Bekannte Probleme und zusätzliche Fehlerbehebung für Federated Login für Active Directory Federation Services (AD FS)

Die offizielle Version dieses Inhalts ist auf Englisch. Einige Inhalte der GoTo-Dokumentation wurden maschinell übersetzt, um den Zugriff zu erleichtern. GoTo hat keine Kontrolle über maschinell übersetzte Inhalte. Diese können Fehler, Unstimmigkeiten oder unangemessene Sprache enthalten. Es gibt keine Garantie, weder ausdrücklich noch stillschweigend, hinsichtlich der Exaktheit, Zuverlässigkeit, Eignung oder Fehlerfreiheit von Übersetzungen der englischen Originaltexte in eine andere Sprache, und GoTo kann nicht haftbar gemacht werden für etwaige Schäden oder Probleme, die sich aus der Verwendung dieser maschinell übersetzten Inhalte oder dem Vertrauen auf diese Inhalte ergeben könnten.

Bekannte Probleme und zusätzliche Fehlerbehebung für Federated Login für Active Directory Federation Services (AD FS)

Wenn Sie sich vergewissert haben, dass Ihre LastPass Business und AD FS-Konfigurationen richtig eingestellt sind, können Sie je nach Problem weitere Schritte zur Fehlerbehebung unternehmen.

Leerer Bildschirm nach der Anmeldung als Verbundbenutzer

Prüfen Sie die mögliche(n) Ursache(n) und Lösungen unten.

Tabelle 1:
Mögliche Ursache(n)	Wie reparieren
Der AD FS-Dienstbenutzer hat keine CONTROL ACCESS-Berechtigung	Befolgen Sie die Anweisungen ab Schritt 3
In einer AD FS-Farmumgebung wurden die AD FS-Plugin-DLLs nicht auf die sekundären und nachfolgenden AD FS-Knoten kopiert	Befolgen Sie diese Anweisungen ab Schritt 6
E-Mail-Adresse ist nicht als AD-Attribut festgelegt	Eine E-Mail-Adresse als AD-Attribut festlegen
Benutzerdefiniertes Attribut ist nicht konfiguriert oder vorhanden	Erfahren Sie, wie Sie ab Schritt 5 konfigurieren Erfahren Sie, wie Sie die Daten aus Schritt 6 einfügen

Benutzerdefiniertes Attribut ist leer

Prüfen Sie die mögliche(n) Ursache(n) und Lösungen unten.

Tabelle 2:
Mögliche Ursache(n)	Wie reparieren
Der LastPass AD Connector wurde nicht neu gestartet, nachdem die föderierte Anmeldung in der LastPass Administrationskonsole aktiviert wurde	Starten Sie den LastPass AD Connector-Dienst neu, um föderierte Benutzer bereitzustellen
Der Name eines benutzerdefinierten Attributs stimmt nicht mit dem Namen der LastPass Administrationskonsole und dem AD FS-Plugin überein	Folgen Sie diesen Anweisungen
Die föderierte Anmeldung war in der LastPass Administrationskonsole nicht aktiviert, als die Bereitstellung über den LastPass AD Connector erfolgte	Beenden Sie den LastPass-AD-Connector-Dienst. Melden Sie sich an und rufen Sie die Administrationskonsole unter https://admin.lastpass.com/ auf Gehen Sie zu Benutzer > Users und löschen Sie alle Benutzer, die als Verbundbenutzer bereitgestellt wurden. Gehen Sie zu Benutzer > Verbundanmeldung Aktivieren Sie das Kontrollkästchen für die Einstellung Aktivieren. Starten Sie den LastPass-AD-Connector-Dienst neu, um Verbundbenutzer bereitzustellen.

„Wenden Sie sich an den LastPass-Administrator Ihres Unternehmens, um Hilfe zu erhalten“ nach der Anmeldung als Verbundbenutzer

Über diese Aufgabe:

So beheben Sie dieses Problem: Optionen für die Multifaktor-Authentifizierung und Richtlinien auf LastPass-Ebene deaktivieren.

Windows-Ereignisprotokoll-Fehler

Über diese Aufgabe:

Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Der Attributspeicher „LastPassAttributeStore“ ist nicht konfiguriert.

So beheben Sie dieses Problem:

Starten Sie den ADFS-Windows-Dienst auf dem ADFS-Server neu, um das LastPass-ADFS-Plugin ordnungsgemäß zu laden.
Für eine AD FS-Serverfarm-Umgebung, überprüfen Sie die AD FS-Serverfarm-Konfiguration aus Schritt 7.

Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: Die angeforderte Vertrauensstellung der vertrauenden Seite „https://accounts.lastpass.com/“ ist nicht angegeben oder wird nicht unterstützt. Wenn die Vertrauensstellung der vertrauenden Seite angegeben wurde, verfügen Sie möglicherweise nicht über die Berechtigung zum Zugriff auf die vertrauende Seite. Wenden Sie sich für weitere Informationen an Ihren Administrator.

So beheben Sie dieses Problem:

Überprüfen Sie, ob das AD FS-Plugin aus Schritt 4 installiert und aus Schritt 5 korrekt konfiguriert wurde.
Für eine AD FS-Serverfarm-Umgebung überprüfen Sie die Konfiguration der AD FS-Serverfarm aus Schritt 7.

Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: Die Autorisierung des Aufrufers für die Aufruferidentität DOMAIN\BENUTZERNAME für die Vertrauensstellung der vertrauenden Seite „https://accounts.lastpass.com/“ ist fehlgeschlagen.

So beheben Sie dieses Problem:

Überprüfen Sie die Vertrauensstellung der vertrauenden Seite und die Ausstellungsautorisierungsregeln des Benutzers (Windows Server 2012) bzw. die Zugriffssteuerungsrichtlinie (Windows Server 2016) auf dem ADFS-Server.
1. Melden Sie sich bei Ihrem primären ADFS-Server an.
2. Navigieren Sie zu den AD FS-Verwaltungseinstellungen.
3. Gehen Sie in der linken Navigation zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite und folgen Sie dann den nächsten Schritten, die auf Ihrer AD FS-Serverversion basieren:
  - AD FS Server 3.0 – Windows Server 2012 R2
    1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Anspruchsregeln bearbeiten....
    2. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und legen Sie die gewünschte Regel fest.
  - ADFS 4\.0 – Windows Server 2016
    1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Zugriffssteuerungsrichtlinie bearbeiten....
    2. Legen Sie die gewünschte Richtlinie fest.

SAML-Verarbeitungsfehlercodes

Über diese Aufgabe: Die folgende Tabelle enthält die SAML-Verarbeitungsfehlercodes und die möglichen Ursachen. Die möglichen Lösungen sind in Tabelle 4 aufgeführt.

Tabelle 3: SAML-Fehlercodes für die Verarbeitung
Status	Name	Beschreibung	Mögliche Ursache(n)
5	SecurityTokenNotYetValid	Die SAML-Antwort ist nach der ALP-Serverzeit noch nicht gültig.	Die Zeiteinstellungen des AD FS-Servers sind falsch.
6	SecurityTokenExpired	Die SAML-Antwort ist abgelaufen.	Die Zeiteinstellungen des AD FS-Servers sind falsch. Der Client-Browser hat eine SAML-Antwort zwischengespeichert und versucht, sie später zu verwenden.
9	SignatureVerificationKeyMismatch	Die SAML-Antwort ist mit einem anderen Zertifikat signiert als das Zertifikat auf der Seite Federated Login in der LastPass Administrationskonsole.	Die SAML-Antwort wird mit einem anderen Token-Signaturzertifikat signiert als das Zertifikat auf dem Federated Login. Sie haben eine AD FS-Farm-Umgebung, und die Knoten haben nicht dasselbe Token-Signaturzertifikat konfiguriert.
13	MissingEmailClaim	Die E-Mail-Assertion ist in der SAML-Antwort nicht vorhanden oder die E-Mail-Adresse ist ungültig (z. B. fehlendes @).	Die Konfiguration des Relying Party Trust ist ungültig. Der AD-Benutzer hat eine ungültige E-Mail-Adresse.
19	InvalidRequest	Ungültige SAML-Anfrage	Die SAML-Antwort ist nur teilweise oder gar nicht vorhanden.
21	ReplayedToken	Die eingehende SAML-Antwort wurde bereits an LastPass gesendet.
22	FehlendesLastPassSecret	LastPassKeyPart oder LastPassKeyPartSignature Assertion ist in der SAML-Antwort nicht vorhanden.	AD Custom Attribute wurde nicht erstellt. Benutzerdefiniertes Attribut ist leer. Das AD FS-Dienstkonto hat keine Berechtigung zum Lesen des benutzerdefinierten Attributs. Der Relying Party Trust ist ungültig oder falsch konfiguriert Das AD FS-Plugin wurde entfernt, nicht installiert oder es wurde eine falsche Version installiert.
23	MissingDirectoryUserName	Die Assertion DirectoryUserName (AD-Benutzername) ist in der SAML-Antwort nicht vorhanden.	Die Konfiguration des Relying Party Trust ist ungültig.
26	MissingAlpSecret	Das K2-Geheimnis ist für diesen Benutzer nicht in der ALP-Datenbank vorhanden.	Die LP-Arbeiter haben den Hintergrundjob für diese Benutzerbereitstellung noch nicht verarbeitet.

Tabelle 4: SAML Processing Fehlercodes mögliche Lösungen
Status	Name	Mögliche Lösungen
5	SecurityTokenNotYetValid	Stellen Sie die Serverzeit auf die aktuelle Zeit ein und verwenden Sie dabei, falls gewünscht, die integrierte NTP-Funktion.
6	SecurityTokenExpired	Stellen Sie die Serverzeit auf die aktuelle Zeit ein und verwenden Sie dabei, falls gewünscht, die integrierte NTP-Funktion. Löschen Sie den Browser-Cache und die Cookies für den AD FS-Server-Host.
9	SignatureVerificationKeyMismatch	Ermitteln Sie den öffentlichen Schlüssel des aktuellen Token-Signaturzertifikats des ADFS-Servers und aktualisieren Sie den öffentlichen Schlüssel auf der Seite Federated Login in der Administrationskonsole. Aktualisieren Sie die ADFS-Knoten so, dass sie dasselbe Token-Signaturzertifikat haben, und aktualisieren Sie den öffentlichen Schlüssel auf der Seite "Federated Login" in der Administrationskonsole.
13	MissingEmailClaim	Prüfen Sie, ob die Konfiguration der Relying Party gültig ist und korrigieren Sie sie gegebenenfalls. Installieren Sie das AD FS-Plugin erneut. Überprüfen Sie die E-Mail-Adresse mit Active Directory-Benutzer und -Computer.
19	InvalidRequest	Überprüfen Sie die an die URL https://accounts.lastpass.com/auth/saml2/ gesendete Anfrage mit den Entwicklertools des Browsers/Netzwerkverkehr. Hängen Sie den Anfragekörper an das Ereignisprotokoll des AD FS-Servers an und senden Sie es an den Support.
21	ReplayedToken	Melden Sie sich erneut mit der Erweiterung an, und prüfen Sie erneut. Wenn das Problem weiterhin besteht, melden Sie es dem Support-Team.
22	FehlendesLastPassSecret	Prüfen Sie, ob das Attribut vorhanden ist. Prüfen Sie, ob das benutzerdefinierte Attribut des Benutzers leer ist. Sehen Sie im AD Connector-Protokoll nach, ob das Konto korrekt bereitgestellt wurde. Prüfen Sie, ob das AD FS-Dienstkonto die erforderliche Berechtigung zum Lesen des benutzerdefinierten Attributs hat. Legen Sie die Berechtigungen richtig fest. Überprüfen Sie die Konfiguration und installieren Sie ggf. das AD FS-Plugin neu. Installieren Sie die richtige Version erneut.
23	MissingDirectoryUserName	Prüfen Sie, ob die RP-Konfiguration gültig ist, und korrigieren Sie sie gegebenenfalls. Installieren Sie das AD FS-Plugin erneut.
26	MissingAlpSecret	Warten Sie ein paar Minuten, bis der Hintergrundjob abgearbeitet ist. Der Hintergrundauftrag könnte stecken bleiben. Kontaktieren Sie das LastPass-Supportteam. Da ein fehlender Teil des Geheimnisses das Konto unbrauchbar macht, löschen Sie das Konto von der LastPass-Website, damit der AD Connector versuchen kann, das Konto erneut bereitzustellen.