HELP FILE
Solução de problemas de login federado dos Serviços de Federação do Active Directory (AD FS)
Se você estiver enfrentando problemas após configurar seu ambiente do LastPass Enterprise ou LastPass Identity para usar os Serviços de Federação do Active Directory (AD FS), pode seguir as etapas abaixo para verificar a configuração e fazer uma solução de problemas básica. Não se esqueça de executar essas verificações na sequência.
Etapa 1: Verificar as atualizações do Windows e as versões dos componentes do LastPass
Verifique se há atualizações e instale as versões mais recentes do seguinte:
- Atualizações do Windows Server (incluindo a última versão do .Net Framework)
- O Active Directory Connector do LastPass deve estar na versão 1.2.652 ou posterior – Atualize agora ou abra o AD Connector do LastPass e acesse Página inicial > Verificar se há atualizações.
- A extensão do navegador do LastPass usada deve estar na última versão disponível – Atualize agora
Etapa 2: Verificar as configurações de firewall
O Repositório de atributos personalizados deve poder se comunicar com os APIs do LastPass, o que significa que o(s) servidor(es) do AD FS precisam acessar *.lastpass.com.
- Abra um navegador em seus servidores do AD FS e acesse https://lastpass.com. Se não for possível acessar, você precisa colocar o domínio *.lastpass.com na lista de permissões de seu firewall.
Etapa 3: Verificar as permissões de usuários do AD
Há dois usuários em seu ambiente do Active Directory que precisam ter acesso leitura e gravação para o atributo personalizado:
- O usuário AD que executa o AD Connector do LastPass (que preenche o atributo personalizado no momento do provisionamento)
- O usuário AD que esteja executando o serviço AD FS (AD FS acessa o Repositório de atributos personalizados, que lê o atributo personalizado no momento do login)
Ambos os usuários precisam ter permissão de CONTROLE DE ACESSO para acessar o atributo personalizado marcado como CONFIDENCIAL. Se os usuários não tiverem essa permissão, ela precisa ser definida. Você pode verificar as permissões do usuário de uma das seguintes maneiras:
Usando a ferramenta LDP
Os sistemas operacionais do Windows Server possuem uma ferramenta integrada que permite que você verifique as permissões de seus usuários do AD com base em suas associações ao grupo.
- No servidor do Active Directory, execute o ldp.exe e confirme que o grupo atribuído do usuário do AD possui o CONTROLE DE ACESSO ativado.
Usando o comando dsacls
Você pode executar distinguishedName do comando do atributo personalizado" para verificar as permissões de seus usuários do AD:
- Em seu servidor do Active Directory, execute o prompt de comando como um administrador.
- Insira o seguinte comando: dsacls
- Confirme que a permissão CONTROLE DE ACESSO está atribuída.
Etapa 4: Verificar se o plugin AD FS está instalado e registrado no valor de atributo personalizado certo
Se o plugin do AD FS estiver instalado corretamente, você vai encontrar o LastPassAttributeStore listado.
- Em seu servidor AD FS, abra a ferramenta do gerente de servidor AD FS.
- Acesse AD FS > Serviço > Repositórios de atributos.
- Verifique se LastPassAttributeStore está listado.
AVISO! Se você não conseguir encontrar o Repositório de atributos, isso significa que a instalação não foi concluída com sucesso. Reinstale o plugin do AD FS e confirme se o nome do valor do atributo personalizado e a versão estão corretos.
- Desinstale o LastPassAttributeStore.msi.
- Efetue login e acesse o Console de administração em https://lastpass.com/company/#!/dashboard.
- Acesse Configurações > Login federado no menu à esquerda.
- Confirme se o nome do valor do atributo personalizado está correto.
- Na seção "Repositório de atributos personalizados do LastPass" na parte inferior da página, clique em Baixar ADFS Server 3.0(para Windows Server 2012 R2) ou Baixar ADFS Server 4.0 (para Windows Server 2016) e salve o arquivo CustomAttributeStore.msi no LastPass.
- Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS) e transfira o arquivo CustomAttributeStore.msi no desktop de seu servidor AD FS e dê um clique duplo nele para executá-lo.
- Clique em Avançar.
- Insira seu URL do provedor do serviço do LastPass Enterprise, depois insira seu valor de atributo personalizado e clique em Próximo.
- Clique em Concluir quando o registro for concluído.
- Reinicie o serviço Windows AD FS. Isso é obrigatório.
Etapa 5: Verificar a configuração do atributo personalizado
Você pode usar a ferramenta ADSI Edit para verificar as propriedades de seu atributo personalizado para confirmar se ele foi configurado adequadamente.
- Em seu servidor do Active Directory, execute o prompt de comando como um administrador.
- Insira o seguinte comando: adsiedit.msc Observação: se a ferramenta ADSI Edit não estiver disponível, você pode registrá-la abrindo o prompt de comando como administrador e executando os seguintes comandos: regsvr32 adsiedit.dll e depois adsiedit.msc
- Conecte a "well known Naming Context": Esquema.
- Localize o atributo personalizado e abra Propriedades.
- Localize os seguintes atributos, seus valores devem ser correspondentes ao seguinte (conforme mostrado abaixo):
- attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
- searchFlags: 0X80 = ( CONFIDENTIAL )
Configurado corretamente
AVISO! Se o atributo searchFlags não estiver configurado como CONFIDENCIAL (por exemplo, exibido como INDEX), então você precisa configurá-lo como CONFIDENCIAL.
Configurado incorretamente
Etapa 6: Verificar se o atributo personalizado foi preenchido
Confirme se o AD Connector do LastPass preencheu o atributo personalizado corretamente.
- Efetue login em seu servidor do Active Directory.
- Abra a ferramenta de gerenciamento Usuários e computadores do Active Directory.
- Acesse Exibir e certifique-se de que Recursos avançados esteja ativado ou clique na opção do menu Recursos avançados para ativá-la.
- Acesse Usuários no painel de navegação à esquerda.
- Clique com o botão direito em um usuário e depois em Propriedades.
- Clique na guia Editor de atributos.
- Localize o atributo personalizado que você criou (por exemplo, LastPassK1) e confirme se um valor foi definido (conforme mostrado abaixo).
Configurado corretamente
AVISO! Se o valor do atributo personalizado
- O nome do atributo personalizado que você criou também deve corresponder ao nome listado no Console de administração do LastPass – Veja como consertar isso.
- O usuário do AD que está usando o AD Connector do LastPass deve ter as permissões CONTROLE DE ACESSO – Saiba como verificar as permissões do usuário.
Configurado incorretamente
Etapa 7: Verificar a configuração do farm do servidor do AD FS (se aplicável)
Confirme se os DLLs estão presentes nos nós secundário e subsequente, da seguinte maneira:
- No servidor AD FS, navegue para C:\Windows\ADFS onde você instalou o arquivo CustomAttributeStore.msi do LastPass.
- Copie os seguintes arquivos em todas as pastas dos servidores secundários e subsequentes do AD FS C:\Windows\ADFS:
- LastPassADFS.dll
- LastPassConfig.dll
- LastPassLib.dll
- LastPassLogger.dll
- LastPassSettings.dll
- BouncyCastle.Crypto.dll
- NLog.dll
- Reinicie o serviço Windows AD FS nos nós secundários e subsequentes do AD FS.
Problemas conhecidos e solução de problemas adicional
Se você confirmou que as configurações do LastPass Enterprise e do AD FS estão definidas corretamente, há algumas etapas adicionais a serem executadas para solucionar problemas com base no problema que você está enfrentando.
Tela em branco depois de efetuar login como um usuário federado
Possíveis causas e como consertá-las:
- O usuário do serviço AD FS não tem permissões CONTROLE DE ACESSO – Saiba como consertar isso na etapa 3.
- Em um ambiente de farm de AD FS, os DLLs do plugin do AD FS não foram copiados para os nós do AD FS secundários e subsequentes – Saiba como consertar isso na etapa 6.
- O endereço de e-mail não foi definido como um atributo do AD.
- O atributo personalizado não está configurado ou presente – Saiba como configurar na etapa 5 e preencher na etapa 6.
O atributo personalizado está vazio
Possíveis causas e como consertá-las:
O login federado não foi ativado no Console de administração do LastPass no momento do provisionamento pelo AD Connector do LastPass.
- Pare o serviço do AD Connector do LastPass.
- Efetue login e acesse o Console de administração em https://lastpass.com/company/#!/dashboard.
- Acesse Usuários no painel de navegação à esquerda e exclua todos os usuários provisionados como usuários federados.
- Acesse Configurações > Login federado no painel de navegação à esquerda.
- Marque a caixa da opção "Ativar".
- Reinicie o serviço do AD Connector do LastPass para fazer o provisionamento dos usuários federados.
O AD Connector do LastPass não foi reiniciado depois que o login federado foi ativado no Console de administração do LastPass. Reinicie o serviço do AD Connector do LastPass para fazer o provisionamento dos usuários federados.
Há uma falta de correspondência no nome do atributo personalizado entre o Console de administração do LastPass e o plugin AD FS – Saiba como consertar isso.
Erro de log do evento do Windows: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationExceção: POLICY0017: Repositório de atributos 'LastPassAttributeStore' não está configurado.
Como consertar isso:
- Reinicie o serviço Windows AD FS no servidor do AD FS para carregar o plugin AD FS do LastPass corretamente.
- Para um ambiente de farm de servidores AD FS, verifique a configuração do farm de servidores AD FS na etapa 7.
Erro de log do evento do Windows: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: A autorização de parceiro de confiança solicitada 'https://accounts.lastpass.com/' não é específica ou não é suportada. Se a autorização de parceiro de confiança foi especificada, é possível que você não tenha permissão para acessá-la. Entre em contato com o administrador para obter detalhes.
Como consertar isso:
- Verifique se o plugin AD FS foi instalado na etapa 4 e configurado corretamente na etapa 5.
- Para um ambiente de farm de servidores AD FS, verifique a configuração do farm de servidores AD FS na etapa 7.
Erro de log do evento do Windows: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: A autorização do chamador falhou para identidade do chamador DOMAIN\USERNAME para autorização de parceiro de confiança 'https://accounts.lastpass.com/'
Como consertar isso:
- Verifique a autorização de parceiro de confiança do usuário e as regras de autorização de emissão (Windows Server 2012) ou Política de controle de acesso (Windows Server 2016) no servidor do AD FS.
- Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS)
- Navegue para suas configurações do gerenciamento AD FS.
- Acesse Relações de confiança > Autorização de parceiro de confiança no painel de navegação à esquerda, depois siga as etapas a seguir com base na versão de seu servidor AD FS:
- AD FS Server 3.0 – Windows Server 2012 R2
- Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar regras de declaração....
- Selecione a guia Regras de autorização de emissão e defina sua regra desejada.
- AD FS Server 4.0 – Windows Server 2016
- Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar política de controle de acesso....
- Defina a política desejada.
- AD FS Server 3.0 – Windows Server 2012 R2
"Entre em contato com o administrador do LastPass em sua organização para obter ajuda" depois de efetuar login como usuário federado
Como consertar isso: