product icon

Wat zijn de beperkingen voor LastPass-gebruikers met federatieve aanmelding?

    Er zijn functiebeperkingen die gelden voor LastPass Business gebruikers van wie de accounts zijn geconfigureerd voor gefedereerd inloggen met AD FS, Azure AD, Okta, Google Workspace, PingOne, PingFederate of OneLogin.

    Let op: In deze reeks instructies zou de Identity Provider (IdP) die wordt gebruikt voor authenticatie AD FS, Azure AD, Okta, Google Workspace, PingOne, PingFederate of OneLogin zijn.

    Compatibiliteit

    Ondersteunde onderdelen:

    Niet-ondersteunde onderdelen:

    • Draagbare producten van Android/Apple Watch
    • Als de LastPass-desktopapplicaties of de mobiele apps van de LastPass Password Manager worden beheerd via (niet-compatibele) MDM-oplossingen van derden
    • Via de online kluis op mobiele browsers
    • Via de online kluis op de LastPass-website, zonder de LastPass-extensie geïnstalleerd te hebben

    Beperkingen

    • Meerdere domeinen niet ondersteund - Bij het implementeren van federatieve login of directory integraties ondersteunt LastPass het gebruik van meerdere domeinen niet.
    • Geen offline toegang – De clientzijde (browserextensie) moet online blijven zodat de encryptiesleutel van de gebruiker verkregen kan worden en de LastPass-kluis van de gebruiker kan worden ontsleuteld. Om die reden is offline aanmelden niet mogelijk.
    • Geen eenmalig wachtwoord - Deze functie is niet beschikbaar omdat het hoofdwachtwoord afkomstig is van de Active Directory (AD FS, Azure AD, Okta, Google Workspace, PingOne, PingFederate of OneLogin) omgeving van de gebruiker.
    • Beperkte opties voor accountherstel – voor federatieve gebruikers zorgt de door de organisatie gekozen identiteitsprovider (IdP) voor de verificatie. Wachtwoordherstel is daarom alleen mogelijk op een van de volgende manieren.
      • Resetten van het wachtwoord via het gebruikersbeheer van Active Directory (indien van toepassing)
      • Wachtwoord opnieuw instellen via Azure AD, Okta, Google Workspace, PingOne, PingFederate of OneLogin (indien van toepassing)
      • Resetten van het wachtwoord met de beleidsregel 'Superbeheerders toestaan hoofdwachtwoorden te resetten' in LastPass; hiermee wordt de status van de gebruiker evenwel omgezet van federatief naar niet-federatief – zie Het hoofdwachtwoord van een gebruiker resetten (superbeheerder) voor meer informatie.
    • Meervoudige verificatie niet ingeschakeld in LastPass – Meervoudige verificatie moet worden ingeschakeld op het niveau van de identiteitsprovider, niet op LastPass-niveau. De optie moet worden uitgeschakeld in de LastPass Admin Console (lees hier hoe) en in de accountinstellingen van de gebruiker (lees hier hoe). Als meervoudige verificatie is ingeschakeld in LastPass, heeft dit tot gevolg dat federatieve gebruikers hun kluis niet kunnen openen.
      Belangrijk: Aangezien het vereist is dat u minstens één niet-gefedereerde LastPass-beheerder aanmaakt (die ook is ingeschakeld met het beleid "Superbeheerders toestaan hoofdwachtwoorden te resetten") tijdens het installatieproces, kan die specifieke admin meervoudige verificatie inschakelen voor hun account op het LastPass-niveau.
      Beperking: Workstation MFA kan niet tegelijkertijd worden gebruikt met federatieve aanmelding (aangezien federatieve aanmelding alleen meervoudige verificatie op het niveau van de identiteitsprovider ondersteunt, en Workstation MFA meervoudige verificatie op het niveau van LastPass vereist).
    • Geen beleidsregels voor meervoudige verificatie ingesteld in LastPass – U moet alle beleidsregels voor meervoudige verificatie uitschakelen in de LastPass Admin Console (lees hier hoe) aangezien deze verificatie plaatsvindt op het niveau van de identiteitsprovider. Zelfs als er maar één beleidsregel voor meervoudige verificatie is ingeschakeld in LastPass, heeft dat tot gevolg dat federatieve gebruikers hun kluis niet kunnen openen.
      Let op: Federated login gebruikers krijgen een automatische verhoging van 10% op hun security score omdat meervoudige verificatie moet worden ingesteld op het Identity Provider niveau (binnen AD FS, Azure AD, Okta, PingOne, PingFederate, Google Workspace, of OneLogin instellingen) en niet op het LastPass niveau (binnen het Multifactor Opties tabblad in de Account Instellingen van hun vault).
    • Alleen Single Sign-On (SSO) via de serviceprovider wordt ondersteund – Dit betekent dat u het aanmeldingsproces altijd moet beginnen met een LastPass-onderdeel (bijv. de browserextensie, een app voor mobiel gebruik of een desktop-app) om naar de aanmeldingspagina van de identiteitsprovider van uw organisatie te gaan. Aanmelding via de LastPass-website op https://lastpass.com/?ac=1 wordt niet ondersteund voor federatieve gebruikers.
    • Over gekoppelde persoonlijke accounts - Gekoppelde persoonlijke accounts moeten worden geverifieerd op elk nieuw apparaat (desktop of mobiel) dat een gefedereerde inloggebruiker zal gebruiken om in te loggen op LastPass. Dit verificatieproces moet worden uitgevoerd vanuit elke browser, desktop-app en/of mobiele app die zal worden gebruikt voor gefedereerde aanmelding op het nieuwe apparaat of de nieuwe apparaten.
    • Over het beleid 'Geen welkomst-e-mail verzenden" – Dit beleid heeft geen effect op federatieve gebruikers, omdat deze gebruikers een welkomst-e-mail moeten ontvangen om hun gefedereerde LastPass-account te activeren.
    • Voor AD FS en PingFederate - Automatische e-mailwijzigingen en het aanpassen van welkomstmails worden niet ondersteund voor gebruikers die zijn voorzien door Federated Login met AD FS (zowel de traditionele als de vereenvoudigde versie) of PingFederate.
    • Beleidsbeperkingen – De beleidsregels met betrekking tot de sterkte van het hoofdwachtwoord en/of regels voor het hoofdwachtwoord zijn niet van invloed op federatieve gebruikers indien ze worden ingesteld, en moeten te allen tijde voor deze gebruikers worden uitgeschakeld. Lees hier hoe u uw beleidsregels beheert.

    Houd er rekening mee dat wanneer de status van een gebruiker verandert van federatief naar niet-federatief (bijvoorbeeld als gevolg van een reset van het hoofdwachtwoord), de bovenstaande beperkingen worden opgeheven. De gebruiker is er nog wel aan gehouden de beleidsregels van het bedrijf te volgen die voor de LastPass Business-account zijn ingesteld. U kunt deze gebruikers evenwel zonder het risico van gegevensverlies terugzetten naar een federatieve status. Raadpleeg de instructies die van toepassing zijn op uw configuratie voor federatieve aanmelding: