HELP FILE

Wat zijn de beperkingen voor LastPass-gebruikers met federatieve aanmelding?

    Er gelden functiebeperkingen voor LastPass Business-gebruikers van wie de accounts zijn geconfigureerd voor federatieve aanmelding met AD FS, Azure AD, Okta, Google Workspace, PingOne of PingFederate.

    Opmerking:In deze reeks instructies wordt de identiteitsprovider (IdP) gebruikt voor verificatie. Dit kan AD FS, Azure AD, Okta, Google Workspace, PingOne of PingFederate zijn.

    Compatibiliteit

    Ondersteunde onderdelen:

    Niet-ondersteunde onderdelen:

    • Draagbare producten van Android/Apple Watch
    • Als de LastPass-desktopapplicaties of de mobiele apps van de LastPass Password Manager worden beheerd via (niet-compatibele) MDM-oplossingen van derden
    • Via de online kluis op mobiele browsers
    • Via de online kluis op de LastPass-website, zonder de LastPass-extensie geïnstalleerd te hebben

    Beperkingen

    • Geen offline toegang – De clientzijde (browserextensie) moet online blijven zodat de encryptiesleutel van de gebruiker verkregen kan worden en de LastPass-kluis van de gebruiker kan worden ontsleuteld. Om die reden is offline aanmelden niet mogelijk.
    • Geen eenmalig wachtwoord – Deze functie is niet beschikbaar omdat het hoofdwachtwoord afkomstig is uit de Active Directory-omgeving van de gebruiker (AD FS, Azure AD, Okta, Google Workspace, PingOne of PingFederate).
    • Beperkte opties voor accountherstel – voor federatieve gebruikers zorgt de door de organisatie gekozen identiteitsprovider (IdP) voor de verificatie. Wachtwoordherstel is daarom alleen mogelijk op een van de volgende manieren.
      • Resetten van het wachtwoord via het gebruikersbeheer van Active Directory (indien van toepassing)
      • Resetten van het wachtwoord via Azure AD, Okta, Google Workspace, PingOne of PingFederate (indien van toepassing)
      • Resetten van het wachtwoord met de beleidsregel 'Superbeheerders toestaan hoofdwachtwoorden te resetten' in LastPass; hiermee wordt de status van de gebruiker evenwel omgezet van federatief naar niet-federatief – zie Het hoofdwachtwoord van een gebruiker resetten (superbeheerder) voor meer informatie.
    • Meervoudige verificatie niet ingeschakeld in LastPass – Meervoudige verificatie moet worden ingeschakeld op het niveau van de identiteitsprovider, niet op LastPass-niveau. De optie moet worden uitgeschakeld in de LastPass Admin Console (lees hier hoe) en in de accountinstellingen van de gebruiker (lees hier hoe). Als meervoudige verificatie is ingeschakeld in LastPass, heeft dit tot gevolg dat federatieve gebruikers hun kluis niet kunnen openen.
      Beperking: Workstation MFA kan niet tegelijkertijd worden gebruikt met federatieve aanmelding (omdat federatieve aanmelding alleen meervoudige verificatie op het niveau van de identiteitsprovider ondersteunt, en Workstation MFA meervoudige verificatie op het niveau van LastPass vereist).
    • Geen beleidsregels voor meervoudige verificatie ingesteld in LastPass – U moet alle beleidsregels voor meervoudige verificatie uitschakelen in de LastPass Admin Console (lees hier hoe) aangezien deze verificatie plaatsvindt op het niveau van de identiteitsprovider. Zelfs als er maar één beleidsregel voor meervoudige verificatie is ingeschakeld in LastPass, heeft dat tot gevolg dat federatieve gebruikers hun kluis niet kunnen openen.
      Opmerking: Gebruikers met federatieve aanmelding krijgen standaard een 10% hogere beveiligingsscore, aangezien meervoudige verificatie moet worden ingeschakeld op het niveau van de identiteitsprovider (in de instellingen in AD FS, Azure AD, Okta, Google Workspace, PingOne of PingFederate) en niet op LastPass-niveau (in de accountinstellingen van de kluis).
    • Alleen Single Sign-On (SSO) via de serviceprovider wordt ondersteund – Dit betekent dat u het aanmeldingsproces altijd moet beginnen met een LastPass-onderdeel (bijv. de browserextensie, een app voor mobiel gebruik of een desktop-app) om naar de aanmeldingspagina van de identiteitsprovider van uw organisatie te gaan. Aanmelding via de LastPass-website op https://lastpass.com/?ac=1 wordt niet ondersteund voor federatieve gebruikers.
    • Over gekoppelde persoonlijke accounts – Gekoppelde persoonlijke accounts moeten worden geverifieerd op elk nieuw apparaat dat door een gebruiker van federatieve AD FS, Azure AD, Okta, Google Workspace, PingOne of PingFederate wordt gebruikt om zich aan de melden en de LastPass-kluis te openen.
    • Over het beleid 'Geen welkomst-e-mail verzenden" – Dit beleid heeft geen effect op federatieve gebruikers, omdat deze gebruikers een welkomst-e-mail moeten ontvangen om hun gefedereerde LastPass-account te activeren.
    • Voor AD FS en PingFederate – Geautomatiseerde e-mailwijzigingen en aanpassing van welkomstmails worden niet ondersteund voor gebruikers die zijn ingericht met federatieve aanmelding met AD FS (zowel de traditionele als de vereenvoudigde versie) of PingFederate.
    • Beleidsbeperkingen – De beleidsregels met betrekking tot de sterkte van het hoofdwachtwoord en/of regels voor het hoofdwachtwoord zijn niet van invloed op federatieve gebruikers indien ze worden ingesteld, en moeten te allen tijde voor deze gebruikers worden uitgeschakeld. Lees hier hoe u uw beleidsregels beheert.

    Houd er rekening mee dat wanneer de status van een gebruiker verandert van federatief naar niet-federatief (bijvoorbeeld als gevolg van een reset van het hoofdwachtwoord), de bovenstaande beperkingen worden opgeheven. De gebruiker is er nog wel aan gehouden de beleidsregels van het bedrijf te volgen die voor de LastPass Business-account zijn ingesteld. U kunt deze gebruikers evenwel zonder het risico van gegevensverlies terugzetten naar een federatieve status. Raadpleeg de instructies die van toepassing zijn op uw configuratie voor federatieve aanmelding: