Bekende problemen en extra probleemoplossing voor Federated Login voor Active Directory Federation Services (AD FS)

De officiële versie van deze content is in het Engels. Een deel van de GoTo-documentatie is met een machine vertaald om de toegangkelijkheid voor gebruikers te vergroten. GoTo heeft geen controle over de content die op deze manier is vertaald. De content kan daarom fouten, onnauwkeurigheden, of ongepaste taal bevatten. Er wordt geen garantie gegeven, noch expliciet noch impliciet, voor de nauwkeurigheid, betrouwbaarheid, geschiktheid of juistheid van een vertaling van het Engelse origineel naar een andere taal, noch kan GoTo verantwoordelijk worden gehouden voor schade of problemen die voortvloeien uit uw gebruik van deze machinaal vertaalde content of uw vertrouwen in deze content.

Bekende problemen en extra probleemoplossing voor Federated Login voor Active Directory Federation Services (AD FS)

Als u hebt bevestigd dat uw LastPass Business en AD FS-configuraties correct zijn ingesteld, zijn er aanvullende stappen die u kunt nemen om problemen op te lossen op basis van het probleem dat u ondervindt.

Leeg scherm na aanmelding als federatieve gebruiker

Bekijk de mogelijke oorzaken en oplossingen hieronder.

Tabel 1.
Mogelijke oorzaak(en)	Hoe te repareren
De gebruiker van de AD FS-service heeft geen CONTROL ACCESS-machtigingen	Volg deze instructies vanaf stap 3
In een AD FS-farmomgeving werden de AD FS plugin DLL's niet gekopieerd naar de secundaire en volgende AD FS-nodes	Volg deze instructies vanaf stap 6
E-mailadres is niet ingesteld als een AD-attribuut	Een e-mailadres instellen als een AD-attribuut
Aangepast kenmerk is niet geconfigureerd of aanwezig	Leer hoe te configureren vanaf stap 5 Leer hoe te vullen vanaf Stap 6

Het aangepaste kenmerk is leeg

Bekijk de mogelijke oorzaken en oplossingen hieronder.

Tabel 2.
Mogelijke oorzaak(en)	Hoe te repareren
De LastPass AD Connector werd niet opnieuw opgestart nadat federatieve aanmelding werd ingeschakeld in de LastPass Admin Console	Herstart de LastPass AD Connector dienst om gefedereerde gebruikers aan te maken
De naam van een aangepast attribuut komt niet overeen tussen de LastPass Admin Console en de AD FS plugin	Volg deze instructies
Federated login was niet ingeschakeld in de LastPass Admin Console op het moment dat provisioning plaatsvond via de LastPass AD Connector	Stop de service LastPass AD Connector. Log in en ga naar de Admin Console op https://admin.lastpass.com/ Ga naar Gebruikers > Gebruikers en verwijder alle gebruikers die als gefedereerde gebruikers werden voorzien. Ga naar Gebruikers > Federatief aanmelden Vink het selectievakje aan bij de optie Ingeschakeld. Start de service LastPass AD Connector opnieuw om federatieve gebruikers in te richten.

"Neem voor hulp contact op met de LastPass-beheerder van uw organisatie" na aanmelding als federatieve gebruiker.

Info over deze taak:

Hoe dit op te lossen: Schakel meervoudige verificatie opties en beleid uit op het LastPass niveau.

Windows-gebeurtenislogboekfouten

Info over deze taak:

Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Het kenmerkarchief 'LastPassAttributeStore' is niet geconfigureerd.

U corrigeert dit als volgt:

Start de Windows-service AD FS opnieuw op de AD FS-server om de AD FS-invoegtoepassing van LastPass te laden.
Voor een AD FS-serverfarmomgeving, controleert u de AD FS-serverfarmconfiguratie van Stap 7.

Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: De aangevraagde vertrouwensrelatie van de relying party 'https://accounts.lastpass.com/' is niet gespecificeerd of wordt niet ondersteund. Als er een vertrouwensrelatie van de relying party is opgegeven, heeft u mogelijk geen toegangsrechten voor de vertrouwensrelatie. Neem contact op met de beheerder voor details.

U corrigeert dit als volgt:

Controleer of de AD FS-plugin is geïnstalleerd vanaf Stap 4 en correct is geconfigureerd vanaf Stap 5.
Voor een AD FS-serverfarmomgeving, controleert u de AD FS-serverfarmconfiguratie van Stap 7.

Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: De autorisatie van de aanroeper is mislukt voor aanroeper-id DOMAIN\USERNAME voor de vertrouwensrelatie 'https://accounts.lastpass.com/' van de relying party.

U corrigeert dit als volgt:

Controleer de vertrouwensrelatie van de relying party en de uitgifteautorisatieregels (Windows Server 2012) of het toegangsbeheerbeleid (Windows Server 2016) op de AD FS-server.
1. Meld u aan bij uw primaire Active Directory Federated Services-server (AD FS).
2. Ga naar de AD FS-beheerinstellingen.
3. Ga naar Vertrouwensrelaties > Vertrouwensrelatie van de relying party in het navigatiegedeelte links, volg dan de volgende stappen gebaseerd op uw AD FS server versie:
  - AD FS Server 3.0 – Windows Server 2012 R2
    1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Claimregels bewerken....
    2. Selecteer het tabblad Autorisatieregels voor uitgifte en stel de gewenste regel in.
  - AD FS Server 4.0 – Windows Server 2016
    1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Toegangsbeheerbeleid bewerken....
    2. Stel het gewenste beleid in.

Foutcodes SAML-verwerking

Info over deze taak: De onderstaande tabel bevat de SAML Processing foutcodes en de mogelijke oorzaken. De mogelijke oplossingen staan vermeld in Tabel 4.

Tabel 3. SAML Verwerkingsfoutcodes
Status	Naam	Beschrijving	Mogelijke oorzaak(en)
5	SecurityTokenNotYetValid	Het SAML-antwoord is nog niet geldig volgens de ALP-servertijd.	De tijdinstellingen van de ADFS server zijn onjuist.
6	SecurityTokenExpired	Het SAML antwoord is verlopen.	De ADFS server tijd instellingen zijn verkeerd. De client browser slaat een SAML antwoord in de cache op en probeert het later te gebruiken.
9	SignatureVerificationKeyMismatch	Het SAML-antwoord is ondertekend met een ander certificaat dan het certificaat op de pagina Federated Login in de LastPass Admin Console.	Het SAML-antwoord is ondertekend met een ander Token-signing certificaat dan het certificaat op de Federated Login. U hebt een ADFS farm-omgeving, en de nodes hebben niet hetzelfde Token-signing certificaat geconfigureerd.
13	MissingEmailClaim	De e-mail assertie is niet aanwezig in het SAML antwoord of het e-mail adres is niet geldig (bijvoorbeeld, ontbrekende @).	De Vertrouwensrelatie van de relying party is ongeldig. De AD-gebruiker heeft een ongeldig e-mailadres.
19	InvalidRequest	Ongeldig SAML-verzoek	SAML-respons is slechts gedeeltelijk of ontbreekt volledig.
21	ReplayedToken	Het inkomende SAML antwoord is al naar LastPass gestuurd.
22	MissingLastPassSecret	LastPassKeyPart of LastPassKeyPartSignature bewering is niet aanwezig in het SAML antwoord.	AD Custom Attribute is niet aangemaakt. Gebruikers aangepast attribuut is leeg. ADFS service account heeft geen toestemming om het Custom Attribute te lezen. De Vertrouwensrelatie van de relying party is ongeldig of verkeerd geconfigureerd De ADFS plugin werd verwijderd, niet geïnstalleerd of er werd een verkeerde versie geïnstalleerd.
23	MissingDirectoryUserName	De DirectoryUserName (AD gebruikersnaam) assertie is niet aanwezig in het SAML antwoord.	De Vertrouwensrelatie van de relying party is ongeldig.
26	MissingAlpSecret	Het K2-geheim is niet aanwezig voor deze gebruiker in de ALP-database.	De LP-werkers hebben de achtergrondtaak voor deze gebruikersvoorziening nog niet verwerkt.

Tabel 4. SAML Verwerkingsfoutcodes mogelijke oplossingen
Status	Naam	Mogelijke oplossingen
5	SecurityTokenNotYetValid	Stel de servertijd in op de werkelijke tijd, indien gewenst met behulp van de ingebouwde NTP-functionaliteit.
6	SecurityTokenExpired	Stel de servertijd in op de werkelijke tijd, indien gewenst met behulp van de ingebouwde NTP-functionaliteit. Wis browser cache en cookies voor de ADFS server host.
9	SignatureVerificationKeyMismatch	Verkrijg de publieke sleutel van het huidige Token-signing certificaat van de ADFS server en update de publieke sleutel op de Federated Login pagina in de Admin Console. Update de ADFS nodes zodat ze hetzelfde Token-signing certificaat hebben, en update de publieke sleutel op de Federated Login pagina in de Admin Console.
13	MissingEmailClaim	Controleer of de configuratie van de betrouwbare partij geldig is en corrigeer deze indien nodig. Installeer de ADFS plugin opnieuw. Controleer het e-mailadres bij de Active Directory Gebruikers en Computers.
19	InvalidRequest	Controleer de aanvraag verzonden naar https://accounts.lastpass.com/auth/saml2/ URL met de ontwikkelaarstools/netwerkverkeer van de browser. Voeg de request body toe aan het ADFS server event log en stuur het naar support.
21	ReplayedToken	Log opnieuw in met de extensie, en controleer opnieuw. Als het probleem zich blijft voordoen, meld het dan aan het ondersteuningsteam.
22	MissingLastPassSecret	Controleer of het kenmerk aanwezig is. Controleer of het aangepast attribuut van de gebruiker leeg is. Raadpleeg het logboek van de AD-connector om na te gaan of de account correct werd aangemaakt. Controleer of de ADFS service account de vereiste rechten heeft om het Custom Attribute te lezen. Stel de permissies correct in. Controleer de configuratie en installeer de ADFS plugin opnieuw indien nodig. Herinstalleer de juiste versie.
23	MissingDirectoryUserName	Controleer of de RP-configuratie geldig is en corrigeer ze indien nodig. Installeer de ADFS plugin opnieuw.
26	MissingAlpSecret	Wacht een paar minuten tot de achtergrond opdracht is verwerkt. De achtergrond opdracht kan vastgelopen zijn. Neem contact op met het LastPass ondersteuningsteam. Aangezien een ontbrekend deel van het geheim de account onbruikbaar maakt, verwijdert u de account van de LastPass-website, zodat de AD Connector kan proberen die account opnieuw te provisionen.