HELP FILE

¿Cuáles son las limitaciones de los usuarios de LastPass con inicio de sesión federado?

    Se aplican limitaciones de funciones a los usuarios de LastPass Business cuyas cuentas están configuradas para el inicio de sesión federado con AD FS, Azure AD, Okta, Google Workspace, PingOne o PingFederate.

    Nota: En este conjunto de instrucciones, el Proveedor de identidades (IdP) usado para la autenticación sería AD FS, Azure AD, Okta, Google Workspace, PingOne o PingFederate.

    Compatibilidad

    Componentes compatibles:

    Componentes no compatibles:

    • Wearables Android/Apple Watch
    • Si las aplicaciones de escritorio de LastPass o las aplicaciones para dispositivos móviles LastPass Password Manager se gestionan mediante soluciones MDM de terceros (no Intune)
    • Usar de la bóveda web en línea en navegadores web móviles
    • Usar la bóveda web en línea (sitio web de LastPass) sin la extensión de LastPass instalada

    Limitaciones

    • Sin acceso sin conexión: el cliente (extensión para navegadores web) debe permanecer en línea para obtener la clave de cifrado del usuario y desbloquear la bóveda de LastPass del usuario. Por este motivo, el inicio de sesión sin conexión no está disponible.
    • Sin contraseña de un solo uso: esta función no está disponible porque la contraseña maestra procede del entorno de Active Directory (AD FS, Azure AD, Okta, Google Workspace, PingOne o PingFederate) del usuario.
    • Opciones limitadas de recuperación de cuenta: para los usuarios federados, el proveedor de identidades (IdP) elegido de la organización proporciona la autenticación. Por este motivo, la recuperación de contraseñas se puede llevar a cabo de la siguiente manera:
      • Restablecimiento de contraseña mediante la gestión de usuarios de Active Directory (si corresponde)
      • Restablecimiento de contraseña mediante Azure AD, Okta, Google Workspace, PingOne o PingFederate (si corresponde)
      • Restablecimiento de contraseña mediante la política "Permitir que los superadministradores restablezcan las contraseñas maestras" de LastPass. No obstante, esta acción modificará el estado del usuario de federado a no federado. Consulte Restablecimiento de la contraseña maestra de un usuario (superadministrador) para obtener más información.
    • Autenticación multifactor no activada en LastPass: la autenticación multifactor debe configurarse a nivel de proveedor de servicios de identidad, no a nivel de LastPass. Debe desactivarse en la Consola de administración de LastPass (descubra aquí cómo hacerlo) y en la Configuración de la cuenta del usuario final (descubra aquí cómo hacerlo). Si está activada en LastPass, provocará que los usuarios federados no puedan acceder a la bóveda.
      Restricción: La MFA de la estación de trabajo no puede utilizarse simultáneamente con el inicio de sesión federado. El inicio de sesión federado solo admite la autenticación multifactor a nivel del proveedor de identidad, mientras que la MFA de la estación de trabajo requiere la autenticación multifactor a nivel de LastPass.
    • No se aplica ninguna política de autenticación multifactor en LastPass: debe desactivar todas las políticas de autenticación multifactor en la Consola de administración de LastPass (descubra aquí cómo hacerlo), pues esta autenticación se produce a nivel de proveedor de identidades. Si hay una sola política de autenticación multifactor activada en LastPass, provocará que los usuarios federados no puedan acceder a la bóveda.
      Nota: La puntuación de seguridad de los usuarios de inicio de sesión federado aumenta automáticamente un 10 %, ya que deben configurar la autenticación multifactor en el nivel del proveedor de identidades (en la configuración de AD FS, Azure AD, Okta, PingOne, PingFederate o Google Workspace) y no en el nivel de LastPass (en la pestaña Opciones multifactor de la sección Configuración de la cuenta de la bóveda).
    • Solo es compatible el inicio de sesión único (SSO) del proveedor de servicios: esto significa que siempre debe empezar el proceso de inicio de sesión desde un componente de LastPass (por ejemplo, la extensión para navegadores web, la aplicación para dispositivos móviles o la aplicación para ordenador) para que se abra la página de inicio de sesión del proveedor de identidades de su organización. Los usuarios federados no pueden iniciar sesión desde el sitio web de LastPass (https://lastpass.com/?ac=1).
    • Acerca de las cuentas personales vinculadas: las cuentas personales vinculadas deben verificarse en cada nuevo dispositivo que el usuario federado de AD FS, Azure AD, Okta, Google Workspace, PingOne o PingFederate vaya a usar para iniciar sesión y acceder a su bóveda de LastPass.
    • Acerca de la política "No enviar correo electrónico de bienvenida": esta política no afecta a los usuarios federados, ya que deben recibir un correo electrónico de bienvenida para activar su cuenta federada de LastPass.
    • Para AD FS y PingFederate: los cambios automáticos de correo electrónico y la personalización de los correos de bienvenida no son compatibles con los usuarios aprovisionados por el inicio de sesión federado con AD FS (las versiones tradicionales y simplificadas) o PingFederate.
    • Otras limitaciones de políticas: las políticas relacionadas con la seguridad de la contraseña maestra o las reglas de la contraseña maestra no afectarán a los usuarios federados si se aplican. Además, deben estar siempre desactivadas para dichos usuarios. Aprenda a gestionar sus políticas.

    Tenga en cuenta que si el estado de un usuario cambia de federado a no federado (por ejemplo, debido a un restablecimiento de contraseña maestra), desaparecerán las limitaciones anteriores, pero el usuario tendrá que adherirse a las políticas de la empresa que se hayan aplicado a su cuenta de LastPass Business. Sin embargo, puede volver a convertir a estos usuarios en usuarios federados sin arriesgarse a perder datos. Consulte las instrucciones que se aplican a su configuración de inicio de sesión federado: