Federatieve aanmelding met AD FS instellen voor LastPass
LastPass Business accountbeheerders kunnen Active Directory Federation Services (AD FS) instellen en configureren, zodat gebruikers de Active Directory-account van hun organisatie kunnen gebruiken om in te loggen op LastPass zonder dat ze ooit een tweede hoofdwachtwoord hoeven aan te maken.
Let op: Standaard raden we aan om een bedrijfsbrede sleutel te gebruiken voor alle gebruikers, die wordt beschreven in onze Vereenvoudigde federatieve aanmelding met AD FS instellen voor LastPass setup-instructies. Voor de stappen in dit artikel is geavanceerde expertise vereist voor het configureren van Active Directory, en moet ook uw Active Directory-schema gewijzigd worden. Om onverwachte configuratieresultaten te voorkomen, adviseren we u ten sterkste de stappen te volgen die zijn beschreven in onze instructies voor vereenvoudigde AD FS-configuratie. Als u toch door wilt gaan en een unieke sleutel voor elke gebruiker wilt instellen, volgt u de instructies hieronder.
Voordat u aan de implementatie begint...
- Controleer welke beperkingen er gelden voor federatieve gebruikersaccounts.
Beperking: LastPass ondersteunt niet het gebruik van meerdere domeinen voor directory-integraties en federatief inloggen.
- Het is sterk aanbevolen dat u een niet-productie Active Directory-omgeving met Federation Services creëert, zodat u vertrouwd kunt raken met AD FS voor LastPass Business.
- Uw testomgeving moet ook een niet-productieversie van de componenten in stap 1 bevatten (inclusief die een afzonderlijke LastPass Business-proefaccount aanmaakt om te testen). Volg de onderstaande installatiestappen eerst in uw testomgeving met de niet-productieversie van uw LastPass Business-account zodat er niet onbedoeld gebruikersgegevens verloren gaan.
- Ook in een live-omgeving wordt u met klem geadviseerd meervoudige verificatie te implementeren voor uw gebruikers. Denk hierbij aan het volgende:
- U moet meervoudige verificatie configureren op het niveau van de identiteitsprovider (AD FS) en niet op LastPass-niveau (via de Admin Console en/of de accountinstellingen van de eindgebruiker). Het gebruik van meervoudige verificatie voor federatieve gebruikers wordt niet ondersteund in LastPass en als gevolg daarvan zullen deze gebruikers geen toegang tot hun kluis hebben.
- U kunt beleidsregels voor meervoudige verificatie niet afdwingen in de Admin Console in LastPass omdat deze verificatie buiten LastPass plaatsvindt, namelijk tussen uw identiteitsprovider (AD FS) en uw verificatieservice. Daarom adviseren wij een beleidsregel voor meervoudige verificatie af te dwingen in AD FS.
Let op: Federated login gebruikers krijgen een automatische verhoging van 10% op hun security score omdat meervoudige verificatie moet worden ingesteld op het Identity Provider niveau (binnen AD FS, Azure AD, Okta, PingOne, PingFederate, Google Workspace, of OneLogin instellingen) en niet op het LastPass niveau (binnen het Multifactor Opties tabblad in de Account Instellingen van hun vault).
- Standaard raden we het gebruik van een bedrijfsbrede sleutel voor alle gebruikers aan, die wordt beschreven in onze Vereenvoudigde federatieve aanmelding met AD FS instellen voor LastPass. Als u de instructies in dit artikel volgt, zult u uw Active Directory-schema moeten aanpassen. Als u toch voor elke gebruiker een unieke sleutel wilt instellen, volgt u de instructies in dit artikel.
- Stap 1: Controleer in LastPass of de lijst met vereiste componenten volledig is
- Stap 2: URL en openbare sleutel van identiteitsprovider vastleggen in LastPass
- Stap 3: Configureer uw instellingen voor federatieve aanmelding voor LastPass Business in LastPass
- Stap 4: De LastPass Active Directory Connector installeren in LastPass
- Stap 5: Uw aangepaste kenmerk registreren bij LastPass
- Stap 6: Wijzigingen in toegangsbeheerbeleid toepassen in LastPass
In deze sectie: