product icon

Mapping degli utenti in LastPass Universal Proxy

    Quando l’utente digita il suo nome di accesso Windows nel client VPN, tale nome è reperibile in Active Directory. A partire dalla versione 4.0, l’accesso di Windows, ovvero sAMAccountName, viene utilizzato per autenticare l’utente con il servizio LastPass Authentication. Nessuna altra procedura di mappatura degli utenti è necessaria perché AD Connector considera solo il nome di accesso Windows.

    Importante: La durata massima del sAMAccountName è di20 caratteri. Se Nome Logon User in AD è di più di20 caratteri, verrà troncata nel sAMAccountName.

    Per la versione 3. x di LastPass Universal Proxy, il nome utente nel servizio di autenticazione LastPass per l'utente può essere diverso. Per autenticare correttamente l’utente con il servizio di autenticazione LastPass, abbiamo bisogno di mappare il nome utente Active Directory nel nome utente del servizio di autenticazione LastPass e inviare la richiesta di accesso al servizio di autenticazione LastPass con tale nome utente mappato.

    Nota: questa funzionalità richiede un account con LastPass Business + componente aggiuntivo Advanced MFA. Come posso aggiornare il mio account LastPass Business con un componente aggiuntivo?

    Per poter implementare la procedura di accesso descritta in precedenza, le seguenti applicazioni e servizi dovrebbero essere presenti e interagire:

    • Server VPN
    • LastPass Universal Proxy
    • Servizio Active Directory
    • Servizio autenticazione LastPass
    Importante: Per usare LastPass Universal Proxy 4. x, un Active Directory Connector deve essere installato e deve essere presente un'Active Directory.

    Per ulteriori informazioni su come le applicazioni e i servizi elencati interagiscono quando l’utente tenta di accedere, vedi Cos’è LastPass Universal Proxy?.

    Strategie di mapping

    Stiamo mappando il nome utente dalla richiesta di accesso al server VPN al nome utente nel servizio autenticazione LastPass.

    Nella tabella seguente viene indicato quando le strategie di mapping delle opzioni predefinite/multiple vengono utilizzate in LastPass Universal Proxy 3.x:

    Nota: la strategia con opzioni multiple funziona solo se Universal Proxy utilizza il protocollo LDAP o LDAPS, quindi è presente un’Active Directory.
    Tabella 1. Strategie di mapping degli utenti in LastPass Universal Proxy
    Modalità server Strategia di mapping
    LDAP/LDAPS RADIUS

    Autenticazione LastPass MFA

    (LP)

    Predefinito Predefinito

    LastPass MFA o password di sistema

    (PLP)

    Solo autenticazione MFA Opzioni multiple

    Predefinito

    OPPURE

    Ricerca LDAP

    Solo autenticazione con password di sistema Nessun mapping, il servizio di autenticazione LastPass non viene chiamato Nessun mapping, il servizio di autenticazione LastPass non viene chiamato

    Sia LastPass MFA sia password di sistema

    (SFA)

    Opzioni multiple

    Predefinito

    OPPURE

    Ricerca LDAP

    La seguente tabella mostra l’input e l’output del mapping delle strategie di mapping delle opzioni predefinite/multiple e relativi esempi:

    Tabella 2. Input e output del mapping delle opzioni predefinite/multiple
      Predefinito Opzioni multiple Ricerca LDAP
    Input nome utente nella richiesta di accesso dal server della VPN nome utente nella richiesta di accesso dal server della VPN nome utente nella richiesta di accesso dal server della VPN
    Descrizione

    nome utente + @ + valore del campo di proprietà domain nel file server.properties

    Importante: la strategia di mapping predefinita funziona solo se nome utente di accesso e nome utente di autenticazione LastPass prima di @ sono identici.

    Ad esempio, il nome utente di accesso john e il nome utente di autenticazione LastPass john@company.com differiscono solo dopo il carattere @.

    • se il valore del campo ldap.field.name non è presente nel file server.properties,
      1. l’output è il valore del campo userPrincipalName in Active Directory
      2. Se assente (il campo userPrincipalName è facoltativo), viene usato il valore del campo mail di Active Directory.
      3. Se non è presente, viene usato il valore del campo "e-mail" di Active Directory.
      4. Se non è presente, viene utilizzatala strategia di mapping predefinita.
    • se il valore del campo ldap.field.name è presente nel file server.properties, tale valore in Active Directory è il nome utente di output.

    Imposta la ricerca sull’utente Identity utilizzando il server LDAP se:

    • esiste un server Active Directory attivo e operativo nella rete e in grado di autenticare gli utenti,
    • la parte del nome di accesso di Windows e il nome utente del servizio autenticazione di LastPass prima di @ è diverso.
    Esempio

    Nome di accesso: john

    Nome autenticazione LastPass: john@company.com

    Il mapping avviene con john = john; il passaggio successivo consiste nell’aggiungere @ e il valore del campo dominio a questo nome utente. Il risultato è john@company.com.

     

    Nome di accesso: john

    Nome autenticazione LastPass: john_test@company.com

    La parte del nome utente prima di @ è diversa, per cui va usata la ricerca LDAP.