Problemi noti e risoluzione dei problemi aggiuntivi per l'accesso federato per Active Directory Federation Services (AD FS)

La versione ufficiale di questo contenuto è in inglese. Alcuni dei contenuti della documentazione di GoTo sono stati tradotti per facilitarne l’accesso. GoTo non ha il controllo sui contenuti tradotti in modo automatico, che potrebbero contenere errori, imprecisioni o essere in una lingua errata. Non viene fornita alcuna garanzia, esplicita o implicita, in merito alla precisione, all’affidabilità, all’adeguatezza o alla correttezza di qualsiasi traduzione dall’originale inglese a qualsiasi altra lingua, e GoTo declina ogni responsabilità per eventuali danni o problemi derivanti dall’uso di questi contenuti tradotti automaticamente da parte dell’utente o per l’affidabilità di tali contenuti.

Problemi noti e risoluzione dei problemi aggiuntivi per l'accesso federato per Active Directory Federation Services (AD FS)

Se hai confermato che LastPass Business e le configurazioni AD FS sono configurate correttamente, vi sono passaggi aggiuntivi che puoi seguire per risolvere il problema in base al problema che stai affrontando.

Schermata vuota dopo l'accesso come utente federato

Rivedi le possibili cause e risoluzioni di seguito.

Tabella 1.
Possibili Cause	Come risolvere
L'utente del servizio AD FS non ha autorizzazioni di accesso	Segui queste istruzioni dal Passaggio 3
In un ambiente farm AD FS, la DLL del plugin AD FS non è stata copiata nei nodi secondari e successivi AD FS	Segui queste istruzioni dal Passaggio 6
L'indirizzo e-mail non è impostato come attributo AD	Imposta un indirizzo e-mail come attributo AD
Attributo personalizzato non è configurato o presente	Scopri come configurare dal Passaggio 5 Scopri come passare dal Passaggio 6

L'attributo personalizzato è vuoto

Rivedi le possibili cause e risoluzioni di seguito.

Tabella 2.
Possibili Cause	Come risolvere
LastPass AD Connector non era riavviato dopo l'opzione di accesso federato nella Console di amministrazione di LastPass	Riavvia il servizio LastPass AD Connector per eseguire il provisioning degli utenti federati
Vi è un nome personalizzato del nome degli attributi tra la Console di amministrazione di LastPass e il plugin AD FS	Segui queste istruzioni
L'accesso federato non è stato abilitato nella Console di amministrazione di LastPass all'ora in cui il provisioning si è verificato tramite LastPass AD Connector	Interrompi il servizio LastPass AD Connector. Accedi alla Console di amministrazione all'indirizzo https://admin.lastpass.com/ Vai a Utenti > Utenti ed eliminare tutti gli utenti che hanno eseguito il provisioning come utente federato. Vai a Utenti > Accesso federato Seleziona la casella per Attiva l'impostazione. Riavvia il servizio LastPass AD Connector per eseguire il provisioning degli utenti federati.

"Contatta l'amministratore LastPass della tua organizzazione per assistenza" dopo aver effettuato l'accesso come utente federato

Informazioni su questa procedura:

Scopri come risolvere questo problema: Disabilita le opzioni di autenticazione a più fattori e i criteri a livello LastPass.

Errori di registro eventi Windows

Informazioni su questa procedura:

Microfoni .IdentitServer.ClaimsPolicy.lingue.PolicyedValutationexzione: POLICY0017: Attribute memorizza “LastPassAttributeStore”non è configurato.

Scopri come risolvere questo problema:

Riavvia il servizio Windows AD FS sul server AD FS per caricare correttamente il plugin LastPass AD FS.
Per un ambiente farm di server AD FS, controllare la configurazione farm di server AD FS dal Passaggio 7.

Microfoni .identitServer.Web.InvalidSAcopeeccezione MSIS7007: Il Relying Party Trust richiesto ' https://accounts.lastpass.com/' non è specificato o non è supportato. Se è stato specificato un relying party trust, è possibile che non tu non abbia l'autorizzazione ad accedere al trust della relying party. Contatta il tuo amministratore per maggiori dettagli.

Scopri come risolvere questo problema:

Controlla che il plugin AD FS sia stato installato dal Passaggio 4 e configurato correttamente dal Passaggio 5.
Per un ambiente farm di server AD FS, controlla la farm di server AD FS configurazione dal Passaggio 7.

Microfoni .identitServer.Web.InvalidSAcopeeccezione Microfoni .identitServer.Service.emittentiPassein.CallerAutorizzizationeccezione MSIS5007: Autorizzazione del chiamante non riuscita per identità chiamante DOMAIN\USERNAME per relying party trust 'https://accounts.lastpass.com/'

Scopri come risolvere questo problema:

Controlla Relying Party Trust (Attendibilità del componente) e Issuance Autorization Rules (Regole di autorizzazione rilascio) (Windows Server 2012) o i Criteri di controllo di accesso (Windows Server 2016) sul server AD FS.
1. Accedi nel tuo server primario Active Directory Federation Services (AD FS).
2. Vai alle Impostazioni di gestione di AD FS.
3. Vai a Relazioni di Trust > Relying Party Trust (Attendibilità del componente ) nel menu di navigazione a sinistra, poi segui i passaggi successivi basati sulla tua versione di server AD FS:
  - AD FS Server 3.0 – Windows Server 2012 R2
    1. Nella sezione "Trust LastPass", nel menu di navigazione a destra, fai clic su Edit Claim Rules...(Modifica regole attestazione)
    2. Seleziona la scheda Issuance Authorization Rules (Regole di autorizzazione rilascio) e imposta la regola che desideri.
  - AD FS Server – 4.0 Windows Server 2016
    1. Nella sezione "Trust LastPass" (Considera attendibile LastPass), nel menu di navigazione a destra, fai clic su Edit Acces Control Policy... (Modifica criteri di controllo di accesso...)
    2. Imposta i criteri che desideri.

Codici di errore di elaborazione SAML

Informazioni su questa procedura: La tabella sottostante contiene i codici di errore di trasformazione SAML e le possibili cause. Le possibili soluzioni sono elencate in Tabella 4.

Tabella 3. Codici di errore di elaborazione SAML
Stato	Name (Nome)	Descrizione	Possibili cause
5	SecuritTokenNotYetValido	La risposta SAML non è ancora valida in base al tempo di server ALP.	Le impostazioni del server ADFS sono errate.
6	Sicurezza e token	La risposta SAML è scaduta.	Le impostazioni del server ADFS sono errate. Il browser client crittografa una risposta SAML e cerca di utilizzarlo in un secondo momento.
9	Attributo di firma chiave	La risposta SAML viene firmato con un diverso certificato rispetto alla pagina di accesso federato nella Console di amministrazione di LastPass.	La risposta SAML viene firmato con un certificato di firma per il Token diverso di quello relativo all'accesso federato. Hai un ambiente farm ADFS e i nodi non hanno la stessa configurazione del certificato per la firma di Token.
13	Personalizzazione richiesta	L'asserzione e-mail non è presente nella risposta SAML o l'indirizzo e-mail non è valido (per esempio, mancanti @).	La configurazione di Trust Party non è valida. L'utente AD ha un indirizzo e-mail non valido.
19	Invalida richiesta	Richiesta SAML non valida	La risposta SAML è solo parziale o completamente assente.
21	Riproduci token	La risposta SAML in entrata è già stata inviata a LastPass.
22	MisssingLastsegreto	LastPassKeyParty o LastPassKeyParty non è presente nella risposta SAML.	AD Personalizzato non è stato creato. L'attributo personalizzato degli utenti è vuoto. L'account del servizio ADFS non è autorizzato a leggere l'attributo personalizzato. Il Relying Party Trust non è valido o non configurato in modo errato Il plugin ADFS è stato rimosso, non installato o una versione errata è stata installata.
23	AttributDirectoryUserName	L'asserzione di DirectoryUserName (nome utente AD) non è presente nella risposta SAML.	La configurazione di Trust Party non è valida.
26	Varie	Il segreto K1 non è presente per questo utente nel database ALP.	I dipendenti LP non hanno ancora elaborato il processo di sfondo per questa disposizione degli utenti.

Tabella 4. Codici di errore di trasformazione SAML per le possibili soluzioni
Stato	Name (Nome)	Possibili soluzioni
5	SecuritTokenNotYetValido	Imposta il tempo del server al tempo effettivo, usando la funzionalità integrata NTP se lo desideri.
6	Sicurezza e token	Imposta il tempo del server al tempo effettivo, usando la funzionalità integrata NTP se lo desideri. Cancella la cache del browser e i cookie per l'host del server ADFS.
9	Attributo di firma chiave	Ottieni la chiave pubblica dell'effettivo certificato di firma del Token del server ADFS e aggiorna la chiave pubblica nella pagina di accesso federato nella Console di amministrazione. Aggiorna i nodi ADFS per avere la stessa voce di certificato per la firma di Token e aggiornare la chiave pubblica nella pagina di accesso federato nella Console di amministrazione.
13	Personalizzazione richiesta	Controlla se la configurazione del Relying Party è valida e la correzione se necessario. Installa nuovamente il plugin ADFS. Controlla l'indirizzo e-mail con gli utenti e i computer di Active Directory.
19	Invalida richiesta	Controlla la richiesta inviata a https://accounts.lastpass.com/auth/saml2 < IdP-GUID > URL con strumenti di sviluppo del browser/traffico di rete. Allega il corpo di richiesta al registro di eventi del server ADFS e invialo al supporto.
21	Riproduci token	Accedi nuovamente usando l'interno e riprova. Se il problema persiste, segnalalo al team di supporto.
22	MisssingLastsegreto	Controlla se l'attributo è presente. Controlla se l'attributo personalizzato dell'utente è vuoto. Fai riferimento al registro AD Connector se il provisioning dell'account è corretto. Controlla se il servizio di servizio ADFS ha l'autorizzazione richiesta per leggere l'attributo personalizzato. Imposta correttamente le autorizzazioni. Controlla la configurazione e reinstalla il plugin ADFS se necessario. Installa nuovamente la versione corretta.
23	AttributDirectoryUserName	Controlla se la configurazione del programma di supporto è valida e se necessario. Installa nuovamente il plugin ADFS.
26	Varie	Attendi alcuni minuti finché il processo di sfondo non viene elaborato. Il processo di sfondo potrebbe essere riportato. Contatta il team di supporto di LastPass. Poiché una parte mancante dal segreto rende l'account disutilizzabile, elimina l'account dal sito web di LastPass, pertanto AD Connector può provare a eseguire nuovamente il provisioning.