Qu’est-ce que LastPass Universal Proxy ?

La version officielle de ce contenu est en anglais. Une partie du contenu de la documentation GoTo a été traduit automatiquement pour en faciliter l’accès. GoTo n’a aucun contrôle sur le contenu traduit automatiquement, qui peut contenir des erreurs, des inexactitudes ou des termes inappropriés. Aucune garantie n’est émise, expresse ou implicite, quant à l’exactitude, la fiabilité, l’adéquation ou la justesse de toute traduction de l’original anglais vers toute autre langue, et GoTo ne peut pas être tenu responsable de tout dommage ou problème lié l’utilisation que vous faites de ce contenu traduit automatiquement ou de la confiance que vous pourriez accorder à ce contenu.

Qu’est-ce que LastPass Universal Proxy ?

LastPass Universal Proxy est un logiciel sur site qui reçoit des demandes d’authentification de votre application réseau (par exemple un serveur VPN), puis s’authentifie auprès de votre authentificateur primaire (c’est-à-dire le serveur LDAP ou RADIUS) et/ou du serveur d’authentification LastPass en utilisant le protocole LDAP, LDAPS ou RADIUS. LastPass peut effectuer une authentification secondaire via le serveur d’authentification multifacteur (MFA) basé sur le cloud de LastPass.

Remarque : Cette fonctionnalité nécessite un compte avec LastPass Business + le module complémentaire Advanced MFA. Comment mettre à niveau mon compte LastPass Business avec un module complémentaire ?

La figure suivante montre un exemple simplifié d’un réseau de base de petite entreprise, dans lequel un VPN est intégré au réseau. L’utilisation d’un pare-feu garantit que les ressources du réseau sont uniquement réservées à l’usage interne de la société.

Les travailleurs distant peuvent se connecter en toute sécurité à leur réseau d’entreprise en utilisant des connexions VPN. Le chiffrement de ces connexions permet d’assurer la sécurité et la confidentialité des données.

Le serveur VPN peut authentifier lui-même les utilisateurs ou déléguer l’authentification à un serveur LDAP ou RADIUS.

Lorsque l’entreprise souhaite avoir une authentification plus sécurisée et inclure la MFA à cet effet, LastPass Universal Proxy peut être ajouté au réseau.

La figure suivante montre le flux d’authentification de LastPass Universal Proxy :

Figure 1. Schéma du réseau LastPass Universal Proxy

L’utilisateur se connecte par son client.
Le serveur d’application transmet la demande a Universal Proxy.
Universal Proxy vérifie les identifiants avec le serveur d’authentification principal (c’est-à-dire LDAP ou RADIUS).

Remarque : Les connexions 2 et 3 doivent transmettre des requêtes d’authentification du même protocole (c’est-à-dire toutes deux en LDAP ou toutes deux en RADIUS).

Si vous souhaitez sécuriser la connexion et utiliser un chiffrement entre le serveur d’application et le serveur LDAP, vous pouvez utiliser le protocole LDAPS au lieu de LDAP. Pour en savoir plus, voir Utiliser le protocole LDAP sur SSL (LDAPS) dans la configuration de LastPass Universal Proxy.
Universal Proxy demande une authentification secondaire depuis le serveur d’authentification LastPass.

Remarque : Universal Proxy peut s’authentifier auprès du serveur LDAP/RADIUS et/ou auprès du serveur d’authentification LastPass, selon le mode d’authentification configuré. Pour en savoir plus, voir Modes de serveur.
Le serveur d’authentification LastPass émet un challenge MFA.
L’utilisateur effectue une authentification biométrique à l’aide de LastPass Authenticator.
Le serveur d’authentification LastPass valide l’authentification et envoie une réponse.
Universal Proxy convertit la réponse de l’API au format LDAP ou RADIUS et envoie le résultat au serveur d’application.

Modes de serveur

Il existe trois modes de serveur différents lorsque vous configurez LastPass Universal Proxy à l’aide des protocoles LDAP, LDAPS ou RADIUS. Le tableau suivant présente un résumé de ces options, selon qu’il s’agit d’une authentification par LastPass Authenticator ou par mot de passe.

Tableau 1. Configuration de l’authentification – Modes de serveur
	Authentification LastPass MFA (LP)	Authentifications LastPass MFA et mot de passe (SFA)	Authentification LastPass MFA ou mot de passe (PLP)
App LastPass Authenticator	X	X	X
Exige un mot de passe		X		X

Pour en savoir plus sur les modes de serveur et les facteurs disponibles, voir Facteurs par défaut du mode de serveur

Remarque :

Pour le protocole RADIUS PA/LDAP/LDAPS, lorsque vous utilisez le mode LastPass MFA ou mot de passe système (PLP), vous devez saisir le facteur requis, c’est-à-dire push ou call dans le champ Mot de passe du client VPN pour utiliser LastPass Authenticator.
Si vous choisissez le mode authentification LastPass MFA (LP), l’application LastPass Authenticator procédera à l’authentification, mais ne communiquera jamais avec un serveur LDAP/RADIUS. De même, dans le mode d’authentification LastPass MFA (LP), il n’est pas nécessaire de disposer d’un serveur LDAP/RADIUS dans l’architecture du réseau.