HELP FILE

Como faço para integrar o RSA SecurID à minha conta LastPass Business?

O LastPass Business é compatível com a integração RSA SecurID, que permite que seus usuários utilizem o RSA SecurID como segundo fator de autenticação quando efetuam login no LastPass.

Observação: os passos descritos abaixo devem ser executados por um administrador da ferramenta de integração e do LastPass Business.

Limitações e compatibilidade

Recursos do RSA Authentication Manager Compatível com o LastPass Business?
Autenticação RSA SecurID pelo protocolo Native RSA SecurID UDP Não
Autenticação RSA SecurID pelo protocolo Native RSA SecurID TCP Não
Autenticação RSA SecurID pelo protocolo RADIUS Sim
Autenticação RSA SecurID por IPv6 Não
Autenticação on-demand pelo protocolo Native SecurID UDP Não
Autenticação on-demand pelo protocolo Native SecurID TCP Não
Autenticação com base em risco Não
Autenticação RSA Manager Replica Support Sim
Suporte secundário do servidor RADIUS Sim
Automação do token do software RSA SecurID Não
Automação do token RSA SecurID SD800 Não
Proteção RSA SecurID da interface administrativa Não

Pré-requisitos para instalação

Antes de começar, prepare os itens abaixo:

  • Conta do RSA SecurID
  • Conta do LastPass Business

Etapa 1: Configurar um cliente RADIUS e obter informações da integração RSA SecurID

O LastPass Business é compatível com autenticação RSA SecurID via RADIUS, permitindo que definir o RSA SecurID como opção de autenticação multifator para seus usuários. Para isso, primeiro é necessário configurar um cliente RADIUS no RSA Authentication Manager e obter algumas informações RSA SecurID.

  1. Adicionar um registro de host de agente ao banco de dados do RSA Authentication Manager. Defina o tipo de agente como "Agente padrão" ao adicionar o agente de autenticação.

    Isto é necessário para intermediar a comunicação entre o LastPass Business e o RSA Authentication Manager/RSA SecurID Appliance. O registro do host do agente identifica o LastPass Business e contém informações sobre a comunicação e a criptografia.

  2. Crie um cliente RADIUS que corresponda ao registro do agente anfitrião no RSA Authentication Manager. Siga as instruções para configurar um cliente RADIUS.

    Isto é necessário porque o LastPass se comunicará com o RSA Authentication Manager via RADIUS.

    Os clientes do RADIUS são gerenciados usando o RSA Security Console.

    As seguintes informações são necessárias para criar um cliente do RADIUS:

    • Nome do host
    • Endereços IP para interfaces de rede
    • Segredo RADIUS
    Observação:  O nome do host do cliente RADIUS deve ser resolvido para o endereço IP especificado.

    Como o RSA Authentication Manager não permite que você especifique vários endereços IP para um cliente RADIUS, recomendamos usar a opção "QUALQUER cliente" e usar um firewall separado para restringir as conexões aos endereços IP necessários. Se você usar a opção "QUALQUER cliente", também precisará editar o arquivo securid.ini e alterar CheckUserAllowedByClient de 1 para 0. O cliente RADIUS deve ser acessível a partir de todos os endereços IP do servidor LastPass.

  3. Os administradores do RSA Authentication Manager precisam configurar os registros do host do agente e/ou clientes do RADIUS para cada servidor do LastPass Business.

    Isso é necessário porque o LastPass Business emprega uma arquitetura distribuída, que engloba muitos servidores configurados de forma semelhante.

    Há alguns métodos diferentes que exigem diferentes níveis de esforço administrativo. Essas opções são:

    • Configurar um registro do host do agente e o cliente RADIUS correspondente para cada servidor do LastPass Business.
    • Configurar um registro do host do agente para cada servidor do LastPass Business com um cliente RADIUS compartilhado.
    • Configurar um cliente RADIUS compartilhado que não use um registro de host de agente (alteração geral).
    Observação:  Consulte o guia para administradores do RSA Authentication Manager para obter informações sobre a configuração dos clientes RADIUS compartilhados.

  4. Copie os seguintes valores e salve-os em um editor de texto:

    • Endereços IP do servidor RADIUS
      Observação:  Separe vários endereços IP por vírgulas, adicione “:porta”, se não for 1812 (por exemplo, 216.162.248.81,216.162.248.82:1645)
    • Segredo compartilhado RADIUS
    • Tempo limite RADIUS (segundos)
    • Mensagem de falha

Etapa 2: Configurar a integração do RSA SecurID ao LastPass Business pela integração do RADIUS

Para configurar o RSA SecurID como opção de autenticação multifator para seus usuários, após ter configurado um cliente RADIUS, é necessário configurar a integração do RSA SecurID no próprio LastPass Business.

  1. Efetue login e acesse o Console de administração em https://lastpass.com/company/#!/dashboard.
  2. Acesse Opções avançadas > Opções do Business > Opções de autenticação multifator > RSA SecurID/RADIUS
  3. Insira as seguintes informações que você obteve na Etapa 1 acima:

    • Endereços IP do servidor RADIUS
      Observação:  Separe vários endereços IP por vírgulas, adicione “:porta”, se não for 1812 (por exemplo, 216.162.248.81,216.162.248.82:1645)
    • Segredo compartilhado RADIUS
    • Tempo limite RADIUS (segundos)
    • Mensagem de falha

    O RADIUS também pode ser usado para oferecer suporte a outras opções de autenticação multifator além do RSA SecurID (por exemplo, SafeNet). Se você personalizar o nome e os logotipos que os usuários verão, faça o seguinte:

    • Insira um "Nome do serviço"
    • Carregue o logotipo 1 (124x124 PNG)
    • Carregue o logotipo 2 (190x42 PNG)

  4. Clique em Atualizar quando terminar.

Etapa 3: Ativar o RSA SecurID como opção multifator

Antes que seus usuários possam configurar o RSA SecurID como camada adicional de segurança para proteger a conta LastPass, você precisa ativar o RSA SecurID como opção de autenticação multifator no LastPass Business.

  1. No Console de administração, acesse Opções avançadas > Opções do Business > Opções de autenticação multifator.
  2. Em Opções multifator ativadas, ative a opção RSA SecurID/RADIUS.

Etapa 4: Adicione e configure uma política de autenticação multifator

Com o LastPass Business, você pode deixar a decisão sobre a autenticação multifator para os usuários finais ou você pode obrigar seu uso com nossas políticas de segurança configuráveis. Adicione uma política para exigir que seus usuários utilizem uma solução de autenticação multifator.

  1. No Console de administração, acesse Configurações > Políticas no painel de navegação.
  2. Clique em Adicionar política.
  3. Em Multifator, selecione Exigência do uso da opção multifator.
  4. Selecione a lista de usuários desejada na qual a política deve ser aplicada. 
  5. Insira notas para fornecer informações adicionais sobre essa política (opcional).
  6. Clique em Salvar quando terminar.
Próximo passo: Considere a possibilidade de adicionar o Permitir aos usuários pular o AMF em locais confiáveis política. Esta política permite restringir os computadores em que se pode confiar por endereço IP. Você pode ativar esta política para permitir que os usuários ignorem a segunda autenticação de fator de locais confiáveis (como o escritório), mas ainda a exija de locais remotos.

Etapa 5: Orientar os usuários a configurar a autenticação multifator RSA SecurID

Quando você tiver concluído as etapas acima, seus usuários poderão configurar e ativar a autenticação multifator RSA SecurID para suas contas do LastPass Business.

Nota importante sobre a remoção de usuários habilitados com RSA SecurID/RADIUS

A integração RSA SecurID/RADIUS está associada à sua conta LastPass Business. Se você remover usuários da conta da empresa sem antes desativar o RSA SecurID/RADIUS como opção de autenticação multifator, esses usuários podem ser bloqueados da conta LastPass (se esta for convertida para uma conta LastPass Free) após a remoção. Por isso, recomendamos desativar o RSA SecurID/RADIUS para os usuários que você planeja remover.
  1. Acesse https://lastpass.com/company/#!/dashboard e efetue login para acessar o Console de administração.
  2. Selecione Usuários no painel de navegação.
  3. Marque as caixas ao lado do usuários desejados.

    Dica: para classificar por usuários habilitados com RSA SecurID/RADIUS, clique no cabeçalho da coluna Multifator da tabela de usuários.

  4. Selecione Mais ações > Desativar autenticação multifator para usuários selecionados.
  5. Clique em OK para confirmar.
Você desativou o RSA SecurID/RADIUS para seus usuários selecionados. Agora você pode remover esses usuários da conta da empresa sem risco de bloqueá-los (se as contas forem convertidas para LastPass Free).