HELP FILE


Was ist LastPass Universal Proxy?

LastPass Universal Proxy ist eine lokal installierte Software, die Authentifizierungsanfragen von Ihrer Netzwerkanwendung (z.B. einem VPN-Server) empfängt und sich dann gegenüber Ihrem primären Authentifizierungssystem (LDAP- oder RADIUS-Server) und/oder LastPass Authentication Server unter Verwendung des LDAP-, LDAPS- oder RADIUS-Protokolls authentifiziert. LastPass kann eine sekundäre Authentifizierung über den Cloud-basierten Multifaktor-Authentifizierungs-Server (MFA-Server) von LastPass durchführen.

Hinweis: Diese Funktion erfordert ein Konto mit LastPass Business + erweitertes MFA Add-on. Wie kann ich mein LastPass-Business-Konto um ein Add-on erweitern?

Die folgende Abbildung zeigt ein vereinfachtes Beispiel für ein einfaches kleines Unternehmensnetzwerk, bei dem ein VPN Teil des Netzwerks ist. Durch den Einsatz einer Firewall wird sichergestellt, dass die Ressourcen innerhalb des Netzwerks nur für den firmeninternen Gebrauch zur Verfügung stehen.

Remote-Mitarbeiter können sich über VPN-Verbindungen sicher mit ihrem Firmennetzwerk verbinden. Dies kann sicher und unter Wahrung des Datenschutzes erfolgen, indem diese Verbindungen verschlüsselt werden.

Der VPN-Server kann Benutzer selbst authentifizieren oder die Authentifizierung an einen LDAP- oder RADIUS-Server delegieren.

Wenn das Unternehmen eine sicherere Authentifizierung wünscht und zu diesem Zweck MFA einsetzen will, kann LastPass Universal Proxy in das Netzwerk integriert werden.

Die folgende Abbildung zeigt den Authentifizierungsfluss von LastPass Universal Proxy:


Abbildung 1: Netzwerkdiagramm für LastPass Universal Proxy
  1. Der Benutzer meldet sich über seinen Client an.
  2. Der Anwendungsserver leitet die Anfrage an den Universal Proxy weiter.
  3. Universal Proxy überprüft die Anmeldeinformationen beim primären Authentifizierungsserver (d. h. LDAP oder RADIUS).

    Hinweis: Die Verbindungen 2 und 3 müssen Authentifizierungsanfragen desselben Protokolls übertragen (d. h. beide mit LDAP oder beide mit RADIUS).

    Wenn Sie die Verbindung sichern und eine Verschlüsselung zwischen dem Anwendungsserver und dem LDAP-Server verwenden möchten, können Sie das LDAPS-Protokoll anstelle von LDAP verwenden. Weitere Informationen finden Sie unter Verwendung des LDAPS-Protokolls (LDAP over SSL) bei der Einrichtung von LastPass Universal Proxy

  4. Universal Proxy fordert die sekundäre Authentifizierung vom LastPass Authentication Server an.

    Hinweis: Universal Proxy kann sich beim LDAP/RADIUS-Server und/oder beim LastPass-Authentifizierungsserver authentifizieren, je nach konfiguriertem Authentifizierungsmodus. Weitere Informationen finden Sie unter Server-Modi.
  5. LastPass Authentication Server gibt MFA-Challenge aus.
  6. Der Benutzer schließt die biometrische Authentifizierung über LastPass Authenticator ab.
  7. Der LastPass-Authentifizierungsserver bestätigt die Authentifizierung und sendet eine Rückmeldung.
  8. Universal Proxy konvertiert die API-Antwort in das LDAP- oder RADIUS-Format und sendet das Ergebnis an den Anwendungsserver.

Server-Modi

Bei der Konfiguration von LastPass Universal Proxy über die Protokolle LDAP, LDAPS oder RADIUS stehen drei verschiedene Server-Modi zur Verfügung. Die folgende Tabelle zeigt eine Zusammenfassung dieser Optionen, je nachdem, ob eine Authentifizierung mit LastPass Authenticator oder mit einem Passwort erforderlich ist.

Tabelle 1: Konfiguration der Authentifizierung – Server-Modi
 

LastPass-MFA-Authentifizierung

(LP)

Sowohl LastPass MFA als auch Passwort-Authentifizierung

(SFA)

LastPass MFA oder Passwort-Authentifizierung

(PLP)

LastPass Authenticator-App X X X  
Passwort erforderlich   X   X
Weitere Informationen zu den Server-Modi und den verfügbaren Faktoren finden Sie unter Standardfaktoren für Server-Modus
Hinweis:
  • Für das RADIUS PAP-/LDAP-/LDAPS-Protokoll müssen Sie bei Verwendung des Modus LastPass MFA oder Systempasswort (PLP) den erforderlichen Faktor eingeben (per Push oder Anruf) in das VPN-Client-Passwortfeld eingeben, um sich für die Verwendung von LastPass Authenticator zu entscheiden.
  • Wenn Sie den LastPass MFA-Authentifizierungsmodus (LP) wählen, führt LastPass Authenticator die Authentifizierung durch, aber es kommuniziert niemals mit einem LDAP/RADIUS-Server. Außerdem ist es im LastPass MFA Authentication (LP) Modus nicht notwendig, einen LDAP/RADIUS Server in der Netzwerkarchitektur zu haben.