product icon

Vereenvoudigde federatieve aanmelding met AD FS instellen voor LastPass

    LastPass Business accountbeheerders kunnen Active Directory Federation Services (AD FS) instellen en configureren, zodat gebruikers de Active Directory-account van hun organisatie kunnen gebruiken om in te loggen op LastPass zonder ooit een tweede hoofdwachtwoord te hoeven maken.

    Voordat u begint

    • Controleer welke beperkingen er gelden voor federatieve gebruikersaccounts.
      Beperking: LastPass ondersteunt niet het gebruik van meerdere domeinen voor directory-integraties en federatief inloggen.
    • Het is sterk aanbevolen dat u een niet-productie Active Directory-omgeving met Federation Services creëert, zodat u vertrouwd kunt raken met AD FS voor LastPass Business.
    • Neem in uw testomgeving ook een niet-productieversie op van de componenten in stap 1 (waaronder het maken van een aparte LastPass Business-proefaccount voor testdoeleinden). Volg de onderstaande installatiestappen eerst in uw testomgeving met de niet-productieversie van uw LastPass Business-account zodat er niet onbedoeld gebruikersgegevens verloren gaan.
    • Ook in een live-omgeving wordt u met klem geadviseerd meervoudige verificatie te implementeren voor uw gebruikers. Denk hierbij aan het volgende:
      • U moet meervoudige verificatie configureren op het niveau van de identiteitsprovider (AD FS) en niet op LastPass-niveau (via de Admin Console en/of de accountinstellingen van de eindgebruiker). Het gebruik van meervoudige verificatie voor federatieve gebruikers wordt niet ondersteund in LastPass en als gevolg daarvan zullen deze gebruikers geen toegang tot hun kluis hebben.
      • U kunt beleidsregels voor meervoudige verificatie niet afdwingen in de Admin Console in LastPass omdat deze verificatie buiten LastPass plaatsvindt, namelijk tussen uw identiteitsprovider (AD FS) en uw verificatieservice. Daarom adviseren wij een beleidsregel voor meervoudige verificatie af te dwingen in AD FS.
    Let op: Federated login gebruikers krijgen een automatische verhoging van 10% op hun security score omdat meervoudige verificatie moet worden ingesteld op het Identity Provider niveau (binnen AD FS, Azure AD, Okta, PingOne, PingFederate, Google Workspace, of OneLogin instellingen) en niet op het LastPass niveau (binnen het Multifactor Opties tabblad in de Account Instellingen van hun vault).

    Wij adviseren standaard het gebruik van de bedrijfsbrede sleutel, aangezien de stappen die hier worden genoemd geen wijziging in uw Active Directory-schema vereisen. Als u toch voor elke gebruiker een unieke sleutel wilt instellen, volgt u deze instructies voor configuratie.