HELP FILE

Quais são as limitações para os usuários do LastPass com login federado?

    Há algumas limitações aplicáveis aos usuários do LastPass Business cujas contas estão configuradas para login federado usando o AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate.

    Observação: neste conjunto de instruções, o provedor de identidade (IdP) usado para autenticação seria o AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate.

    Compatibilidade

    Componentes compatíveis:

    Componentes não compatíveis:

    • Dispositivos vestíveis Android/Apple Watch
    • Se os aplicativos para desktop do LastPass ou os aplicativos móveis do LastPass Password Manager forem gerenciados por meio de soluções de MDM de terceiros (não Intune)
    • Como usar o cofre online em navegadores móveis
    • Como usar o cofre online (site do LastPass) sem a extensão do LastPass instalada

    Limitações

    • Sem acesso offline – O lado do cliente (extensão do navegador) deve permanecer online para obter a chave de criptografia do usuário e desbloquear o cofre do LastPass do usuário. Por esta razão, o login offline não está disponível.
    • Sem senha de uso único – Este recurso não está disponível, já que a senha mestre é a mesma do ambiente do Active Directory (AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate) do usuário.
    • Opções limitadas de recuperação de conta – Para usuários federados, o provedor de identidade (IdP) escolhido da organização oferece autenticação. Por isso, a recuperação da senha pode ser feita de uma das formas abaixo:
      • Redefinição de senha pelo gerenciamento de usuários do Active Directory (se aplicável)
      • Redefinição de senha por Azure AD, Okta, Google Workspace, PingOne ou PingFederate (se aplicável)
      • Redefinição de senha usando a política "Permitir que os super admins redefinam as senhas mestre" no LastPass, mas esta alteração mudará o status do usuário de federado para não federado – consulte o artigo Redefinir a senha mestre de um usuário (Super Admin) para obter mais informações.
    • Nenhuma autenticação multifator ativada no LastPass – A autenticação multifator precisa ser configurada no nível do provedor de serviço de identidades, e não no nível do LastPass. Isso precisa ser desativado no Console de administração do LastPass (saiba como aqui) e nas Configurações de conta do usuário final (saiba como aqui). Se estiver ativado no LastPass, acabará fazendo com que os usuários federados não consigam acessar o cofre.
      Restrição: o Workstation MFA não pode ser usado simultaneamente com login federado (o login federado só é compatível autenticação multifator diretamente no provedor de identidade, mas o Workstation MFA requer autenticação multifator no LastPass).
    • Nenhuma política de autenticação multifator em vigor dentro do LastPass – Você precisa desativar todas as políticas de autenticação multifator no Console de administração do LastPass (saiba como aqui), pois a autenticação é feita no nível do provedor de identidade. Mesmo se apenas uma política da autenticação multifator estiver ativada no LastPass, isso fará com que os usuários federados não consigam acessar o cofre.
      Observação: usuários de login federado recebem um aumento automático de 10% na pontuação de segurança, já que a autenticação multifator precisa ser configurada no nível do provedor de identidade (dentro das configurações do AD FS, Azure AD, Okta, PingOne, PingFederate ou Google Workspace) e não no nível do LastPass (na guia Opções de autenticação multifator, nas configurações de conta do cofre).
    • Somente logon único (SSO) do provedor de serviço é suportado – Isso significa que você sempre deve começar o processo de login a partir de um componente do LastPass (por exemplo, extensão do navegador, aplicativo móvel ou aplicativo desktop) para ser redirecionado para a página de login do provedor de identidade de sua empresa. Não há suporte ao login pelo site do LastPass em https://lastpass.com/?ac=1 para os usuários federados.
    • Sobre contas pessoais vinculadas – As contas pessoais vinculadas devem ser verificadas em cada novo dispositivo que um usuário federado do AD FS, Azure AD, Okta, Google Workspace, PingOne ou PingFederate for usar para efetuar login para acessar o cofre do LastPass.
    • Sobre a política "Não enviar e-mail de boas-vindas" – Esta política não afeta os usuários federados, pois precisam receber um e-mail de boas-vindas para ativar a conta federada do LastPass.
    • Para AD FS e PingFederate – As alterações automáticas de e-mail e a personalização dos e-mails de boas-vindas não são compatíveis com os usuários provisionados pelo login federado usando o AD FS (versões tradicionais e simplificadas) ou o PingFederate.
    • Outras limitações das políticas – As políticas relacionadas à segurança da senha mestre e/ou regras da senha mestre não afetarão os usuários federados e devem estar sempre desativadas para eles. Saiba como gerenciar as políticas.

    Observe que se um status do usuário mudar de federado para não-federado (por exemplo, devido a uma redefinição da senha mestre), as limitações listadas acima serão canceladas, mas o usuário ainda deverá respeitar as políticas da empresa que foram aplicadas à conta do LastPass Business. Porém, você pode converter esses usuários de volta para o status de usuário federado sem risco de perda de dados. Verifique se as instruções se aplicam à sua configuração de login federado: