HELP FILE

Wie kann ich RSA SecurID in mein LastPass-Business-Konto integrieren?

LastPass Business unterstützt die Integration von RSA SecurID. Damit können Ihre Kunden RSA SecurID als zweiten Authentifizierungsfaktor verwenden, wenn sie sich bei LastPass anmelden.

Hinweis: Die im Folgenden beschriebenen Schritte müssen von einer Person mit Administratorrechten für das Integrationstool und für LastPass Business durchgeführt werden.

Einschränkungen und Kompatibilität

Funktionen von RSA Authentication Manager In LastPass Business unterstützt?
RSA-SecurID-Authentifizierung über systemeigenes RSA-SecurID-UDP-Protokoll Nein
RSA-SecurID-Authentifizierung über systemeigenes RSA-SecurID-TCP-Protokoll Nein
RSA-SecurID-Authentifizierung über RADIUS-Protokoll Ja
RSA-SecurID-Authentifizierung über IPv6 Nein
On-Demand-Authentifizierung über systemeigenes SecurID-UDP-Protokoll Nein
On-Demand-Authentifizierung über systemeigenes SecurID-TCP-Protokoll Nein
Risikobasierte Authentifizierung Nein
Replikat-Unterstützung von RSA Authentication Manager Ja
Unterstützung von sekundärem RADIUS-Server Ja
Automatisierung von RSA-SecurID-Software-Token Nein
Automatisierung von RSA-SecurID-SD800-Token Nein
RSA-SecurID-Schutz der Administrationsoberfläche Nein

Voraussetzungen für die Einrichtung

Vergewissern Sie sich vor Beginn, dass die folgenden Voraussetzungen erfüllt sind:

  • RSA-SecurID-Konto
  • LastPass-Business-Konto

Schritt 1: RADIUS-Client einrichten und Informationen zur RSA-SecurID-Integration abrufen

LastPass Business unterstützt die RSA-SecurID-Authentifizierung über RADIUS, sodass Sie RSA SecurID als Option für die Multifaktor-Authentifizierung für Ihre Benutzer einrichten können. Dazu müssen Sie zunächst einen RADIUS-Client in Ihrem RSA Authentication Manager einrichten und einige RSA-SecurID-Informationen abrufen.

  1. Fügen Sie der Datenbank des RSA Authentication Manager einen Agent-Host-Datensatz hinzu. Stellen Sie den Agent-Typ auf „Standard Agent“ ein, wenn Sie den Authentifizierungs-Agent hinzufügen.

    Dies ist erforderlich, um die Kommunikation zwischen LastPass Business und RSA Authentication Manager/RSA SecurID Appliance zu erleichtern. Der Agent-Host-Datensatz identifiziert LastPass Business und enthält Informationen über die Kommunikation und die Verschlüsselung.

  2. Erstellen Sie einen RADIUS-Client, der dem Host-Agent-Datensatz in RSA Authentication Manager entspricht. Befolgen Sie die Anweisungen zum Einrichten eines RADIUS -Clients.

    Dies ist erforderlich, da LastPass über RADIUS mit RSA Authentication Manager kommuniziert.

    RADIUS-Clients werden mit der RSA Security Console verwaltet.

    Die folgenden Informationen sind notwendig, um einen RADIUS-Client zu erstellen:

    • Hostname
    • IP-Adressen für Netzwerkschnittstellen
    • Geheimer RADIUS-Schlüssel
    Hinweis:  Der Hostname des RADIUS-Clients muss auf die angegebene IP-Adresse auflösen.

    Da Sie im RSA Authentication Manager nicht mehrere IP-Adressen für einen RADIUS-Client angeben können, empfehlen wir, die Option „ANY Client“ (beliebiger Client) zu verwenden und die Verbindungen mit einer separaten Firewall auf die notwendigen IP-Adressen zu beschränken. Wenn Sie die Option „ANY Client“ verwenden, müssen Sie auch die Datei securid.ini bearbeiten und den Wert von CheckUserAllowedByClient von 1 auf 0 setzen. Dieser RADIUS-Client muss über die IP-Adressen aller LastPass-Server erreichbar sein.

  3. Administratoren von RSA Authentication Manager müssen Agent-Host-Datensätze und/oder RADIUS-Clients für jeden LastPass-Business-Server konfigurieren.

    Dies ist erforderlich, da LastPass Business eine verteilte Architektur verwendet, die viele ähnlich konfigurierte Server umfasst.

    Es gibt verschiedene Methoden, die mit unterschiedlichem Verwaltungsaufwand angewendet werden können. Die Optionen lauten:

    • Einen Agent-Host-Datensatz und korrespondierenden RADIUS-Client für jeden LastPass-Business-Server konfigurieren.
    • Einen Agent-Host-Datensatz für jeden LastPass-Business-Server mit einem gemeinsamen RADIUS-Client konfigurieren.
    • Einen gemeinsamen RADIUS-Client konfigurieren, der keinen Agent-Host-Datensatz verwendet (globale Änderung).
    Hinweis:  Lesen Sie das Administratorenhandbuch für RSA Authentication Manager, um Informationen zum Konfigurieren gemeinsamer RADIUS-Clients zu finden.

  4. Kopieren Sie die folgenden Werte und speichern Sie sie in einem Texteditor:

    • RADIUS-Server-IP-Adressen
      Hinweis:  Trennen Sie mehrere IP-Adressen durch Kommata, fügen Sie „:port“ an, falls dieser nicht 1812 ist (z. B. 216.162.248.81,216.162.248.82:1645)
    • Gemeinsamer geheimer RADIUS-Schlüssel
    • RADIUS-Timeout (Sekunden)
    • Fehlermeldung

Schritt 2: RSA SecurID über RADIUS-Integration in LastPass Business einrichten

Um RSA SecurID als Option für die Multifaktor-Authentifizierung für Ihre Benutzer einzurichten, müssen Sie die RSA-SecurID-Integration in LastPass Business selbst einrichten, nachdem Sie einen RADIUS-Client eingerichtet haben.

  1. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  2. Gehen Sie zu Erweiterte Optionen > Business-Optionen > Multifaktor-Optionen > RSA SecurID/RADIUS.
  3. Geben Sie die folgenden Informationen ein, die Sie in Schritt 1 oben erhalten haben:

    • RADIUS-Server-IP-Adressen
      Hinweis:  Trennen Sie mehrere IP-Adressen durch Kommata, fügen Sie „:port“ an, falls dieser nicht 1812 ist (z. B. 216.162.248.81,216.162.248.82:1645)
    • Gemeinsamer geheimer RADIUS-Schlüssel
    • RADIUS-Timeout (Sekunden)
    • Fehlermeldung

    RADIUS kann neben RSA SecurID auch zur Unterstützung anderer Multifaktor-Optionen (wie SafeNet) verwendet werden. Wenn Sie den Namen und die Logos, die Ihre Benutzer sehen, anpassen möchten, führen Sie die folgenden Schritte aus:

    • Geben Sie einen „Dienstnamen“ ein.
    • Laden Sie Logo 1 (124x124 PNG) hoch.
    • Laden Sie Logo 2 (190x42 PNG) hoch.

  4. Klicken Sie abschließend auf Aktualisieren.

Schritt 3: RSA SecurID als Multifaktor-Option aktivieren

Bevor Ihre Benutzer RSA SecurID auf ihrer Seite als zusätzliche Sicherheitsebene zum Schutz ihres LastPass-Kontos einrichten können, müssen Sie RSA SecurID als Option für die Multifaktor-Authentifizierung in LastPass Business aktivieren.

  1. Gehen Sie in der Administrationskonsole zu Erweiterte Optionen > Business-Optionen > Multifaktor-Optionen.
  2. Schalten Sie unter Aktivierte Multifaktor-Optionen den Schalter für die Option RSA SecurID/RADIUS ein.

Schritt 4: Richtlinie für die Multifaktor-Authentifizierung hinzufügen und konfigurieren

Mit LastPass Business können Sie die Entscheidung über die Multifaktor-Authentifizierung Ihren Benutzern überlassen oder deren Nutzung durch unsere konfigurierbaren Sicherheitsrichtlinien vorschreiben. Fügen Sie eine Richtlinie hinzu, die Ihre Benutzer zur Verwendung einer Lösung für die Multifaktor-Authentifizierung verpflichtet.

  1. Rufen Sie in der Administrationskonsole im Navigationsbereich Einstellungen > Richtlinien auf.
  2. Klicken Sie auf Richtlinie hinzufügen.
  3. Wählen Sie unter Multifaktor die Option Verwendung einer Multifaktor-Option erfordern aus.
  4. Wählen Sie die gewünschten Benutzer aus, für die diese Richtlinie angewendet werden soll. 
  5. Geben Sie Notizen als zusätzliche Informationen zu dieser Richtlinie ein (optional).
  6. Klicken Sie abschließend auf Speichern.
Mögliche nächste Schritte: Erwägen Sie das Hinzufügen der Richtlinie Benutzern erlauben, MFA an vertrauenswürdigen Orten zu überspringen. Diese Richtlinie ermöglicht die Einschränkung von Computern, die der IP-Adresse nach vertrauenswürdig sind. Sie können diese Richtlinie aktivieren, damit Benutzer die zweite Authentifizierungsstufe an vertrauten Orten (wie dem Büro) überspringen können und sie an Remote-Standorten immer noch erforderlich ist.

Schritt 5: Benutzer zur Einrichtung der RSA-SecurID-Multifaktor-Authentifizierung auffordern

Sobald Sie die oben genannten Schritte ausgeführt haben, können Ihre Benutzer die RSA-SecurID-Multifaktor-Authentifizierung für ihr LastPass-Business-Konto einrichten und aktivieren.

Wichtiger Hinweis zum Entfernen von Benutzern mit RSA SecurID/RADIUS-Unterstützung

Die Integration von RSA SecurID/RADIUS ist mit Ihrem LastPass-Business-Konto assoziiert. Wenn Sie Benutzer aus Ihrem Unternehmenskonto entfernen, ohne zuvor RSA SecurID/RADIUS als Option für die Multifaktor-Authentifizierung zu deaktivieren, werden diese Benutzer nach dem Entfernen möglicherweise aus ihrem LastPass-Konto ausgesperrt (wenn dieses in ein LastPass-Free-Konto umgewandelt wird). Aus diesem Grund empfehlen wir, RSA SecurID/RADIUS für die Benutzer, die Sie entfernen möchten, zu deaktivieren.
  1. Gehen Sie zu https://lastpass.com/company/#!/dashboard und melden Sie sich bei der Administrationskonsole an.
  2. Wählen Sie im Navigationsbereich Benutzer aus.
  3. Aktivieren Sie die Kontrollkästchen neben den gewünschten Benutzern.

    Tipp: Um nach Benutzern mit aktiviertem RSA SecurID/RADIUS zu sortieren, klicken Sie auf die Spaltenkopfzeile Multifaktor der Tabelle „Benutzer“.

  4. Wählen Sie Weitere Aktionen anzeigen > Multifaktor-Authentifizierung für ausgewählte Benutzer deaktivieren aus.
  5. Klicken Sie zur Bestätigung auf OK.
Sie haben RSA SecurID/RADIUS für die ausgewählten Benutzer deaktiviert und können diese Benutzer jetzt sicher aus Ihrem Unternehmenskonto entfernen, ohne zu riskieren, dass sie ausgesperrt werden (wenn ihre Konten in LastPass-Free-Konten umgewandelt werden).