Problèmes connus et dépannage supplémentaire pour la connexion fédérée pour Active Directory Federation Services (AD FS)
Si vous avez confirmé que votre LastPass Business et les configurations AD FS sont correctement définies, il existe des étapes supplémentaires que vous pouvez effectuer pour résoudre le problème en fonction du problème.
Écran vide après la connexion en tant qu'utilisateur fédéré
Consultez les causes possibles et les résolutions ci-dessous.
Cause(s)Possible | Comment résoudre le problème |
---|---|
L'utilisateur de service AD FS n'a pas accès aux autorisations de contrôle d'accès | Suivez ces instructions de l'Étape 3 |
Dans un environnement de ferme AD FS, les DLL de module externe AD FS n'ont pas été copiées vers les nœuds AD FS secondaires et suivants | Suivez ces instructions de l'Étape 6 |
L'adresse e-mail n'est pas définie comme attribut AD | Définissez une adresse e-mail comme attribut AD |
L'attribut personnalisé n'est pas configuré ou présent |
L’attribut personnalisé est vide
Consultez les causes possibles et les résolutions ci-dessous.
Cause(s)Possible | Comment résoudre le problème |
---|---|
Le LastPass AD Connector n'a pas été redémarré après l'activation de la connexion fédérée dans la Console d'administration LastPass | Redémarrer le service LastPass AD Connector pour provisionner les utilisateurs fédérés |
Il existe une correspondance de nom d'attribut personnalisé entre la Console d'administration LastPass et le module externe AD FS | Suivez ces instructions |
La connexion fédérée n'a pas été activée dans la Console d'administration LastPass au moment où le provisionnement est effectué via LastPass AD Connector |
|
« Contacter l’administrateur LastPass de votre organisation pour obtenir de l’aide » après vous être connecté en tant qu’utilisateur fédéré
Comment résoudre ce problème: Désactiver les options et stratégies d'authentification multifacteur au niveau de LastPass.
Erreurs de journal d'événement Windows
- Microsoft.IdentityServer.ClamsPolicy.Language.PolicyÉvaluationAddress: POLICY0017: Magasin d'attributs «LastPassAttribute» n'est pas configuré.
-
Découvrez comment résoudre ce problème :
- Redémarrez le service Windows AD FS sur le serveur AD FS pour charger correctement le module externe AD FS LastPass.
- Pour un environnement de ferme de serveurs AD FS, vérifier la configuration de la ferme de serveurs AD FS à partir de l'Étape 7.
- Microsoft.IdentityServer.web.InvalidScopeException: MSIS7007 : L’approbation de partie de confiance demandée « https://accounts.lastpass.com/ » est non spécifiée ou non prise en charge. Si une approbation de partie de confiance a été spécifiée, il est possible que vous n’ayez pas l’autorisation d’accéder à l’approbation de partie de confiance. Contactez votre administrateur pour plus de détails.
-
Découvrez comment résoudre ce problème :
- Vérifiez que le module externe AD FS a été installé à partir de l “Étape 4 et configuré correctement à partir de l ”Étape 5.
- Pour un environnement de ferme de serveurs AD FS, vérifiez la ferme de serveurs AD FS configuration de l'Étape 7.
- Microsoft.IdentityServer.web.InvalidScopeException: Microsoft.IdentityServer.Service.Émission Pipeline.CallerAuzationAddress: MSIS5007 : Échec de l’authentification de l’appelant pour l’identité de l’appelant DOMAINE\UTILISATEUR de l’approbation de partie de confiance « https://accounts.lastpass.com/ »
-
Découvrez comment résoudre ce problème :
- Vérifiez l'approbation de partie de confiance de l'utilisateur et les règles d'autorisation d'émission (Windows Server 2012) ou la stratégie de contrôle d'accès (Windows Server 2016) sur le serveur AD FS.
- Connectez-vous à votre serveur Active Directory Federation Services (AD FS) principal
- Passez aux paramètres de gestion AD FS.
- Allez à
- Serveur AD FS 3.0 – Windows Server 2012 R2
- Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
- Sélectionnez le Règles d'autorisation d'émission et définissez la règle voulue.
- Serveur AD FS 4.0 – Serveur Windows 2016
- Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d’accès....
- Définissez la stratégie voulue.
dans la navigation de gauche, suivez les étapes suivantes en fonction de votre version du serveur AD FS:
- Serveur AD FS 3.0 – Windows Server 2012 R2
- Vérifiez l'approbation de partie de confiance de l'utilisateur et les règles d'autorisation d'émission (Windows Server 2012) ou la stratégie de contrôle d'accès (Windows Server 2016) sur le serveur AD FS.
Codes d'erreur de traitement SAML
Statut | Nom | Description | Cause(s)Possible |
---|---|---|---|
5 | SécuritéNotYetetValid | La réponse SAML n'est pas encore valable en fonction du temps de serveur ALP. | Les paramètres de temps du serveur ADFS sont incorrects. |
6 | Sécurité expirée | La réponse SAML est expirée. |
|
9 | Vérification de la vérification de la signature et du clavier | La réponse SAML est signé avec un autre certificat que le certificat sur la page de connexion fédérée dans la Console d'administration LastPass. |
|
13 | MisingEmailrevendication | L'assertion par e-mail n'est pas présente dans la réponse SAML ou l'adresse e-mail n'est pas valide (par exemple, manquante @). |
|
19 | Invalider | Demande SAML non valable | La réponse SAML est seulement partie ou est complètement manquante. |
21 | Relecture Jeton | La réponse SAML entrante a déjà été envoyée à LastPass. | |
22 | MissingLastPassSecret | LastPassKeyPart ou LastPassKeyPart Signature n'est pas présente dans la réponse SAML. |
|
23 | Nom de l'utilisateur de MissingDirectory | L'assertion DirectoryUserName (nom d'utilisateur AD) n'est pas présente dans la réponse SAML. | La configuration de l'approbation de partie de confiance n'est pas valable. |
26 | MisingAlpSecret | Le secret global n'est pas présent pour cet utilisateur dans la base de données ALP. | Les travailleurs LP n'ont pas encore traité la tâche d'arrière-plan pour cette provisionner d'utilisateur. |
Statut | Nom | Solutions possibles |
---|---|---|
5 | SécuritéNotYetetValid | Configurez l'heure du serveur à l'heure actuelle, en utilisant la fonctionnalité NTP intégrée au besoin. |
6 | Sécurité expirée |
|
9 | Vérification de la vérification de la signature et du clavier |
|
13 | MisingEmailrevendication |
|
19 | Invalider | Vérifiez la demande envoyée à https://accounts.lastpass.com/auth/saml2/ < IdP-GUID > URL avec les outils de développement du navigateur/trafic réseau. Attachez le corps de demande au journal d'événements du serveur ADFS et envoyez-le à l'assistance. |
21 | Relecture Jeton | Connectez-vous à l'aide de l'extension et vérifiez à nouveau. Si le problème persiste, signalez-le à l'aide de l'équipe d'assistance. |
22 | MissingLastPassSecret |
|
23 | Nom de l'utilisateur de MissingDirectory |
|
26 | MisingAlpSecret |
|