HELP FILE

Wat zijn de beperkingen voor LastPass-gebruikers met federatieve aanmelding?

Er gelden functiebeperkingen voor LastPass Business-gebruikers van wie de accounts zijn geconfigureerd voor federatieve aanmelding met AD FS, Azure AD, Okta of Google Workspace.

Opmerking: In deze reeks instructies wordt de identiteitsprovider (IdP) gebruikt voor verificatie. Dit kan AD FS, Azure AD, Okta of Google Workspace zijn.

Compatibiliteit

  • Federatieve aanmelding wordt alleen ondersteund via de LastPass-webbrowseruitbreiding, LastPass-desktoptoepassingen en de LastPass Password Manager-apps.
    • LastPass-browserextensie: Chrome/Firefox/Edge/Safari/IE/Opera
    • LastPass-desktopapplicaties: LastPass voor Windows Desktop, LastPass voor macOS
    • LastPass Password Manager-apps voor mobiel gebruik: Android, iOS (iPhone/iPad)
      Beperking: Federatieve aanmelding via de mobiele apps wordt niet ondersteund als u beleidsregels voor voorwaardelijke toegang heeft ingesteld voor uw Azure AD-omgeving.
    • Niet ondersteund: Draagbare producten van Android/Apple Watch
  • Federatieve aanmelding werkt niet als de LastPass-desktopapplicaties of de LastPass Password Manager-apps voor mobiel gebruik worden beheerd via Microsoft MDM/Intune of andere MDM-oplossingen.
  • Federatieve aanmelding wordt niet ondersteund via de online kluis op mobiele webbrowsers.
  • Federatieve aanmelding wordt ondersteund via de online kluis (LastPass-website) op desktop-webbrowsers zolang de LastPass-extensie is geïnstalleerd.

Beperkingen

  • Geen offline toegang – De clientzijde (browserextensie) moet online blijven zodat de encryptiesleutel van de gebruiker verkregen kan worden en de LastPass-kluis van de gebruiker kan worden ontsleuteld. Om die reden is offline aanmelden niet mogelijk.
  • Geen eenmalig wachtwoord – Deze functie is niet beschikbaar omdat het hoofdwachtwoord afkomstig is uit de Active Directory-omgeving van de gebruiker (AD FS, Azure AD, Okta of Google Workspace).
  • Beperkte opties voor accountherstel – Het hoofdwachtwoord voor federatieve gebruikers is afkomstig uit de Active Directory-omgeving van de gebruiker. Wachtwoordherstel is daarom alleen mogelijk op een van de volgende manieren.
    • Resetten van het wachtwoord via het gebruikersbeheer van de Active Directory van de gebruiker
    • Resetten van het wachtwoord met de beleidsregel 'Superbeheerders toestaan hoofdwachtwoorden te resetten' in LastPass; hiermee wordt de status van de gebruiker evenwel omgezet van federatief naar niet-federatief – zie Het hoofdwachtwoord van een gebruiker resetten (superbeheerder) voor meer informatie.
  • Meervoudige verificatie niet ingeschakeld in LastPass – Meervoudige verificatie moet worden ingeschakeld op het niveau van de identiteitsprovider, niet op LastPass-niveau. De optie moet worden uitgeschakeld in de LastPass Admin Console (lees hier hoe) en in de accountinstellingen van de gebruiker (lees hier hoe). Als meervoudige verificatie is ingeschakeld in LastPass, heeft dit tot gevolg dat federatieve gebruikers hun kluis niet kunnen openen.
  • Geen beleidsregels voor meervoudige verificatie ingesteld in LastPass – U moet alle beleidsregels voor meervoudige verificatie uitschakelen in de LastPass Admin Console (lees hier hoe) aangezien deze verificatie plaatsvindt op het niveau van de identiteitsprovider. Zelfs als er maar één beleidsregel voor meervoudige verificatie is ingeschakeld in LastPass, heeft dat tot gevolg dat federatieve gebruikers hun kluis niet kunnen openen.
    Opmerking: Gebruikers met federatieve aanmelding krijgen standaard een 10% hogere beveiligingsscore, aangezien meervoudige verificatie moet worden ingeschakeld op het niveau van de identiteitsprovider (in de instellingen in AD FS, Azure AD, Okta of Google Workspace) en niet op LastPass-niveau (in de accountinstellingen van de kluis).
  • Alleen Single Sign-On (SSO) via de serviceprovider wordt ondersteund – Dit betekent dat u het aanmeldingsproces altijd moet beginnen met een LastPass-onderdeel (bijv. de browserextensie, een app voor mobiel gebruik of een desktop-app) om naar de aanmeldingspagina van de identiteitsprovider van uw organisatie te gaan. Aanmelding via de LastPass-website op https://lastpass.com/?ac=1 wordt niet ondersteund voor federatieve gebruikers.
  • Over gekoppelde persoonlijke accounts – Gekoppelde persoonlijke accounts moeten worden geverifieerd op elk nieuw apparaat dat door een gebruiker van federatieve AD FS, Azure AD, Okta of Google Workspace wordt gebruikt om zich aan de melden en de LastPass-kluis te openen.
  • Over het beleid 'Geen welkomst-e-mail verzenden" – Dit beleid heeft geen effect op federatieve gebruikers, omdat deze gebruikers een welkomst-e-mail moeten ontvangen om hun gefedereerde LastPass-account te activeren.
  • Beleidsbeperkingen – De beleidsregels met betrekking tot de sterkte van het hoofdwachtwoord en/of regels voor het hoofdwachtwoord zijn niet van invloed op federatieve gebruikers indien ze worden ingesteld, en moeten te allen tijde voor deze gebruikers worden uitgeschakeld. Lees hier hoe u uw beleidsregels beheert.

Houd er rekening mee dat wanneer de status van een gebruiker verandert van federatief naar niet-federatief (bijvoorbeeld als gevolg van een reset van het hoofdwachtwoord), de bovenstaande beperkingen worden opgeheven. De gebruiker is er nog wel aan gehouden de beleidsregels van het bedrijf te volgen die voor de LastPass Business-account zijn ingesteld. U kunt deze gebruikers evenwel zonder het risico van gegevensverlies terugzetten naar een federatieve status. Raadpleeg de instructies die van toepassing zijn op uw configuratie voor federatieve aanmelding: