HELP FILE


Wie migriere ich von der Verwendung von AD FS oder PingFederate zu einem Cloud-basierten Anbieter von föderierten Anmeldeidentitäten für LastPass?

    Wenn Sie Ihr LastPass Business Konto für die Bereitstellung von Benutzern mit föderiertem Login über AD FS oder PingFederate eingerichtet haben und zu einer Cloud-basierten Identity-Provider-Lösung für föderiertes Login (Azure AD, Okta, Google Workspace oder PingOne) für LastPass migrieren möchten, können Sie dies tun, indem Sie Ihre Benutzer deföderieren, den LastPass AD Connector und den LastPass Custom Attribute Store deinstallieren und dann föderiertes Login für die gewünschte Cloud-basierte Lösung aktivieren.

    Vorab:

    WARNUNG!Alle Benutzer müssen defederiert werden, BEVOR Sie den LastPass Custom Attribute Store (AD FS plugin) und den Active Directory Connector entfernen, da sonst das K1-Attribut nicht zugänglich ist und der Hauptschlüssel nicht wiederhergestellt werden kann.

    Beschränkungen und Kompatibilität:
    • Führen Sie die AD FS- oder PingFederate- und Cloud-basierten Konfigurationen nicht gleichzeitig aus, um dieselben Benutzer zu verwalten.
    • Derzeit gibt es keine Möglichkeit, eine Massenaktion zum Entfernen von Benutzerkonten durchzuführen, dies muss manuell für jeden Benutzer erfolgen.
    • Es empfiehlt sich, vor Beginn des Prozesses eine Liste aller Benutzer und ihres Status bei der Verbundanmeldung zu erstellen. Dies wird dazu beitragen, dass niemand zurückbleibt. Erfahren Sie, wie Sie einen Bericht über Ihre Benutzer erstellen.
    • Nachdem Ihre Benutzer defederiert wurden, haben die Benutzerkonten ein bekanntes Master-Passwort. Sobald Sie die cloudbasierte Verbundanmeldung eingerichtet haben, müssen sich die Benutzerkonten mit ihrem bekannten Master-Passwort anmelden, um die Umstellung auf den Verbundstatus abzuschließen.
    • Die Konvertierung eines Kontos deaktiviert nicht die Optionen für die Multifaktor-Authentifizierung, die mit dem Identitätsanbieter (Azure AD, Google Workspace, Okta oder PingOne) eingerichtet wurden.

    Schritt Nr. 1: Vernachlässigen Sie Ihre Benutzer

    Über diese Aufgabe:

    Sie können den Kontostatus Ihrer Benutzer auf "defederated" ändern, indem Sie ihr Master-Passwort zurücksetzen (wenn Ihr Administratorkonto mit der Richtlinie "Permit super admins to reset master passwords" aktiviert ist), indem Sie Folgendes tun:

    1. Rufen Sie https://admin.lastpass.com/ auf und melden Sie sich an, um auf die neue Administrationskonsole zuzugreifen.
    2. Gehen Sie zu Benutzer > Benutzer.
    3. Wählen Sie den gewünschten Verbundbenutzer aus.
    4. Klicken Sie auf Master-Passwort zurücksetzen.
    5. Geben Sie Ihr eigenes Master-Passwort ein, und klicken Sie dann auf Senden
    6. Geben Sie ein neues Master-Passwort für Ihren Benutzer ein und bestätigen Sie es.
    7. Standardmäßig ist die Option Bei der nächsten Anmeldung Passwortänderung erzwingen aktiviert. Wir empfehlen, diese Option zu aktivieren, damit Ihr Benutzer bei der nächsten Anmeldung aufgefordert wird, sein eigenes Master-Passwort festzulegen.
    8. Klicken Sie auf Abschicken.
    Ergebnisse: Der Kontostatus Ihres Benutzers hat sich nun von "federated" zu "defederated" geändert, was durch das fehlende Sternchen neben dem Namen in der Benutzerliste angezeigt wird.

    Schritt 2: Deinstallieren Sie den LastPass AD Connector und den LastPass Attribute Store

    Über diese Aufgabe:

    WARNUNG!Alle Benutzer müssen defederiert werden, BEVOR Sie den LastPass Custom Attribute Store (AD FS plugin) und den Active Directory Connector entfernen, da sonst das K1-Attribut nicht zugänglich ist und der Hauptschlüssel nicht wiederhergestellt werden kann.

    1. Deinstallieren Sie den LastPass AD Connector.
    2. Deinstallieren Sie den LastPass Custom Attribute Store.

    Schritt Nr. 3: Einrichten einer Verbundanmeldung mit einem Cloud-basierten Identitätsanbieter

    Folgen Sie den Anweisungen, um die Verbundanmeldung für einen unterstützten Cloud-basierten Identitätsanbieter aus der folgenden Liste einzurichten.

    Einschränkung: LastPass unterstützt nicht die Verwendung von mehreren Domains für Verzeichnisintegrationen und föderierte Anmeldung.