Problèmes connus et dépannage supplémentaire pour la connexion fédérée pour Active Directory Federation Services (AD FS)

La version officielle de ce contenu est en anglais. Une partie du contenu de la documentation GoTo a été traduit automatiquement pour en faciliter l’accès. GoTo n’a aucun contrôle sur le contenu traduit automatiquement, qui peut contenir des erreurs, des inexactitudes ou des termes inappropriés. Aucune garantie n’est émise, expresse ou implicite, quant à l’exactitude, la fiabilité, l’adéquation ou la justesse de toute traduction de l’original anglais vers toute autre langue, et GoTo ne peut pas être tenu responsable de tout dommage ou problème lié l’utilisation que vous faites de ce contenu traduit automatiquement ou de la confiance que vous pourriez accorder à ce contenu.

Problèmes connus et dépannage supplémentaire pour la connexion fédérée pour Active Directory Federation Services (AD FS)

Si vous avez confirmé que votre LastPass Business et les configurations AD FS sont correctement définies, il existe des étapes supplémentaires que vous pouvez effectuer pour résoudre le problème en fonction du problème.

Écran vide après la connexion en tant qu'utilisateur fédéré

Consultez les causes possibles et les résolutions ci-dessous.

Tableau 1.
Cause(s)Possible	Comment résoudre le problème
L'utilisateur de service AD FS n'a pas accès aux autorisations de contrôle d'accès	Suivez ces instructions de l'Étape 3
Dans un environnement de ferme AD FS, les DLL de module externe AD FS n'ont pas été copiées vers les nœuds AD FS secondaires et suivants	Suivez ces instructions de l'Étape 6
L'adresse e-mail n'est pas définie comme attribut AD	Définissez une adresse e-mail comme attribut AD
L'attribut personnalisé n'est pas configuré ou présent	Apprendre à configurer l'étape 5 Apprendre à remplir à partir de l'Étape 6

L’attribut personnalisé est vide

Consultez les causes possibles et les résolutions ci-dessous.

Tableau 2.
Cause(s)Possible	Comment résoudre le problème
Le LastPass AD Connector n'a pas été redémarré après l'activation de la connexion fédérée dans la Console d'administration LastPass	Redémarrer le service LastPass AD Connector pour provisionner les utilisateurs fédérés
Il existe une correspondance de nom d'attribut personnalisé entre la Console d'administration LastPass et le module externe AD FS	Suivez ces instructions
La connexion fédérée n'a pas été activée dans la Console d'administration LastPass au moment où le provisionnement est effectué via LastPass AD Connector	Arrêtez le service LastPass AD Connector. Connectez-vous et accédez à la Console d'administration à l'adresse https://admin.lastpass.com/ Allez à Utilisateurs > Utilisateurs et supprimer tous les utilisateurs qui ont été provisionnés en tant qu'utilisateurs fédérés. Allez à Utilisateurs > Connexion fédérée Cochez la case pour Activer paramètre. Redémarrez le service LastPass AD Connector pour provisionner les utilisateurs fédérés.

« Contacter l’administrateur LastPass de votre organisation pour obtenir de l’aide » après vous être connecté en tant qu’utilisateur fédéré

À propos de cette tâche :

Comment résoudre ce problème: Désactiver les options et stratégies d'authentification multifacteur au niveau de LastPass.

Erreurs de journal d'événement Windows

À propos de cette tâche :

Microsoft.IdentityServer.ClamsPolicy.Language.PolicyÉvaluationAddress: POLICY0017: Magasin d'attributs «LastPassAttribute» n'est pas configuré.

Découvrez comment résoudre ce problème :

Redémarrez le service Windows AD FS sur le serveur AD FS pour charger correctement le module externe AD FS LastPass.
Pour un environnement de ferme de serveurs AD FS, vérifier la configuration de la ferme de serveurs AD FS à partir de l'Étape 7.

Microsoft.IdentityServer.web.InvalidScopeException: MSIS7007 : L’approbation de partie de confiance demandée « https://accounts.lastpass.com/ » est non spécifiée ou non prise en charge. Si une approbation de partie de confiance a été spécifiée, il est possible que vous n’ayez pas l’autorisation d’accéder à l’approbation de partie de confiance. Contactez votre administrateur pour plus de détails.

Découvrez comment résoudre ce problème :

Vérifiez que le module externe AD FS a été installé à partir de l “Étape 4 et configuré correctement à partir de l ”Étape 5.
Pour un environnement de ferme de serveurs AD FS, vérifiez la ferme de serveurs AD FS configuration de l'Étape 7.

Microsoft.IdentityServer.web.InvalidScopeException: Microsoft.IdentityServer.Service.Émission Pipeline.CallerAuzationAddress: MSIS5007 : Échec de l’authentification de l’appelant pour l’identité de l’appelant DOMAINE\UTILISATEUR de l’approbation de partie de confiance « https://accounts.lastpass.com/ »

Découvrez comment résoudre ce problème :

Vérifiez l'approbation de partie de confiance de l'utilisateur et les règles d'autorisation d'émission (Windows Server 2012) ou la stratégie de contrôle d'accès (Windows Server 2016) sur le serveur AD FS.
1. Connectez-vous à votre serveur Active Directory Federation Services (AD FS) principal
2. Passez aux paramètres de gestion AD FS.
3. Allez à Relations d'approbation > Approbation de partie de confiance dans la navigation de gauche, suivez les étapes suivantes en fonction de votre version du serveur AD FS:
  - Serveur AD FS 3.0 – Windows Server 2012 R2
    1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
    2. Sélectionnez le Règles d'autorisation d'émission et définissez la règle voulue.
  - Serveur AD FS 4.0 – Serveur Windows 2016
    1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d’accès....
    2. Définissez la stratégie voulue.

Codes d'erreur de traitement SAML

À propos de cette tâche : Le tableau ci-dessous contient les codes d'erreur de traitement SAML et les causes possibles. Les solutions possibles sont répertoriées dans Tableau 4.

Tableau 3. Codes d'erreur de traitement SAML
Statut	Nom	Description	Cause(s)Possible
5	SécuritéNotYetetValid	La réponse SAML n'est pas encore valable en fonction du temps de serveur ALP.	Les paramètres de temps du serveur ADFS sont incorrects.
6	Sécurité expirée	La réponse SAML est expirée.	Les paramètres de temps du serveur ADFS ne sont pas corrects. Le navigateur client a mis en cache une réponse SAML et tente de l'utiliser ultérieurement.
9	Vérification de la vérification de la signature et du clavier	La réponse SAML est signé avec un autre certificat que le certificat sur la page de connexion fédérée dans la Console d'administration LastPass.	La réponse SAML est signé avec un certificat de signature de jeton différent de celui sur la connexion fédérée. Vous avez un environnement de ferme ADFS, et les nœuds n'ont pas le même certificat de signature de jeton configuré.
13	MisingEmailrevendication	L'assertion par e-mail n'est pas présente dans la réponse SAML ou l'adresse e-mail n'est pas valide (par exemple, manquante @).	La configuration de l'approbation de partie de confiance n'est pas valable. L'utilisateur AD a une adresse e-mail non valable.
19	Invalider	Demande SAML non valable	La réponse SAML est seulement partie ou est complètement manquante.
21	Relecture Jeton	La réponse SAML entrante a déjà été envoyée à LastPass.
22	MissingLastPassSecret	LastPassKeyPart ou LastPassKeyPart Signature n'est pas présente dans la réponse SAML.	L'attribut AD personnalisé n'a pas été créé. L'attribut Utilisateurs personnalisés est vide. Le compte de service ADFS n'est pas autorisé à lire l'attribut personnalisé. L'approbation de partie de confiance est invalide ou mal configurée Le module externe ADFS a été retiré, non installé ou une version incorrecte a été installée.
23	Nom de l'utilisateur de MissingDirectory	L'assertion DirectoryUserName (nom d'utilisateur AD) n'est pas présente dans la réponse SAML.	La configuration de l'approbation de partie de confiance n'est pas valable.
26	MisingAlpSecret	Le secret global n'est pas présent pour cet utilisateur dans la base de données ALP.	Les travailleurs LP n'ont pas encore traité la tâche d'arrière-plan pour cette provisionner d'utilisateur.

Tableau 4. Les codes d'erreur SAML de traitement codes les solutions possibles
Statut	Nom	Solutions possibles
5	SécuritéNotYetetValid	Configurez l'heure du serveur à l'heure actuelle, en utilisant la fonctionnalité NTP intégrée au besoin.
6	Sécurité expirée	Configurez l'heure du serveur à l'heure actuelle, en utilisant la fonctionnalité NTP intégrée au besoin. Effacer le cache et les cookies de navigateur pour l'hôte du serveur ADFS.
9	Vérification de la vérification de la signature et du clavier	Obtenez la clé publique du certificat de signature de jeton réel du serveur ADFS et mettez à jour la clé publique sur la page Connexion fédérée dans la Console d'administration. Mettez à jour les nœuds ADFS pour avoir le même certificat de signature de jeton et mettre à jour la clé publique sur la page Connexion fédérée dans la Console d'administration.
13	MisingEmailrevendication	Vérifiez si la configuration de la partie de confiance est valable et corriger le cas échéant. Réinstallez le module externe ADFS. Vérifiez l'adresse e-mail avec les utilisateurs et les ordinateurs Active Directory.
19	Invalider	Vérifiez la demande envoyée à https://accounts.lastpass.com/auth/saml2/ < IdP-GUID > URL avec les outils de développement du navigateur/trafic réseau. Attachez le corps de demande au journal d'événements du serveur ADFS et envoyez-le à l'assistance.
21	Relecture Jeton	Connectez-vous à l'aide de l'extension et vérifiez à nouveau. Si le problème persiste, signalez-le à l'aide de l'équipe d'assistance.
22	MissingLastPassSecret	Vérifiez si l'attribut est présent. Vérifiez si l'attribut personnalisé de l'utilisateur est vide. Reportez-vous à la fiche AD Connector si le compte a été correctement provisionné. Vérifiez si le compte de service ADFS dispose de l'autorisation requise pour lire l'attribut personnalisé. Définissez les autorisations correctement. Vérifiez la configuration et réinstallez le module externe ADFS si nécessaire. Réinstallez la version correcte.
23	Nom de l'utilisateur de MissingDirectory	Vérifiez si la configuration de la boîte de réception est valable et correction si nécessaire. Réinstallez le module externe ADFS.
26	MisingAlpSecret	Attendez quelques minutes jusqu “à ce que la tâche d”arrière-plan soit traitée. La tâche d'arrière-plan peut être réduite. Contactez l'équipe d'assistance LastPass. Étant donné qu'une partie manquante du secret rend le compte inaccessible, supprimez le compte du site web LastPass, afin que le connecteur AD essaie de réapprovisionner ce compte.