HELP FILE

Quelles sont les limitations pour les utilisateurs de LastPass avec connexion fédérée ?

    Certaines limitations de fonctionnalité s’appliquent aux utilisateurs LastPass Business dont les comptes sont configurés pour une connexion fédérée avec AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate.

    Remarque : Dans cet ensemble d’instructions, le fournisseur d’identité (IdP) utilisé pour l’authentification pourrait être AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate.

    Compatibilité

    Composants pris en charge :

    Composants non pris en charge :

    • Appareils wearable Android/Apple Watch
    • Si les applications de bureau LastPass ou les applications LastPass Password Manager mobiles sont gérées par des solutions MDM (non-Intune) tierces
    • Utilisation du coffre-fort web en ligne sur les navigateurs web mobiles
    • Utilisation du coffre-fort web en ligne (site web LastPass) sans extension LastPass

    Limitations

    • Pas d’accès hors ligne – Le côté client (extension de navigateur web) doit rester en ligne pour obtenir la clé de chiffrement de l’utilisateur et déverrouiller le coffre-fort LastPass de cet utilisateur. C’est pourquoi la connexion hors ligne n’est pas disponible.
    • Pas de mot de passe à usage unique – Cette fonctionnalité n’est pas disponible car le mot de passe maître provient de l’environnement Active Directory (AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate) de l’utilisateur.
    • Options de récupération de compte limitées – Pour les utilisateurs fédérés, le fournisseur d’identité choisi par l’organisation (IdP) fournit l’authentification. Par conséquent, la récupération de mot de passe peut se faire par une des méthodes suivantes :
      • Réinitialisation de mot de passe par la gestion d’utilisateurs Active Directory (le cas échéant)
      • Réinitialisation de mot de passe par Azure AD, Okta, Google Workspace, PingOne ou PingFederate (le cas échéant)
      • Réinitialisation du mot de passe par la stratégie « Autoriser les super administrateurs à réinitialiser les mots de passe maîtres » dans LastPass, néanmoins, ceci fera passer le statut de l’utilisateur de fédéré à non fédéré – consultez Réinitialiser un mot de passe maître d’utilisateur (super administrateur) pour en savoir plus.
    • Aucune authentification multifacteur activée dans LastPass – L’authentification multifacteur doit être configurée au niveau du fournisseur du service d’identité, et non pas au niveau de LastPass. Elle doit être désactivée dans la console d’administration LastPass (apprenez comment ici) et les réglages de compte d’utilisateur final (apprenez comment ici). Si elle est activée dans LastPass, les utilisateurs fédérés seront incapables d’accéder à leur coffre-fort.
      Restriction : Workstation MFA ne peut pas être utilisé simultanément avec la connexion fédérée (car la connexion fédérée ne prend en charge l'authentification multifacteur qu'au niveau du fournisseur d'identité, et Workstation MFA nécessite une authentification multifacteur au niveau de LastPass).
    • Aucune stratégie d’authentification multifacteur activée dans LastPass – Vous devez désactiver toutes les stratégies d’authentification multifacteur dans la console d’administration LastPass (apprendre comment ici) parce que cette authentification s’effectue au niveau du fournisseur d’identité. Si néanmoins une stratégie d’authentification multifacteur est activée dans LastPass, les utilisateurs fédérés seront incapables d’accéder à leur coffre-fort.
      Remarque : Les utilisateurs de connexion fédérée bénéficient d’une augmentation automatique de 10 % sur leur score de sécurité puisque l’authentification multifacteur doit être configurée au niveau du fournisseur d’identité (dans les paramètres AD FS, Azure AD, Okta, PingOne, PingFederate ou Google Workspace) et non pas au niveau de LastPass (dans l’onglet Options d’authentification multifacteur dans les paramètres du compte de leur coffre-fort).
    • Seule l’authentification unique (SSO) du fournisseur de services est prise en charge – Ceci signifie que vous devez toujours commencer la procédure de connexion depuis un composant LastPass (c’est-à-dire extension de navigateur web, appli mobile ou application de bureau) pour être redirigé vers la page de connexion du fournisseur d’identité de votre organisation. La connexion par le site web LastPass à l’adresse https://lastpass.com/?ac=1 n’est pas prise en charge pour les utilisateurs fédérés.
    • À propos des comptes personnels associés – Les comptes personnels associés doivent être vérifiés sur chaque nouvel appareil qu’un utilisateur fédéré AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate utilise pour se connecter et accéder à son coffre-fort LastPass.
    • À propos de la stratégie « Ne pas envoyer d’e-mail de bienvenue » – Cette politique n’a aucun effet sur les utilisateurs fédérés car ces utilisateurs doivent recevoir un e-mail de bienvenue afin d’activer leur compte LastPass fédéré.
    • Pour AD FS et PingFederate – Les modifications automatiques des e-mails et la personnalisation des e-mails de bienvenue ne sont pas prises en charge pour les utilisateurs approvisionnés par la connexion fédérée avec AD FS (à la fois les versions classiques et simplifiée) ou PingFederate.
    • Limitations d’autres stratégies – Toutes les stratégies associées à la force du mot de passe maître ou aux règles de mot de passe maître n’affecteront pas les utilisateurs fédérés si elles sont mises en place, et devraient être désactivées à tout moment pour ces utilisateurs. Apprendre à gérer vos stratégies.

    Veuillez remarquer que si le statut d’un utilisateur change de fédéré à non fédéré (par exemple, du fait d’une réinitialisation de mot de passe maître), les limitations répertoriées ci-dessus seront levées mais que l’utilisateur devra toujours respecter les stratégies de la société appliquées à son compte LastPass Business. Mais vous pouvez reconvertir ces utilisateurs au statut fédéré sans risque de perte de données. Consultez les instructions applicables à votre configuration de connexion fédérée :