Se tiver problemas após configurar o ambiente LastPass Enterprise ou LastPass Identity para usar os Serviços de Federação do Active Directory (AD FS), você pode seguir as etapas abaixo para verificar suas configurações e solucionar problemas básicos. Certifique-se de realizar essas verificações em ordem.

Etapa 1: Verifique as atualizações do Windows e as versões dos componentes LastPass

Verifique se há atualizações e instale as versões mais recentes do seguinte:

  • Atualizações do Windows Server (incluindo a versão mais recente do .Net Framework)
  • O conector LastPass Active Directory deve estar executando a versão 1.2.652 ou posterior - Atualize agora ou abra o conector LastPass AD e vá para Página inicial>  Verificar atualizações .
  • A extensão do navegador da web LastPass deve estar executando a versão mais recente disponível - Atualizar agora

Etapa 2: Verifique as configurações do firewall

O armazenamento de atributos personalizados deve ser capaz de se comunicar com as APIs LastPass, o que significa que os servidores AD FS devem ser capazes de acessar * .lastpass.com .

  • Abra um navegador da web em seu (s) servidor (es) AD FS e navegue até https://lastpass.com . Se não estiver acessível, você deve permitir a lista do domínio * .lastpass.com em seu firewall.
Observação:  se o seu ambiente for um farm de servidores AD FS com nós primários e secundários, certifique-se de que o domínio * .lastpass.com esteja na lista de permissões em todas as máquinas.

Etapa 3: Verifique as permissões de usuários do AD

Existem dois usuários em seu ambiente do Active Directory que devem ter acesso de leitura e gravação para o atributo personalizado:

  • O usuário AD que executa o conector LastPass AD (que preenche o atributo personalizado no momento do provisionamento)
  • O usuário AD que executa o serviço AD FS (chamadas do AD FS para o armazenamento de atributos personalizados, que lê o atributo personalizado no momento do logon)

Ambos os usuários devem ter permissão de ACESSO DE CONTROLE para acessar o atributo personalizado marcado como CONFIDENCIAL. Se os usuários não tiverem essa permissão, ela deve ser definida. Você pode verificar as permissões de seus usuários de uma das seguintes maneiras:

Usando a ferramenta LDP

Os sistemas operacionais Windows Server têm uma ferramenta interna que permite que você verifique as permissões de seus usuários AD com base em sua associação ao grupo.

  • Em seu servidor Active Directory, execute ldp.exe e confirme se o grupo designado do usuário AD tem ACESSO DE CONTROLE habilitado.

Usando o comando dsacls

Você pode executar o distinguishedName do comando "atributo personalizado para verificar as permissões de seus usuários AD:

  1. No servidor Active Directory, execute o Prompt de Comando como administrador .
  2. Digite o seguinte comando:  dsacls
  3. Confirme se a permissão CONTROL ACCESS foi atribuída.

Etapa 4: verifique se o plug-in AD FS está instalado e registrado com o valor de atributo personalizado correto

Se o plug-in do AD FS foi instalado corretamente, você pode encontrar o LastPassAttributeStore listado.

  1. No servidor AD FS, abra a ferramenta AD FS Server Manager.
  2. Vá para AD FS >  Serviço >  Armazenamentos de atributos .
  3. Verifique se LastPassAttributeStore está listado.

AVISO!  Se você não conseguir encontrar o Attribute Store, significa que a instalação falhou. Reinstale o plug-in AD FS e confirme se o nome do valor do atributo personalizado e a versão estão corretos.

  1. Desinstale o LastPassAttributeStore.msi.
  2. Faça login e acesse o Admin Console em https://lastpass.com/company/#!/dashboard .
  3. Vá para Configurações >  Login federado no menu à esquerda.
  4. Confirme se o nome do valor do atributo personalizado está correto.
  5. Na seção "Armazenamento de atributos personalizados LastPass" na parte inferior da página, clique em Baixar para ADFS Server 3.0 (para Windows Server 2012 R2) ou Baixar para ADFS Server 4.0 (para Windows Server 2016) e salve o arquivo LastPass CustomAttributeStore.msi .
  6. Faça logon no servidor AD FS (Serviços de Federação do Active Directory) primário e, em seguida, transfira o arquivo CustomAttributeStore.msi para a área de trabalho do servidor AD FS e clique duas vezes nele para executá-lo.
  7. Clique em Avançar .
  8. Insira o URL do seu provedor de serviços LastPass Enterprise, a seguir insira o valor do atributo personalizado e clique em Avançar .
  9. Clique em Concluir quando o registro for concluído.
  10. Reinicie o serviço AD FS do Windows. Isso é obrigatório .

Etapa 5: verifique a configuração do atributo personalizado

Você pode usar a ferramenta ADSI Edit para verificar as propriedades de seu atributo personalizado para confirmar se ele foi configurado corretamente.

  1. No servidor Active Directory, execute o Prompt de Comando como administrador .
  2. Insira o seguinte comando:  adsiedit.msc
    Nota:  Se a ferramenta ADSI Edit não estiver disponível, você pode registrá-la abrindo o Prompt de Comando como administrador e executando os seguintes comandos: regsvr32 adsiedit.dll then adsiedit.msc
  3. Conecte-se ao "conhecido contexto de nomenclatura": Esquema .
  4. Localize o atributo personalizado e abra Propriedades .
  5. Localize os seguintes atributos, seus valores devem corresponder ao seguinte (conforme mostrado abaixo):
    • attributeSyntax: 2.5.5.4 = (NOCASE_STRING)
    • searchFlags: 0X80 = (CONFIDENCIAL)

Corretamente configurado

AVISO! Se o atributo searchFlags não estiver configurado como CONFIDENCIAL (por exemplo, exibido como INDEX), você deverá configurá-lo como CONFIDENCIAL .

Configurado Incorretamente

Etapa 6: verifique se o atributo personalizado está preenchido

Confirme se o Conector LastPass AD preencheu o atributo personalizado corretamente.

  1. Faça login no servidor Active Directory.
  2. Abra a ferramenta de gerenciamento de Usuários e Computadores do Active Directory.
  3. Vá para Exibir e certifique-se de que os Recursos avançados estejam habilitados ou clique na opção de menu Recursos avançados para habilitá-los.
  4. Na navegação à esquerda, vá para Usuários .
  5. Clique com o botão direito do mouse em um usuário e clique em  Propriedades .
  6. Clique na guia Editor de Atributos .
  7. Localize o atributo personalizado que você criou (por exemplo, LastPassK1) e confirme se um valor está definido (conforme mostrado abaixo).

Corretamente configurado

Editor de atributos exibindo atributos personalizados

AVISO!  Se o valor do atributo personalizado for <não definido> (conforme mostrado abaixo), você deve verificar o seguinte:

  • O nome do atributo personalizado que você criou também deve corresponder ao nome listado no Console de administração LastPass.
  • O usuário AD que está executando o Conector LastPass AD deve ter permissões de ACESSO DE CONTROLE 

Configurado Incorretamente

Etapa 7: verificar a configuração do farm de servidores AD FS (se aplicável)

Confirme se as DLLs estão presentes nos nós secundários e subsequentes, da seguinte maneira:

  1. No servidor AD FS, navegue até C: \ Windows \ ADFS onde você instalou o arquivo LastPass CustomAttributeStore.msi.
  2. Copie os seguintes arquivos para a pasta C: \ Windows \ ADFS de todos os servidores AD FS secundários e subsequentes:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Reinicie o serviço do Windows AD FS nos nós AD FS secundários e subsequentes.

Problemas conhecidos e solução de problemas adicionais

Se você tiver confirmado que suas configurações LastPass Enterprise e AD FS estão definidas corretamente, há etapas adicionais que você pode executar para solucionar o problema com base no problema que está enfrentando.

Tela em branco após fazer login como um usuário federado

Possíveis causas e como corrigi-las:

  • O usuário do serviço AD FS não tem permissões de ACESSO DE CONTROLE - aprenda como corrigir isso na Etapa 3 .
  • Em um ambiente de farm do AD FS, as DLLs do plug-in do AD FS não foram copiadas para os nós AD FS secundários e subsequentes - aprenda a corrigir isso na Etapa 6 .
  • O endereço de e-mail não está definido como um atributo AD.
  • O atributo personalizado não está configurado ou presente - aprenda a configurar a partir da Etapa 5 e preencher a partir da Etapa 6 .

O atributo personalizado está vazio

Possíveis causas e como corrigi-las:

O login federado não estava habilitado no Admin Console LastPass no momento em que o provisionamento ocorreu por meio do Conector LastPass AD.

  1. Pare o serviço LastPass AD Connector.
  2. Faça login e acesse o Admin Console em https://lastpass.com/company/#!/dashboard .
  3. Vá para Usuários na navegação à esquerda e exclua todos os usuários que foram provisionados como usuários federados.
  4. Vá para Configurações >  Login federado na navegação à esquerda.
  5. Marque a caixa da opção "Ativar".
  6. Reinicie o serviço LastPass AD Connector para provisionar usuários federados.

O LastPass AD Connector não foi reiniciado depois que o login federado foi habilitado no LastPass Admin Console. Reinicie o serviço LastPass AD Connector para provisionar usuários federados.

Há uma incompatibilidade de nome de atributo personalizado entre o Console de administração LastPass e o plug-in AD FS -

Erro de log de eventos do Windows: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Armazenamento de atributos 'LastPassAttributeStore' não está configurado.

Como consertar isto:

  • Reinicie o serviço AD FS do Windows no servidor AD FS para carregar o plug-in LastPass AD FS corretamente.
  • Para um ambiente de farm de servidores AD FS, verifique a configuração de farm de servidores AD FS da Etapa # 7 .

Erro de log de eventos do Windows: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: A relação de confiança da parte confiável solicitada 'https://accounts.lastpass.com/' não foi especificada ou não é compatível. Se uma terceira parte confiável foi especificada, é possível que você não tenha permissão para acessar a terceira parte confiável. Entre em contato com seu administrador para obter detalhes.

Como consertar isto:

  • Verifique se o plug-in AD FS foi instalado a partir da Etapa 4 e configurado corretamente a partir da Etapa 5 .
  • Para um ambiente de farm de servidores AD FS, verifique a configuração de farm de servidores AD FS da Etapa # 7 .

Erro no log de eventos do Windows: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: A autorização do chamador falhou para a identidade do chamador DOMAIN \ NOME DE USUÁRIO para confiar na parte confiável 'https://accounts.lastpass.com/ '

Como consertar isto:

  • Verifique as Regras de Autorização de Emissão e Confiança de Terceira Parte do usuário (Windows Server 2012) ou a Política de Controle de Acesso (Windows Server 2016) no servidor AD FS.
    1. Faça login em seu servidor primário de Serviços de Federação do Active Directory (AD FS)
    2. Navegue até as configurações de gerenciamento do AD FS.
    3. Vá para Relações de confiança > Confiança de parte confiável no painel de navegação esquerdo e siga as próximas etapas com base na versão do servidor AD FS:
      • AD FS Server 3.0 - Windows Server 2012 R2
        1. Na seção "LastPass Trust" na navegação à direita, clique em Editar regras de declaração ... .
        2. Selecione a guia Regras de autorização de emissão e defina a regra desejada.
      • Servidor AD FS - 4.0 Windows Server 2016
        1. Na seção "LastPass Trust" na navegação à direita, clique em Editar política de controle de acesso ... .
        2. Defina a política desejada.

"Contate o administrador do LastPass em sua organização para obter ajuda" depois de fazer login como um usuário federado

Como consertar isto:

  • Desativar opções e políticas de autenticação multifator no nível LastPass