Problemas conocidos y resolución de problemas adicionales del inicio de sesión federado de Active Directory Federation Services (AD FS)

La versión oficial de este contenido está en inglés. Parte del contenido de la documentación de GoTo se ha traducido automáticamente para facilitar el acceso. GoTo no tiene control sobre el contenido traducido automáticamente, y este puede contener errores, información inexacta o lenguaje inapropiado. No se ofrece ninguna garantía, ya sea explícita o implícita, de la precisión, la fiabilidad, la idoneidad o la corrección de cualquier traducción del original de inglés a otro idioma. Además, GoTo no se hace responsable de los daños y los problemas que se deriven del uso de este contenido traducido o de la confianza que surja a raíz de él.

Problemas conocidos y resolución de problemas adicionales del inicio de sesión federado de Active Directory Federation Services (AD FS)

Si ha confirmado que su LastPass Business Las configuraciones de AD FS están configuradas correctamente, existen pasos adicionales para solucionar problemas en función del problema que experimenta.

Pantalla en blanco después de iniciar sesión como usuario federado

Consulte las posibles causas y las resoluciones a continuación.

Tabla 1.
Causa posible	Cómo copiar
El usuario de servicio de AD FS no tiene permisos de CONTROL de CONTROL	Siga estas instrucciones desde el paso n.º 3
En un entorno de granja de AD FS, los DLL del complemento de AD FS no se copiaban en los nodos secundarios y sucesivos de AD FS	Siga estas instrucciones desde el paso n.º 6
La dirección de correo electrónico no se establece como atributo de AD	Establecer una dirección de correo electrónico como atributo de AD
El atributo personalizado no está configurado ni presente	Descubra cómo configurarlo desde el Paso n.º 5 Descubra cómo completar el paso n.º 6

El atributo personalizado está vacío

Consulte las posibles causas y las resoluciones a continuación.

Tabla 2.
Causa posible	Cómo copiar
No se reinició LastPass AD Connector después de activar el inicio de sesión federado en la Consola de administración de LastPass	Reinicie el servicio de LastPass AD Connector para aprovisionar usuarios federados
Se ha producido un error incorrecto entre la Consola de administración de LastPass y el complemento de AD FS	Siga estas instrucciones
El inicio de sesión federado no se ha habilitado en la Consola de administración de LastPass en el momento en el que se produjo el aprovisionamiento mediante LastPass AD Connector	Detener el servicio de LastPass AD Connector. Inicie sesión y acceda a la Consola de administración en https://admin.lastpass.com/ Vaya a Usuarios > Usuarios y eliminar todos los usuarios que se aprovisionaron como usuarios federados. Vaya a Usuarios > Inicio de sesión federado Marque la casilla de la Habilitar ajuste. Reinicie el servicio de LastPass AD Connector para aprovisionar usuarios federados.

"Póngase en contacto con el administrador de LastPass de su organización para obtener ayuda" tras iniciar sesión como usuario federado

Acerca de esta actividad:

Cómo solucionarlo: Desactivar opciones y políticas de autenticación multifactor en el nivel de LastPass.

Errores en el registro de eventos de Windows

Acerca de esta actividad:

Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: El almacén de atributos “LastPassAttributeStore” no está configurado.

Cómo solucionarlo:

Reinicie el servicio de Windows AD FS del servidor de AD FS para cargar el complemento de AD FS para LastPass correctamente.
En el entorno de granja de servidores de AD FS, comprobar la configuración de la granja de servidores de AD FS en el Paso n.º 7.

Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: La relación de confianza para usuario autenticado "https://accounts.lastpass.com/" no se ha especificado o no es compatible. Si se ha especificado una relación de confianza para usuario autenticado, es posible que no tenga permiso para acceder a ella. Póngase en contacto con su administrador para obtener más información.

Cómo solucionarlo:

Compruebe que el complemento de AD FS se ha instalado desde el Paso n.º 4 y configurado correctamente en Paso n.º 5.
Para entornos de granja de servidores de AD FS, consulte la granja de servidores de AD FS configuración desde el Paso n.º 7.

Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: La autorización de quien realiza la llamada no pudo concederse para la identidad de llamador DOMAIN\USERNAME de la relación de confianza para usuario autenticado "https://accounts.lastpass.com/".

Cómo solucionarlo:

Compruebe la relación de confianza de usuario autenticado y la relación de emisión de emisión (Windows Server 2012) o la política de Control de acceso (Windows Server 2016) en el servidor de AD FS.
1. Iniciar sesión en su servidor principal de Active Directory Federation Services (AD FS)
2. Diríjase a la configuración de administración de AD FS.
3. Vaya a Relaciones de confianza > Relación de confianza de usuario en el menú de navegación izquierdo y, a continuación, siga los siguientes pasos según la versión del servidor de AD FS:
  - AD FS Server 3.0 – Windows Server 2012 R2
    1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar reglas de notificación...
    2. Seleccione la Reglas de autorización de emisión pestañas y establezca la regla que desee.
  - Servidor AD FS: 4.0 Windows Server 2016
    1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar política de control de acceso....
    2. Aplique la política deseada.

Códigos de error de procesamiento de SAML

Acerca de esta actividad: La tabla siguiente contiene los códigos de error de procesamiento SAML y las posibles causas. Las posibles soluciones se indican en Tabla 4.

Tabla 3. Códigos de error de procesamiento de SAML
Estado	Nombre y apellidos:	Descripción	Posibles causas
5	SecurityTokenNoteválida	La respuesta SAML todavía no es válida según la hora del servidor ALP.	La configuración de la hora del servidor ADFS es incorrecta.
6	SecurityTokencaducado	La respuesta SAML ha caducado.	El ajuste de tiempo del servidor ADFS es incorrecto. El navegador del cliente encontró una respuesta SAML y intenta usarla más tarde.
9	SignatreverificationKeyKeymal	La respuesta SAML se ha registrado con un certificado diferente que el certificado de la página Inicio de sesión federado de la Consola de administración de LastPass.	La respuesta SAML se ha registrado con un certificado de firma de Token diferente que el certificado del inicio de sesión federado. Tiene un entorno de granja de ADFS y los nodos no tienen el mismo certificado de firma de Token configurado.
13	Solicitud de notificación remota	La aserción de correo electrónico no está presente en la respuesta SAML o la dirección de e-mail no es válida (por ejemplo, falta @).	La configuración de la confianza de usuario de confianza no es válida. El usuario de Active Directory tiene una dirección de e-mail no válida.
19	Solicitud de invalid	Solicitud SAML no válida	La respuesta SAML solo es parcial o falta por completo.
21	ReplayedToken	La respuesta SAML entrante ya se ha enviado a LastPass.
22	Sencilla secreta	La aserción de LastPassKeyPart o LastPassKeyfirma no está presente en la respuesta SAML.	El atributo personalizado de AD no se creó. Los usuarios personalizados del atributo están vacíos. La cuenta de servicio ADFS no tiene permiso para leer el atributo personalizado. La relación de usuario de confianza no es válida o no está configurada El complemento de ADFS se ha eliminado, no instalado o se ha instalado una versión incorrecta.
23	Nombre seringsingyseryUser	La aserción de la dirección Directory username (nombre de usuario) no está presente en la respuesta SAML.	La configuración de la confianza de usuario de confianza no es válida.
26	Sin error	El secreto de K2 no está presente para este usuario en la base de datos de ALP.	Los trabajadores de LastPass todavía no han procesado el trabajo de fondo de esta disposición del usuario.

Tabla 4. Solución de códigos de error de procesamiento de SAML posibles
Estado	Nombre y apellidos:	Posibles soluciones
5	SecurityTokenNoteválida	Configure la hora del servidor en el tiempo real, usando la función NTP integrada si quiere.
6	SecurityTokencaducado	Configure la hora del servidor en el tiempo real, usando la función NTP integrada si quiere. Borre la memoria caché y las cookies del navegador para el host del servidor ADFS.
9	SignatreverificationKeyKeymal	Obtenga la clave pública del certificado de firma de Token del servidor ADFS y actualice la clave pública en la página Inicio de sesión federado de la Consola de administración. Actualice los nodos de ADFS para tener el mismo certificado de firma de Token y actualice la clave pública en la página Inicio de sesión federado de la Consola de administración.
13	Solicitud de notificación remota	Compruebe si la configuración de usuario de confianza es válida y solucionándola si es necesario. Vuelva a instalar el complemento de ADFS. Compruebe la dirección de correo electrónico con los usuarios y ordenadores de Active Directory.
19	Solicitud de invalid	Compruebe la solicitud enviada a https://accounts.lastpass.com/auth/saml2/ < IdP-GUID > URL con las herramientas de desarrollador/tráfico de red del navegador. Adjunte el cuerpo de solicitud al registro de eventos del servidor ADFS y envíelo a la asistencia técnica.
21	ReplayedToken	Inicie sesión de nuevo con la extensión y vuelva a comprobar. Si el problema persiste, informe al equipo de asistencia técnica.
22	Sencilla secreta	Compruebe si el atributo está presente. Compruebe si el atributo personalizado del usuario está vacío. Consulte el registro de AD Connector si la cuenta se aprovisiona correctamente. Compruebe si la cuenta de servicio de ADFS tiene el permiso necesario para leer el atributo personalizado. Defina los permisos correctamente. Compruebe la configuración y vuelva a instalar el complemento de ADFS si es necesario. Vuelva a instalar la versión correcta.
23	Nombre seringsingyseryUser	Compruebe si la configuración del PR es válida y solucionándola si es necesario. Vuelva a instalar el complemento de ADFS.
26	Sin error	Espere unos minutos hasta que se procese el trabajo de fondo. Es posible que el trabajo de fondo esté desbloqueado. Póngase en contacto con el equipo de asistencia técnica de LastPass. Dado que la parte que falta del secreto hace que la cuenta desactive la cuenta, elimine la cuenta del sitio web de LastPass, por lo que AD Connector puede intentar aprovisionar esa cuenta de nuevo.