serviço Windows AD FS. Isso é obrigatório.

Você pode usar a ferramenta ADSI Edit para verificar as propriedades de seu atributo personalizado para confirmar se ele foi configurado adequadamente.

1. Em seu servidor do Active Directory, execute o prompt de comando como um administrador.
2. Insira o seguinte comando: adsiedit.msc
   Observação:  se a ferramenta ADSI Edit não estiver disponível, você pode registrá-la abrindo o prompt de comando como administrador e executando os seguintes comandos: regsvr32 adsiedit.dll e depois adsiedit.msc
3. Conecte a "well known Naming Context": Esquema.
4. Localize o atributo personalizado e abra Propriedades.
5. Localize os seguintes atributos, seus valores devem ser correspondentes ao seguinte (conforme mostrado abaixo):
   • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
   • searchFlags: 0X80 = ( CONFIDENTIAL )

Configurado corretamente

AVISO! Se o atributo searchFlags não estiver configurado como CONFIDENCIAL (por exemplo, exibido como INDEX), então você precisa configurá-lo como CONFIDENCIAL.

Configurado incorretamente

Confirme se o AD Connector do LastPass preencheu o atributo personalizado corretamente.

1. Efetue login em seu servidor do Active Directory.
2. Abra a ferramenta de gerenciamento Usuários e computadores do Active Directory.
3. Acesse Exibir e certifique-se de que Recursos avançados esteja ativado ou clique na opção do menu Recursos avançados para ativá-la.
4. Acesse Usuários no painel de navegação à esquerda.
5. Clique com o botão direito em um usuário e depois em Propriedades.
6. Clique na guia Editor de atributos.
7. Localize o atributo personalizado que você criou (por exemplo, LastPassK1) e confirme se um valor foi definido (conforme mostrado abaixo).

Configurado corretamente

AVISO! Se o valor do atributo personalizado (conforme exibido abaixo), você precisa verificar o seguinte:

• O nome do atributo personalizado que você criou também deve corresponder ao nome listado no Console de administração do LastPass – Veja como consertar isso.
• O usuário do AD que está usando o AD Connector do LastPass deve ter as permissões CONTROLE DE ACESSO – Saiba como verificar as permissões do usuário na etapa 3.

Configurado incorretamente

Confirme se os DLLs estão presentes nos nós secundário e subsequente, da seguinte maneira:

1. No servidor AD FS, navegue para C:\Windows\ADFS onde você instalou o arquivo CustomAttributeStore.msi do LastPass.
2. Copie os seguintes arquivos em todas as pastas dos servidores secundários e subsequentes do AD FS C:\Windows\ADFS:
   • LastPassADFS.dll
   • LastPassConfig.dll
   • LastPassLib.dll
   • LastPassLogger.dll
   • LastPassSettings.dll
   • BouncyCastle.Crypto.dll
   • NLog.dll
3. Reinicie o serviço Windows AD FS nos nós secundários e subsequentes do AD FS.

Se você confirmou que as configurações do LastPass Enterprise e do AD FS estão definidas corretamente, há algumas etapas adicionais a serem executadas para solucionar problemas com base no problema que você está enfrentando.

Possíveis causas e como consertá-las:

• O usuário do serviço AD FS não tem permissões CONTROLE DE ACESSO – Saiba como consertar isso na etapa 3.
• Em um ambiente de farm de AD FS, os DLLs do plugin do AD FS não foram copiados para os nós do AD FS secundários e subsequentes – Saiba como consertar isso na etapa 6.
• O endereço de e-mail não foi definido como um atributo do AD.
• O atributo personalizado não está configurado ou presente – Saiba como configurar na etapa 5 e preencher na etapa 6.

Possíveis causas e como consertá-las:

O login federado não foi ativado no Console de administração do LastPass no momento do provisionamento pelo AD Connector do LastPass.

1. Pare o serviço do AD Connector do LastPass.
2. Efetue login e acesse o Console de administração em https://lastpass.com/company/#!/dashboard.
3. Acesse Usuários no painel de navegação à esquerda e exclua todos os usuários provisionados como usuários federados.
4. Acesse Configurações > Login federado no painel de navegação à esquerda.
5. Marque a caixa da opção "Ativar".
6. Reinicie o serviço do AD Connector do LastPass para fazer o provisionamento dos usuários federados.

O AD Connector do LastPass não foi reiniciado depois que o login federado foi ativado no Console de administração do LastPass. Reinicie o serviço do AD Connector do LastPass para fazer o provisionamento dos usuários federados.

Há uma falta de correspondência no nome do atributo personalizado entre o Console de administração do LastPass e o plugin AD FS – Saiba como consertar isso.

Como consertar isso:

• Reinicie o serviço Windows AD FS no servidor do AD FS para carregar o plugin AD FS do LastPass corretamente.
• Para um ambiente de farm de servidores AD FS, verifique a configuração do farm de servidores AD FS na etapa 7.

Como consertar isso:

• Verifique se o plugin AD FS foi instalado na etapa 4 e configurado corretamente na etapa 5.
• Para um ambiente de farm de servidores AD FS, verifique a configuração do farm de servidores AD FS na etapa 7.

Como consertar isso:

• Verifique a autorização de parceiro de confiança do usuário e as regras de autorização de emissão (Windows Server 2012) ou Política de controle de acesso (Windows Server 2016) no servidor do AD FS.
  1. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS)
  2. Navegue para suas configurações do gerenciamento AD FS.
  3. Acesse Relações de confiança > Autorização de parceiro de confiança no painel de navegação à esquerda, depois siga as etapas a seguir com base na versão de seu servidor AD FS:
     • AD FS Server 3.0 – Windows Server 2012 R2
       1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar regras de declaração....
       2. Selecione a guia Regras de autorização de emissão e defina sua regra desejada.
     • AD FS Server 4.0 – Windows Server 2016
       1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar política de controle de acesso....
       2. Defina a política desejada.

Como consertar isso:

• Desativar as opções da autenticação multifator e políticas no nível do LastPass