HELP FILE

Solução de problemas de login federado para os Serviços de Federação do Active Directory (AD FS)

Se você estiver enfrentando problemas após configurar seu ambiente do LastPass Enterprise ou LastPass Identity para usar os Serviços de Federação do Active Directory (AD FS), pode seguir as etapas abaixo para verificar a configuração e fazer uma solução de problemas básica. Não se esqueça de executar essas verificações na sequência.

Etapa 1: Verificar as atualizações do Windows e as versões dos componentes do LastPass

Verifique se há atualizações e instale as versões mais recentes do seguinte:

• Atualizações do Windows Server (incluindo a última versão do .Net Framework)
• O conector do Active Directory do LastPass usado deve ser na versão 1.2.652 ou posterior – Atualizar agora ou abra o conector do AD do LastPass e vá para Página inicial > Verificar se há atualizações.
• A extensão do navegador do LastPass usada deve ser a da última versão disponível – Atualizar agora

Etapa 2: Verificar as configurações de firewall

O Repositório de atributos personalizados deve poder se comunicar com os APIs do LastPass, o que significa que o(s) servidor(es) do AD FS precisam acessar *.lastpass.com.

• Abra um navegador em seu(s) servidor(es) do AD FS e navegue para https://lastpass.com. Se não for possível acessar, você precisa colocar o domínio *.lastpass.com na lista de permissões de seu firewall.

Observação: Se seu ambiente for um farm de servidor AD FS com nós primários e secundários, certifique-se de que o domínio *.lastpass.com esteja na lista de permissões de todas as máquinas.

Etapa 3: Verificar as permissões de usuários do AD

Há dois usuários em seu ambiente do Active Directory que precisam ter acesso leitura e gravação para o atributo personalizado:

• O usuário AD que executa o conector do AD do LastPass (que preenche o atributo personalizado no momento do provisionamento)
• O usuário AD que esteja executando o serviço AD FS (AD FS acessa o Repositório de atributos personalizados, que lê o atributo personalizado no momento do login)

Ambos os usuários precisam ter permissão de ACESSO DE CONTROLE para acessar o atributo personalizado marcado como CONFIDENCIAL. Se os usuários não tiverem essa permissão, ela precisa ser definida. Você pode verificar as permissões do usuário de uma das seguintes maneiras:

Usando a ferramenta LDP

Os sistemas operacionais do Windows Server possuem uma ferramenta integrada que permite que você verifique as permissões de seus usuários do AD com base em suas associações ao grupo.

• No servidor do Active Directory, execute o ldp.exe e confirme que o grupo atribuído do usuário do AD possui o ACESSO DE CONTROLE ativado.

Usando o comando dsacls

Você pode executar distinguishedName do comando do atributo personalizado" para verificar as permissões de seus usuários do AD:

1. Em seu servidor do Active Directory, execute o prompt de comando como um administrador.
2. Insira o seguinte comando: dsacls
3. Confirme que a permissão ACESSO DE CONTROLE está atribuída.

Etapa 4: Verificar se o plugin AD FS está instalado e registrado no valor de atributo personalizado certo

Se o plugin do AD FS estiver instalado corretamente, você vai encontrar o LastPassAttributeStore listado.

1. Em seu servidor AD FS, abra a ferramenta do gerente de servidor AD FS.
2. Acesse AD FS > Serviço > Repositórios de atributos.
3. Verifique se LastPassAttributeStore está listado.

AVISO! Se você não conseguir encontrar o Repositório de atributos, isso significa que a instalação não foi concluída com sucesso. Reinstale o plugin do AD FS e confirme se o nome do valor do atributo personalizado e a versão estão corretos.

1. Desinstale o LastPassAttributeStore.msi.
2. Efetue login e acesse o console de administração em https://lastpass.com/company/#!/dashboard.
3. Acesse Configurações > Login federado no menu à esquerda.
4. Confirme se o nome do valor do atributo personalizado está correto.
5. Na seção "Repositório de atributos personalizados do LastPass" na parte inferior da página, clique em Baixar ADFS Server 3.0(para Windows Server 2012 R2) ou Baixar ADFS Server 4.0 (para Windows Server 2016) e salve o arquivo CustomAttributeStore.msi no LastPass.
6. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS) e transfira o arquivo CustomAttributeStore.msi no desktop de seu servidor AD FS e dê um clique duplo nele para executá-lo.
7. Clique em Avançar.
8. Insira seu URL do provedor do serviço do LastPass Enterprise, depois insira seu valor de atributo personalizado e clique em Próximo.
9. Clique em Concluir quando o registro for concluído.
10. Reinicie o serviço Windows AD FS. Isso é obrigatório.

Etapa 5: Verificar a configuração do atributo personalizado

Você pode usar a ferramenta ADSI Edit para verificar as propriedades de seu atributo personalizado para confirmar se ele foi configurado adequadamente.

1. Em seu servidor do Active Directory, execute o prompt de comando como um administrador.
2. Insira o seguinte comando: adsiedit.msc

   Observação: Se a ferramenta ADSI Edit não estiver disponível, você pode registrá-la ao abrir o prompt de comando como um administrador e executar os seguintes comandos: regsvr32 adsiedit.dll e depois adsiedit.msc

3. Conecte a "well known Naming Context": Esquema.
4. Localize o atributo personalizado e abra Propriedades.
5. Localize os seguintes atributos, seus valores devem ser correspondentes ao seguinte (conforme mostrado abaixo):
   • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
   • searchFlags: 0X80 = ( CONFIDENTIAL )

Configurado corretamente

AVISO! Se o atributo searchFlags não estiver configurado como CONFIDENCIAL (por exemplo, exibido como INDEX), então você precisa configurá-lo como CONFIDENCIAL.

Configurado incorretamente

Etapa 6: Verificar se o atributo personalizado foi preenchido

Confirme se o conector do AD do LastPass preencheu o atributo personalizado corretamente.

1. Efetue login em seu servidor do Active Directory.
2. Abra a ferramenta de gerenciamento Usuários e computadores do Active Directory.
3. Acesse Exibir e certifique-se de que Recursos avançados esteja ativado ou clique na opção do menu Recursos avançados para ativá-la.
4. Acesse Usuários no painel de navegação à esquerda.
5. Clique com o botão direito em um usuário e depois em Propriedades.
6. Clique na guia Editor de atributos.
7. Localize o atributo personalizado que você criou (por exemplo, LastPassK1) e confirme se um valor foi definido (conforme mostrado abaixo).

Configurado corretamente

AVISO! Se o valor do atributo personalizado (conforme mostrado abaixo), então você precisa verificar o seguinte:

• O nome do atributo personalizado que você criou também deve corresponder ao nome listado no Console de administração do LastPass – Veja como consertar isso.
• O usuário do AD que está usando o conector AD do LastPass deve ter as permissões ACESSO DE CONTROLE – Saiba como verificar as permissões do usuário da etapa 3.

Configurado incorretamente

Etapa 7: Verificar a configuração do farm do servidor do AD FS (se aplicável)

Confirme se os DLLs estão presentes nos nós secundário e subsequente, da seguinte maneira:

1. No servidor AD FS, navegue para C:\Windows\ADFS onde você instalou o arquivo CustomAttributeStore.msi do LastPass.
2. Copie os seguintes arquivos em todas as pastas dos servidores secundários e subsequentes do AD FS C:\Windows\ADFS:
   • LastPassADFS.dll
   • LastPassConfig.dll
   • LastPassLib.dll
   • LastPassLogger.dll
   • LastPassSettings.dll
   • BouncyCastle.Crypto.dll
   • NLog.dll
3. Reinicie o serviço Windows AD FS nos nós secundários e subsequentes do AD FS.

Problemas conhecidos e solução de problemas adicional

Se você confirmou que as configurações do LastPass Enterprise e do AD FS estão definidas corretamente, há algumas etapas adicionais a serem executadas para solucionar problemas com base no problema que você está enfrentando.

Tela em branco depois de efetuar login como um usuário federado

Possíveis causas e como consertá-las:

• O usuário do serviço AD FS não tem permissões ACESSO DE CONTROLE – Saiba como consertar isso a partir da etapa 3.
• Em um ambiente farm AD FS, os DLLs do plugin do AD FS não foram copiados para os nós do AD FS secundários e subsequentes – Saiba como consertar isso a partir da etapa 6.
• O endereço de e-mail não foi definido como um atributo AD.
• O atributo personalizado não está configurado ou presente – Saiba como configurar a partir da etapa 5 e preencher a partir da etapa 6.

O atributo personalizado está vazio

Possíveis causas e como consertá-las:

O login federado não foi ativado no Console de administração do LastPass no momento do provisionamento pelo conector do AD do LastPass.

 

1. Pare o serviço do conector AD do LastPass.
2. Efetue login e acesse o console de administração em https://lastpass.com/company/#!/dashboard.
3. Acesse Usuários no painel de navegação à esquerda e exclua todos os usuários provisionados como usuários federados.
4. Acesse Configurações > Login federado no painel de navegação à esquerda.
5. Marque a caixa da opção "Ativar".
6. Reinicie o serviço do conector AD do LastPass para fazer o provisionamento dos usuários federados.

O conector do AD do LastPass não foi reiniciado depois que o login federado foi ativado no Console de administração do LastPass. Reinicie o serviço do conector AD do LastPass para fazer o provisionamento dos usuários federados.

Há uma falta de correspondência no nome do atributo personalizado entre o Console de administração do LastPass e o plugin AD FS – Saiba como consertar isso.

Erro de log do evento do Windows: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationExceção: POLICY0017: Repositório de atributos 'LastPassAttributeStore' não está configurado.

Como consertar isso:

• Reinicie o serviço Windows AD FS no servidor do AD FS para carregar o plugin AD FS do LastPass corretamente.
• Para um ambiente de farm do servidor AD FS, verifique a configuração do farm do servidor AD FS da etapa 7.

Erro de log do evento do Windows: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: A autorização de parceiro de confiança solicitada 'https://accounts.lastpass.com/' não é específica ou não é suportada. Se a autorização de parceiro de confiança foi especificada, é possível que você não tenha permissão para acessá-la. Entre em contato com o administrador para obter detalhes.

Como consertar isso:

• Verifique se o plugin AD FS foi instalado da etapa 4 e configurado corretamente da etapa 5.
• Para um ambiente de farm do servidor AD FS, verifique a configuração do farm do servidor AD FS da etapa 7.

Erro de log do evento do Windows: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: A autorização do chamador falhou para identidade do chamador DOMAIN\USERNAME para autorização de parceiro de confiança 'https://accounts.lastpass.com/'

Como consertar isso:

• Verifique a autorização de parceiro de confiança do usuário e as regras de autorização de emissão (Windows Server 2012) ou Política de controle de acesso (Windows Server 2016) no servidor do AD FS.
  1. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS)
  2. Navegue para suas configurações do gerenciamento AD FS.
  3. Acesse Relações de confiança > Autorização de parceiro de confiança no painel de navegação à esquerda, depois siga as etapas a seguir com base na versão de seu servidor AD FS:
     • AD FS Server 3.0 – Windows Server 2012 R2
       1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar regras de declaração....
       2. Selecione a guia Regras de autorização de emissão e defina sua regra desejada.
     • AD FS Server – 4.0 Windows Server 2016
       1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar política de controle de acesso....
       2. Defina sua política desejada.

"Entre em contato com o administrador do LastPass em sua empresa para obter ajuda" depois de efetuar login como um usuário federado

Como consertar isso:

• Desativar as opções da autenticação multifator e políticas no nível do LastPass