Problemas conhecidos e solução de problemas adicional para o Login federado dos Serviços de Federação do Active Directory (AD FS)

A versão oficial deste conteúdo está em inglês. Parte da documentação da GoTo foi traduzida por computador para facilitar o acesso. A GoTo não tem controle sobre o conteúdo traduzido por computador, que pode conter erros, imprecisões ou linguajar inadequado. Nenhuma garantia é feita, expressa ou implicitamente, quanto à precisão, confiabilidade, adequação ou exatidão de qualquer tradução do original em inglês para qualquer outro idioma. A GoTo não pode ser responsabilizada por quaisquer danos ou problemas decorrentes do uso do conteúdo traduzido por máquina ou da confiança nesse conteúdo.

Problemas conhecidos e solução de problemas adicional para o Login federado dos Serviços de Federação do Active Directory (AD FS)

Se você confirmou que LastPass Business e as configurações do AD FS estão definidas corretamente, há etapas adicionais que você pode realizar para solucionar problemas com base no problema que você está enfrentando.

Tela em branco após efetuar login como usuário federado

Confira as possíveis causas e resoluções abaixo.

Tabela 1.
Possíveis causas	Como corrigir
O usuário do serviço AD FS não tem permissões de Controle DE Acesso	Siga estas instruções da Etapa 3
Em um ambiente de farm do AD FS, os DLLs do plugin do AD FS não foram copiados para os nós secundários e subsequentes do AD FS	Siga estas instruções da etapa 6
O endereço de e-mail não está definido como um atributo do AD	Definir um endereço de e-mail como atributo do AD
O atributo personalizado não está configurado ou está presente	Saiba como configurar na Etapa 5 Saiba como preencher na Etapa 6

O atributo personalizado está vazio

Confira as possíveis causas e resoluções abaixo.

Tabela 2.
Possíveis causas	Como corrigir
O AD Connector do LastPass não foi reiniciado após o login federado ser ativado no Console de administração do LastPass	Reiniciar o serviço do AD Connector do LastPass para provisionar usuários federados
Há uma correspondência de nome de atributo personalizado entre o Console de administração do LastPass e o plugin do AD FS	Siga estas instruções
O login federado não foi ativado no Console de administração do LastPass no momento em que o provisionamento ocorreu pelo AD Connector do LastPass	Pare o serviço do AD Connector do LastPass. Efetue login e acesse o Console de administração em https://admin.lastpass.com/ Acesse Usuários > Usuários e exclua todos os usuários provisionados como usuários federados. Acesse Usuários > login federado Marque a caixa da Ativar configuração. Reinicie o serviço do AD Connector do LastPass para fazer o provisionamento dos usuários federados.

"Entre em contato com o administrador do LastPass em sua organização para obter ajuda" depois de efetuar login como usuário federado

Sobre esta tarefa:

Como consertar isso: Desativar as opções e políticas de autenticação multifator no nível do LastPass.

Erros no Log de eventos do Windows

Sobre esta tarefa:

Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Repositório de atributos “LastPassAttributeStoring” não está configurado.

Como consertar isso:

Reinicie o serviço Windows AD FS no servidor do AD FS para carregar o plugin AD FS do LastPass corretamente.
Para um ambiente de farm de servidores AD FS, verificar a configuração do farm de servidores AD FS na Etapa 7.

Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: A autorização de parceiro de confiança solicitada 'https://accounts.lastpass.com/' não é específica ou não é suportada. Se a autorização de parceiro de confiança foi especificada, é possível que você não tenha permissão para acessá-la. Entre em contato com o administrador para obter mais detalhes.

Como consertar isso:

Verifique se o plugin do AD FS foi instalado na Etapa 4 e configurado corretamente na Etapa 5.
Para um ambiente de farm de servidores AD FS, verifique o farm de servidores AD FS configuração da etapa 7.

Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: A autorização do chamador falhou para identidade do chamador DOMAIN\USERNAME para autorização de parceiro de confiança 'https://accounts.lastpass.com/'

Como consertar isso:

Verifique a autorização de parceiro de confiança do usuário e as regras de autorização de emissão (Windows Server 2012) ou Política de controle de acesso (Windows Server 2016) no servidor do AD FS.
1. Efetue login no servidor primário dos Serviços de Federação do Active Directory (AD FS)
2. Navegue para suas configurações do gerenciamento AD FS.
3. Acesse Relações de confiança > Autorização de parceiro de confiança no painel de navegação à esquerda, siga as etapas abaixo com base na versão do servidor do AD FS:
  - AD FS Server 3.0 – Windows Server 2012 R2
    1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar regras de declaração....
    2. Selecione o Regras de autorização de emissão e defina a regra desejada.
  - AD FS Server 4.0 – Windows Server 2016
    1. Na seção "Confiança do LastPass" no painel de navegação à direita, clique em Editar política de controle de acesso....
    2. Defina a política desejada.

Códigos de erro de processamento SAML

Sobre esta tarefa: A tabela abaixo contém os códigos de erro de processamento SAML e as possíveis causas. As possíveis soluções estão listadas em Tabela 4.

Tabela 3. Códigos de erro de processamento SAML
Status	Name	Descrição	Possíveis causas
5	BusinessTokenNotYet	A resposta SAML ainda não é válida de acordo com o tempo do servidor ALP.	As configurações do tempo do servidor ADFS estão incorretas.
6	Segurança e Expirados	A resposta SAML expirou.	As configurações de tempo do servidor do ADFS estão incorretas. O navegador do cliente em cache em uma resposta SAML tenta usá-lo posteriormente.
9	SignatureVerificationKey	A resposta SAML é assinada com um certificado diferente do certificado na página de Login federado no Console de administração do LastPass.	A resposta SAML é assinada com um certificado de assinatura de Token diferente do certificado no Login federado. Você tem um ambiente de farm do ADFS, e os nós não têm o mesmo certificado de assinatura de tokens configurado.
13	Declaração de ingresso	A asserção de e-mail não está presente na resposta SAML ou o endereço de e-mail não é válido (por exemplo, @).	A configuração da confiança de parceiro de confiança é inválida. O usuário do AD tem um endereço de e-mail inválido.
19	InvalidRequest	Solicitação SAML inválida	A resposta SAML só é parcial ou completamente ausente.
21	ReplayToken	A resposta SAML recebida já foi enviada ao LastPass.
22	MSILLastPass Secret	Asserção do LastPassKePart ou LastPassKePartSignature não está presente na resposta SAML.	O atributo personalizado do AD não foi criado. O atributo personalizado do usuário está vazio. A conta de serviço do ADFS não tem permissão para ler o Atributo personalizado. A confiança de parceiro de confiança é inválida ou configurada incorretamente O plugin do ADFS foi removido, não instalado ou uma versão errada foi instalada.
23	Erro de nome de usuário	O asserção do nome de usuário do DirectoryUserName (AD username) não está presente na resposta SAML.	A configuração da confiança de parceiro de confiança é inválida.
26	MSICSecret	O segredo K2 não está presente para este usuário no banco de dados ALP.	Os funcionários LP ainda não processaram o trabalho em segundo plano para esta disposição de usuário.

Tabela 4. Soluções possíveis de códigos de erro de processamento SAML
Status	Name	Soluções possíveis
5	BusinessTokenNotYet	Defina o tempo real do servidor, usando a funcionalidade de NTP interna, se desejar.
6	Segurança e Expirados	Defina o tempo real do servidor, usando a funcionalidade de NTP interna, se desejar. Limpe o cache e os cookies do navegador do host do servidor ADFS.
9	SignatureVerificationKey	Obtenha a chave pública do certificado de assinatura real do servidor ADFS e atualize a chave pública na página de Login federado no Console de administração. Atualize os nós do ADFS para ter o mesmo certificado de assinatura de tokens e atualizar a chave pública na página de Login federado no Console de administração.
13	Declaração de ingresso	Verifique se a configuração de confiança de parceiro é válida e corrijo-a, se necessário. Reinstale o plug-in do ADFS. Verifique o endereço de e-mail com os usuários e computadores do Active Directory.
19	InvalidRequest	Verifique a solicitação enviada para https://accounts.lastpass.com/auth/saml2/ < IdP-GUID > URL com as ferramentas de desenvolvedor/tráfego de rede do navegador. Anexe o corpo da solicitação ao registro de eventos do servidor ADFS e envie-o para suporte.
21	ReplayToken	Efetue Login novamente usando a extensão e verifique novamente. Se o problema continuar, comunique-o à equipe de suporte.
22	MSILLastPass Secret	Verifique se o atributo está presente. Verifique se o atributo personalizado do usuário está vazio. Consulte o log do AD Connector se a conta tiver sido provisionada corretamente. Verifique se a conta de serviço do ADFS tem a permissão necessária para ler o atributo personalizado. Defina as permissões corretamente. Verifique a configuração e reinstale o plugin ADFS, se necessário. Reinstale a versão correta.
23	Erro de nome de usuário	Verifique se a configuração do plano de fundo é válida e corrijo-a, se necessário. Reinstale o plug-in do ADFS.
26	MSICSecret	Aguarde alguns minutos até que o trabalho em segundo plano seja processado. O trabalho em segundo plano pode estar travado. Entre em contato com a equipe de suporte do LastPass. Como uma parte ausente do segredo torna a conta inutilizável, exclui a conta do site do LastPass; portanto, o AD Connector pode tentar provisionar essa conta novamente.