Configurar login federado simplificado para LastPass usando AD FS

• Revise as limitações que se aplicam às contas de usuário federado .
• É altamente recomendável que você crie um ambiente de não produção do Active Directory com os Serviços de Federação para que possa se familiarizar com o AD FS para LastPass Enterprise ou LastPass Identity.
  • Seu ambiente de teste também deve incluir uma versão de não produção dos componentes da Etapa 1 (incluindo a criação de uma conta de teste separada LastPass Enterprise ou LastPass Identity para teste). Siga todas as etapas de configuração abaixo usando sua conta LastPass Enterprise ou LastPass Identity não produtiva com seu ambiente de teste primeiro para evitar qualquer perda de dados de conta de usuário não intencional.
• Também é altamente recomendável que em um ambiente ativo você implemente a autenticação multifator para seus usuários; no entanto, esteja ciente do seguinte:
  • Você deve configurar a autenticação multifator no nível do provedor de identidade (AD FS) , e não no nível LastPass (por meio do Admin Console e / ou Configurações da conta do usuário final). O uso da autenticação multifator no LastPass não é compatível com usuários federados e fará com que esses usuários não consigam acessar seu Vault .
  • Você não pode aplicar as políticas de autenticação multifator no Admin Console do LastPass porque essa autenticação ocorrerá fora do LastPass, entre seu provedor de identidade (AD FS) e seu serviço de autenticação. Por esse motivo, recomendamos a aplicação de políticas de autenticação multifator no AD FS.
• Por padrão, recomendamos o uso da chave geral da empresa, pois as etapas descritas aqui não exigem uma alteração no esquema do Active Directory. Se você ainda deseja configurar uma chave exclusiva para cada um de seus usuários, siga estas instruções de configuração .

Antes de começar a usar os Serviços de Federação do Active Directory com LastPass Enterprise ou LastPass Identity, você já deve ter a seguinte configuração (para ambientes de não produção e ativos):

• Uma conta LastPass Enterprise ou LastPass Identity que inclui:
  • Pelo menos 1 conta de administrador habilitada
  • Uma contagem de usuários que corresponde (ou excede) a contagem de usuários que será sincronizada com seu Active Directory (ambientes ativos e não de produção)
    Nota:  Se você estiver testando em seu ambiente de não produção, é recomendável configurar uma conta de teste LastPass Enterprise ou LastPass Identity separada, para a qual você pode se registrar aqui .
• Ambientes de servidor Active Directory (tanto de não produção quanto ao vivo) que atendem aos seguintes requisitos:
  • Ambos os ambientes são definidos e configurados para usar Federation Services (AD FS 3.0 para Windows Server 2012 R2 ou AD FS 4.0 para Windows Server 2016 ou Windows Server 2019) com as atualizações mais recentes instaladas, incluindo .Net Framework
  • Suas configurações de firewall estão definidas para chegar a https://www.lastpass.com ou https://www.lastpass.eu e seus subdomínios (* .lastpass.com; * .lastpass.eu respectivamente) e você confirmou que eles não estão bloqueados por qualquer regra de firewall em todos os seus servidores AD FS.
• A política "Permitir que superadministradores redefinam senhas mestras" ativada
  • É necessário que você habilite Permitir que superadministradores redefinam a política de senhas mestras para pelo menos um administrador LastPass (que também é um administrador não federado) no Console de administração LastPass. Isso garante que todas as contas de usuário LastPass ainda possam ser recuperadas (por meio da redefinição da senha mestra) se uma configuração crítica for mal configurada ou alterada para login federado após a conclusão da configuração.

Depois de concluir todos esses requisitos, você precisará capturar várias informações importantes durante o processo de configuração. Abra um aplicativo editor de texto e prepare os seguintes campos:

• Chave para toda a empresa:
• URL do provedor de identidade:
• Chave pública do provedor de identidade:
• URL LastPass Assertion Consumer Service (ACS):

Depois que esses campos forem preparados em seu editor de texto, prossiga para a próxima etapa.

Em seguida, você precisará fazer logon no servidor de Serviços de Federação do Active Directory (AD FS) e obter a URL completa do Provedor de Identidade (nome do Serviço de Federação + Caminho da URL de Emissão do Token de Terminal) e a Chave Pública do Provedor de Identidade.

1. Faça logon no servidor Serviços de Federação do Active Directory (AD FS) e inicie a ferramenta de gerenciamento do AD FS.
2. Clique com o botão direito em Serviço > Editar Propriedades do Serviço de Federação .
3. Na guia Geral, copie o URL no campo de nome do Serviço de Federação (por exemplo, fs.fabrikam.com) e cole-o em um editor de texto. Certifique-se de que o nome do Serviço de Federação inserido em seu editor de texto comece com "https: //", pois é necessário para ser um protocolo seguro (por exemplo, https://fs.fabrikam.com).

1. Na ferramenta de gerenciamento do AD FS, vá para Serviço >  Pontos de extremidade .
2. Na seção Emissão de token, localize a entrada com SAML 2.0 / WS-Federation listado na coluna "Tipo" (por exemplo, adfs / ls é o caminho padrão, mas pode variar dependendo do seu ambiente).
3. Copie o valor no campo Caminho da URL e cole-o em um editor de texto no final do caminho da URL do provedor de identidade de forma que fique assim: https: // <nome do Serviço de Federação> + <Caminho da URL de emissão do token de terminal> . Por exemplo, todos os 3 componentes combinados seriam https://fs.fabrikam.com/adfs/ls como o URL completo do seu provedor de identidade.

1. Na ferramenta de gerenciamento do AD FS, vá para Serviço >  Certificados .
2. Clique com o botão direito do mouse na entrada do certificado de assinatura de token e selecione Exibir certificado .
3. Clique na guia Detalhes e , em seguida, clique para selecionar Chave pública .
4. Na seção abaixo, destaque e copie toda a chave pública e, em seguida, cole-a em um editor de texto.

Depois que o URL completo do provedor de identidade e a chave pública do provedor de identidade forem gravados em um editor de texto, prossiga para a próxima etapa.

• Confirme se cada nó AD FS possui o mesmo certificado de assinatura de token.

Se você já instalou o Conector do Active Directory LastPass, deve interromper o serviço e sair do aplicativo ADC. Você precisará iniciá-lo em uma etapa posterior.

Agora que você obteve todas as informações necessárias, pode definir as configurações do LastPass Enterprise ou LastPass Identity Federated Login da seguinte forma:

1. Faça login e acesse o Admin Console:
   • Para contas que usam data centers nos EUA - https://lastpass.com/company/#!/dashboard
   • Para contas que usam data centers da UE - https://lastpass.eu/company/#!/dashboard
2. Vá para Configurações >  Login federado na navegação à esquerda.
3. No campo URL do provedor , cole o URL completo do provedor de identidade (ou seja, https: // + nome do serviço de federação + caminho do URL de emissão do token de endpoint) que você obteve na etapa 2 .
4. No campo Chave pública , cole sua Chave pública do provedor de identidade que você obteve na Etapa 2 .
5. Depois que todos os campos forem atualizados em ambas as seções, marque a caixa da configuração Ativado .
6. Clique em Salvar configurações .
7. Depois de salvo, o campo LastPass Assertion Consumer Service (ACS) abaixo será gerado automaticamente. Copie seu URL LastPass Assertion Consumer Service (ACS) e cole-o em um editor de texto.

1. Instale o conector LastPass do Active Directory. Se o LastPass AD Connector já estiver instalado, você deve reiniciar o aplicativo antes de prosseguir com a alteração das configurações.
2. Configure o Conector do Active Directory LastPass selecionando Ações >  Quando um usuário é detectado no Active Directory > Criar usuário automaticamente no LastPass (dentro de seus ambientes ativos e de não produção locais).
   Aviso: essa opção deve ser selecionada para que os usuários federados sejam criados por meio do AD FS.
3. Selecione AD FS na navegação à esquerda e clique em Editar .
4. Clique em Gerar novo segredo .
   Importante: você deve salvar a nova chave secreta (no campo Chave para toda a empresa) em um local seguro. Se você precisar reinstalar o LastPass AD Connector no futuro, deverá inserir novamente a mesma chave para toda a empresa.
5. Uma vez que todas as configurações estão no lugar, selecione a guia Home na navegação à esquerda do Conector LastPass AD e marque a caixa para  Habilitar sincronização para iniciar a sincronização.
6. Faça login e acesse o Admin Console:
   • Para contas que usam data centers nos EUA - https://lastpass.com/company/#!/dashboard
   • Para contas que usam data centers da UE - https://lastpass.eu/company/#!/dashboard
7. Vá para Usuários na navegação à esquerda para ver seus usuários populados à medida que são sincronizados a partir de seu Active Directory. Os usuários federados são exibidos com um asterisco (*) antes de seu nome de usuário (por exemplo, *[email protected]).

Em seguida, você precisará registrar a chave Company-Wide com LastPass executando o instalador do plug-in AD FS em seu servidor AD FS.

1. Faça login e acesse o Admin Console:
   • Para contas que usam data centers nos EUA - https://lastpass.com/company/#!/dashboard
   • Para contas que usam data centers da UE - https://lastpass.eu/company/#!/dashboard
2. Vá para Configurações >  Login federado na navegação à esquerda.
3. Na seção "Armazenamento de atributos personalizados LastPass" na parte inferior da página, clique em Baixar para ADFS Server 3.0 (para Windows Server 2012 R2) ou Baixar para ADFS Server 4.0 (para Windows Server 2016 ou Windows Server 2019) e salve o LastPass Arquivo .MSI.
4. Efetue login no servidor primário de Serviços de Federação do Active Directory (AD FS) e, em seguida, transfira o arquivo .MSI para a área de trabalho do servidor AD FS. Clique com o botão direito do mouse no arquivo e selecione Executar como Administrador ou execute o instalador .MSI em um prompt de comando elevado. Clique em Sim se solicitado pelo prompt do Controle de Conta de Usuário.
   Observação:  o instalador .MSI do plug-in AD FS deve ser executado como administrador ou com permissões elevadas, mesmo se você estiver conectado como administrador de domínio.
5. Clique em Avançar .
6. Insira o URL do LastPass Assertion Consumer Service (ACS) (da Etapa # 3, Ação # 6 ) e, a seguir, insira a chave de toda a empresa (da Etapa # 4, Ação # 4 ) e clique em Avançar .
7. Clique em Concluir quando o registro for concluído.
8. Reinicie o serviço AD FS do Windows. Isso é obrigatório .

1. No servidor AD FS, navegue até C: \ Windows \ ADFS onde você instalou o arquivo LastPass .MSI.
2. Copie os seguintes arquivos para a pasta C: \ Windows \ ADFS de todos os servidores secundários do AD FS:
   • LastPassADFS.dll
   • LastPassConfig.dll
   • LastPassLib.dll
   • LastPassLogger.dll
   • LastPassSettings.dll
   • BouncyCastle.Crypto.dll
   • NLog.dll
3. Reinicie o serviço do Windows AD FS nos nós AD FS secundários. Isso é obrigatório .

O armazenamento de atributos personalizados LastPass instalou “LastPass Trust” em seu (s) servidor (es) AD FS.

1. Faça login em seu servidor primário de Serviços de Federação do Active Directory (AD FS)
2. Navegue até as configurações de gerenciamento do AD FS.
3. Vá para Relações de confiança > Confiança de parte confiável na navegação à esquerda e siga as próximas etapas com base na versão do servidor AD FS:
   • AD FS Server 3.0 - Windows Server 2012 R2
     1. Na seção "LastPass Trust" na navegação à direita, clique em Editar regras de declaração ... .
     2. Selecione a guia Issuance Authorization Rules e defina a regra desejada, que definirá como os usuários são autenticados ao fazer logon no LastPass por meio de logon federado usando AD FS.
   • Servidor AD FS - 4.0 Windows Server 2016 ou Windows Server 2019
     1. Na seção "LastPass Trust" na navegação à direita, clique em Editar política de controle de acesso ... .
     2. Defina a política desejada, que definirá como os usuários são autenticados ao fazer logon no LastPass por meio de logon federado usando AD FS.

Você configurou com êxito os Serviços de Federação do Active Directory (AD FS) para sua conta LastPass Enterprise ou LastPass Identity. Todos os seus usuários federados recém-preenchidos receberão um e-mail de boas-vindas informando-os de que agora eles podem fazer login e usar o LastPass.

• Para ver a experiência do usuário final, consulte Experiência de login federado para usuários LastPass .
• Para obter ajuda adicional com a solução de problemas, consulte Solucionando problemas de logon federado para serviços de federação do Active Directory (AD FS) .
• Para provisionar usuários não federados com uma conta federada, consulte Como faço para converter um usuário LastPass existente em um usuário federado (AD FS)?
• Para saber como migrar do uso do AD FS para um logon federado baseado em nuvem (Okta ou Azure AD), consulte Como faço para migrar do uso do AD FS para um logon federado baseado em nuvem para LastPass?