product icon

Problèmes connus et dépannage supplémentaire pour la connexion fédérée pour Active Directory Federation Services (AD FS)

    Si vous avez confirmé que votre LastPass Business et les configurations AD FS sont correctement définies, il existe des étapes supplémentaires que vous pouvez effectuer pour résoudre le problème en fonction du problème.

    Écran vide après la connexion en tant qu'utilisateur fédéré

    Consultez les causes possibles et les résolutions ci-dessous.

    Tableau 1.
    Cause(s)Possible Comment résoudre le problème
    L'utilisateur de service AD FS n'a pas accès aux autorisations de contrôle d'accès Suivez ces instructions de l'Étape 3
    Dans un environnement de ferme AD FS, les DLL de module externe AD FS n'ont pas été copiées vers les nœuds AD FS secondaires et suivants Suivez ces instructions de l'Étape 6
    L'adresse e-mail n'est pas définie comme attribut AD Définissez une adresse e-mail comme attribut AD
    L'attribut personnalisé n'est pas configuré ou présent

    L’attribut personnalisé est vide

    Consultez les causes possibles et les résolutions ci-dessous.

    Tableau 2.
    Cause(s)Possible Comment résoudre le problème
    Le LastPass AD Connector n'a pas été redémarré après l'activation de la connexion fédérée dans la Console d'administration LastPass Redémarrer le service LastPass AD Connector pour provisionner les utilisateurs fédérés
    Il existe une correspondance de nom d'attribut personnalisé entre la Console d'administration LastPass et le module externe AD FS Suivez ces instructions
    La connexion fédérée n'a pas été activée dans la Console d'administration LastPass au moment où le provisionnement est effectué via LastPass AD Connector
    1. Arrêtez le service LastPass AD Connector.
    2. Connectez-vous et accédez à la Console d'administration à l'adresse https://admin.lastpass.com/
    3. Allez à Utilisateurs > Utilisateurs et supprimer tous les utilisateurs qui ont été provisionnés en tant qu'utilisateurs fédérés.
    4. Allez à Utilisateurs > Connexion fédérée
    5. Cochez la case pour Activer paramètre.
    6. Redémarrez le service LastPass AD Connector pour provisionner les utilisateurs fédérés.

    « Contacter l’administrateur LastPass de votre organisation pour obtenir de l’aide » après vous être connecté en tant qu’utilisateur fédéré

    À propos de cette tâche :

    Comment résoudre ce problème: Désactiver les options et stratégies d'authentification multifacteur au niveau de LastPass.

    Erreurs de journal d'événement Windows

    À propos de cette tâche :
    Microsoft.IdentityServer.ClamsPolicy.Language.PolicyÉvaluationAddress: POLICY0017: Magasin d'attributs «LastPassAttribute» n'est pas configuré.
    Découvrez comment résoudre ce problème :
    Microsoft.IdentityServer.web.InvalidScopeException: MSIS7007 : L’approbation de partie de confiance demandée « https://accounts.lastpass.com/ » est non spécifiée ou non prise en charge. Si une approbation de partie de confiance a été spécifiée, il est possible que vous n’ayez pas l’autorisation d’accéder à l’approbation de partie de confiance. Contactez votre administrateur pour plus de détails.
    Découvrez comment résoudre ce problème :
    Microsoft.IdentityServer.web.InvalidScopeException: Microsoft.IdentityServer.Service.Émission Pipeline.CallerAuzationAddress: MSIS5007 : Échec de l’authentification de l’appelant pour l’identité de l’appelant DOMAINE\UTILISATEUR de l’approbation de partie de confiance « https://accounts.lastpass.com/ »
    Découvrez comment résoudre ce problème :
    • Vérifiez l'approbation de partie de confiance de l'utilisateur et les règles d'autorisation d'émission (Windows Server 2012) ou la stratégie de contrôle d'accès (Windows Server 2016) sur le serveur AD FS.
      1. Connectez-vous à votre serveur Active Directory Federation Services (AD FS) principal
      2. Passez aux paramètres de gestion AD FS.
      3. Allez à Relations d'approbation > Approbation de partie de confiance dans la navigation de gauche, suivez les étapes suivantes en fonction de votre version du serveur AD FS:
        • Serveur AD FS 3.0 – Windows Server 2012 R2
          1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier les règles de revendication....
          2. Sélectionnez le Règles d'autorisation d'émission et définissez la règle voulue.
        • Serveur AD FS 4.0 – Serveur Windows 2016
          1. Dans la section « Approbation LastPass » de la navigation de droite, cliquez sur Modifier la stratégie de contrôle d’accès....
          2. Définissez la stratégie voulue.

    Codes d'erreur de traitement SAML

    À propos de cette tâche : Le tableau ci-dessous contient les codes d'erreur de traitement SAML et les causes possibles. Les solutions possibles sont répertoriées dans Tableau 4.
    Tableau 3. Codes d'erreur de traitement SAML
    Statut Nom Description Cause(s)Possible
    5 SécuritéNotYetetValid La réponse SAML n'est pas encore valable en fonction du temps de serveur ALP. Les paramètres de temps du serveur ADFS sont incorrects.
    6 Sécurité expirée La réponse SAML est expirée.
    • Les paramètres de temps du serveur ADFS ne sont pas corrects.
    • Le navigateur client a mis en cache une réponse SAML et tente de l'utiliser ultérieurement.
    9 Vérification de la vérification de la signature et du clavier La réponse SAML est signé avec un autre certificat que le certificat sur la page de connexion fédérée dans la Console d'administration LastPass.
    • La réponse SAML est signé avec un certificat de signature de jeton différent de celui sur la connexion fédérée.
    • Vous avez un environnement de ferme ADFS, et les nœuds n'ont pas le même certificat de signature de jeton configuré.
    13 MisingEmailrevendication L'assertion par e-mail n'est pas présente dans la réponse SAML ou l'adresse e-mail n'est pas valide (par exemple, manquante @).
    • La configuration de l'approbation de partie de confiance n'est pas valable.
    • L'utilisateur AD a une adresse e-mail non valable.
    19 Invalider Demande SAML non valable La réponse SAML est seulement partie ou est complètement manquante.
    21 Relecture Jeton La réponse SAML entrante a déjà été envoyée à LastPass.  
    22 MissingLastPassSecret LastPassKeyPart ou LastPassKeyPart Signature n'est pas présente dans la réponse SAML.
    • L'attribut AD personnalisé n'a pas été créé.
    • L'attribut Utilisateurs personnalisés est vide.
    • Le compte de service ADFS n'est pas autorisé à lire l'attribut personnalisé.
    • L'approbation de partie de confiance est invalide ou mal configurée
    • Le module externe ADFS a été retiré, non installé ou une version incorrecte a été installée.
    23 Nom de l'utilisateur de MissingDirectory L'assertion DirectoryUserName (nom d'utilisateur AD) n'est pas présente dans la réponse SAML. La configuration de l'approbation de partie de confiance n'est pas valable.
    26 MisingAlpSecret Le secret global n'est pas présent pour cet utilisateur dans la base de données ALP. Les travailleurs LP n'ont pas encore traité la tâche d'arrière-plan pour cette provisionner d'utilisateur.
    Tableau 4. Les codes d'erreur SAML de traitement codes les solutions possibles
    Statut Nom Solutions possibles
    5 SécuritéNotYetetValid Configurez l'heure du serveur à l'heure actuelle, en utilisant la fonctionnalité NTP intégrée au besoin.
    6 Sécurité expirée
    • Configurez l'heure du serveur à l'heure actuelle, en utilisant la fonctionnalité NTP intégrée au besoin.
    • Effacer le cache et les cookies de navigateur pour l'hôte du serveur ADFS.
    9 Vérification de la vérification de la signature et du clavier
    1. Obtenez la clé publique du certificat de signature de jeton réel du serveur ADFS et mettez à jour la clé publique sur la page Connexion fédérée dans la Console d'administration.
    2. Mettez à jour les nœuds ADFS pour avoir le même certificat de signature de jeton et mettre à jour la clé publique sur la page Connexion fédérée dans la Console d'administration.
    13 MisingEmailrevendication
      1. Vérifiez si la configuration de la partie de confiance est valable et corriger le cas échéant.
      2. Réinstallez le module externe ADFS.
    1. Vérifiez l'adresse e-mail avec les utilisateurs et les ordinateurs Active Directory.
    19 Invalider Vérifiez la demande envoyée à https://accounts.lastpass.com/auth/saml2/ < IdP-GUID > URL avec les outils de développement du navigateur/trafic réseau. Attachez le corps de demande au journal d'événements du serveur ADFS et envoyez-le à l'assistance.
    21 Relecture Jeton Connectez-vous à l'aide de l'extension et vérifiez à nouveau. Si le problème persiste, signalez-le à l'aide de l'équipe d'assistance.
    22 MissingLastPassSecret
    1. Vérifiez si l'attribut est présent.
    2. Vérifiez si l'attribut personnalisé de l'utilisateur est vide. Reportez-vous à la fiche AD Connector si le compte a été correctement provisionné.
    3. Vérifiez si le compte de service ADFS dispose de l'autorisation requise pour lire l'attribut personnalisé. Définissez les autorisations correctement.
    4. Vérifiez la configuration et réinstallez le module externe ADFS si nécessaire.
    5. Réinstallez la version correcte.
    23 Nom de l'utilisateur de MissingDirectory
    • Vérifiez si la configuration de la boîte de réception est valable et correction si nécessaire.
    • Réinstallez le module externe ADFS.
    26 MisingAlpSecret
      1. Attendez quelques minutes jusqu “à ce que la tâche d”arrière-plan soit traitée.
      2. La tâche d'arrière-plan peut être réduite. Contactez l'équipe d'assistance LastPass.
    1. Étant donné qu'une partie manquante du secret rend le compte inaccessible, supprimez le compte du site web LastPass, afin que le connecteur AD essaie de réapprovisionner ce compte.