Benutzerzuordnung bei LastPass Universal Proxy

Die offizielle Version dieses Inhalts ist auf Englisch. Einige Inhalte der GoTo-Dokumentation wurden maschinell übersetzt, um den Zugriff zu erleichtern. GoTo hat keine Kontrolle über maschinell übersetzte Inhalte. Diese können Fehler, Unstimmigkeiten oder unangemessene Sprache enthalten. Es gibt keine Garantie, weder ausdrücklich noch stillschweigend, hinsichtlich der Exaktheit, Zuverlässigkeit, Eignung oder Fehlerfreiheit von Übersetzungen der englischen Originaltexte in eine andere Sprache, und GoTo kann nicht haftbar gemacht werden für etwaige Schäden oder Probleme, die sich aus der Verwendung dieser maschinell übersetzten Inhalte oder dem Vertrauen auf diese Inhalte ergeben könnten.

Benutzerzuordnung bei LastPass Universal Proxy

Wenn der Benutzer seinen Windows-Anmeldenamen im VPN-Client eingibt, kann dieser im Active Directory gefunden werden. Ab Version 4.0 wird der Windows-Anmeldename, d. h. der sAMAccountName, zur Authentifizierung des Benutzers mit dem LastPass-Authentifizierungsdienst verwendet. Es ist kein anderer Benutzerzuordnungsvorgang erforderlich, da der AD Connector nur den Windows-Anmeldenamen berücksichtigt.

Wichtig: Die maximale Länge des sAMAccountName beträgt 20 Zeichen. Wenn der User Logon Name in AD länger als 20 Zeichen ist, wird er im sAMAccountName abgeschnitten.

Bei Version 3.x von LastPass Universal Proxy kann der Benutzername im LastPass Authentication Service für den Benutzer unterschiedlich sein. Um den Benutzer erfolgreich mit dem LastPass-Authentifizierungsdienst zu authentifizieren, muss der Active-Directory-Benutzernamen dem LastPass-Authentifizierungsdienst-Benutzernamen zugeordnet werden und die Anmeldeanforderung muss mit diesem zugeordneten Benutzernamen an den LastPass-Authentifizierungsdienst gesendet werden.

Hinweis: Diese Funktion erfordert ein Konto mit LastPass Business + Advanced MFA Add-on. Wie kann ich mein LastPass-Business-Konto um ein Add-on erweitern?

Um den zuvor beschriebenen Anmeldevorgang zu ermöglichen, sollten die folgenden Anwendungen und Dienste vorhanden sein und zusammenarbeiten:

VPN-Server
LastPass Universal Proxy
Active-Directory-Dienst
LastPass-Authentifizierungsdienst

Wichtig: Um LastPass Universal Proxy 4.x verwenden zu können, muss ein Active Directory Connector installiert und ein Active Directory vorhanden sein.

Weitere Informationen darüber, wie die aufgeführten Anwendungen und Dienste zusammenarbeiten, wenn sich ein Benutzer anmeldet, finden Sie unter Was ist LastPass Universal Proxy?.

Zuordnungsstrategien

Der Benutzername aus der Anmeldeanfrage des VPN-Servers wird dem Benutzernamen im LastPass-Authentifizierungsdienst zugeordnet.

Die folgende Tabelle zeigt, wann die Zuordnungsstrategien „Standard/Mehrere Optionen“ von LastPass Universal Proxy 3.x verwendet werden:

Hinweis: Die Strategie mit mehreren Optionen funktioniert nur, wenn der Universal Proxy das LDAP- oder LDAPS-Protokoll verwendet, also ein Active Directory vorhanden ist.

Tabelle 1: Benutzerzuordnungsstrategien bei LastPass Universal Proxy
Servermodus		Zuordnungsstrategie
Servermodus		LDAP/LDAPS	RADIUS
LastPass-MFA-Authentifizierung (LP)		Standard	Standard
LastPass MFA oder Systempasswort (PLP)	Nur MFA-Authentifizierung	Mehrere Optionen	Standard ODER LDAP-Suche
LastPass MFA oder Systempasswort (PLP)	Nur Systempasswort-Authentifizierung	Keine Zuordnung, LastPass-Authentifizierungsdienst wird nicht aufgerufen	Keine Zuordnung, LastPass-Authentifizierungsdienst wird nicht aufgerufen
Sowohl LastPass MFA als auch Systempasswort (SFA)		Mehrere Optionen	Standard ODER LDAP-Suche

Die folgende Tabelle zeigt Ein- und Ausgaben bei der Zuordnung für die Zuordnungsstrategien „Standard/Mehrere Optionen“ sowie Beispiele:

Tabelle 2: Zuordnung von Eingaben und Ausgaben für „Standard/Mehrere Optionen“
	Standard	Mehrere Optionen	LDAP-Suche
Eingabe	Benutzername in der Anmeldeanforderung vom VPN-Server	Benutzername in der Anmeldeanforderung vom VPN-Server	Benutzername in der Anmeldeanforderung vom VPN-Server
Beschreibung	Benutzername + @ + Wert des Eigenschaftsfelds `domain` in der Datei `server.properties` Wichtig: Die Standard-Zuordnungsstrategie funktioniert nur, wenn der Login-Benutzername und der LastPass-Authentifizierungs-Benutzername vor dem @ gleich sind. Zum Beispiel unterscheiden sich der Anmeldebenutzername `thomas` und der Benutzername der LastPass-Authentifizierung `thomas@firma.de` nur nach dem @-Zeichen.	Wenn der Wert `ldap.field.name` nicht in der Datei `server.properties` vorhanden ist, ist die Ausgabe der Wert des Feldes `userPrincipalName` im Active Directory. Wenn nicht vorhanden (Feld `userPrincipalName` ist optional), wird der Wert des Mailfelds aus dem Active Directory verwendet. Wenn nicht vorhanden, wird der Wert des Feldes „E-Mail“ aus dem Active Directory verwendet. Wenn nicht vorhanden, wird die Standard-Zuordnungsstrategie verwendet. wenn der Wert `ldap.field.name` in der Datei `server.properties` vorhanden ist, ist dieser Wert im Active Directory der Ausgabebenutzername.	Stellen Sie die Identitäts-Benutzersuche über LDAP-Server ein, wenn: ein Active-Directory-Server in Ihrem Netzwerk in Betrieb ist und Benutzer authentifizieren kann, der Teil des Windows-Anmeldenamens und der LastPass-Authentifizierungsdienst-Benutzername vor dem @ unterschiedlich sind.
Beispiel	Anmeldename: `thomas` LastPass Authentifizierungsname: `thomas@firma.de` Die Zuordnung funktioniert wie `thomas` = `thomas`, der nächste Schritt ist das Hinzufügen von @ und dem Wert des Domain-Felds zu diesem Benutzernamen. Das Ergebnis ist `thomas@firma.de`.		Anmeldename: `thomas` LastPass Authentifizierungsname: `thomas_test@firma.de` Der Teil des Anmeldenamens vor dem @ ist anders, daher sollte die LDAP-Suche verwendet werden.