O LastPass Universal Proxy é um software local que recebe solicitações de autenticação do seu aplicativo de rede (por exemplo, um servidor VPN) e depois se autentica no seu autenticador principal (ou seja, o servidor LDAP ou RADIUS) e/ou no servidor de autenticação do LastPass usando o protocolo LDAP, LDAPS ou RADIUS. O LastPass pode realizar uma autenticação secundária por meio do servidor de autenticação multifator (MFA) baseado em nuvem do LastPass.

Observação: este recurso requer LastPass Business + complemento Advanced MFA. Como faço um upgrade em minha conta do LastPass Business com um complemento?

A imagem abaixo mostra um exemplo simplificado de um rede básica de empresa de pequeno porte que tem uma VPN. O uso de um firewall garante que os recursos na rede sejam somente para uso interno da empresa.

Os funcionários remotos podem se conectar com segurança à rede da empresa usando conexões VPN. Isso pode ser feito de forma segura, mantendo os dados privados com a criptografia de tais conexões.

O próprio servidor VPN pode autenticar usuários ou delegar a autenticação a um servidor LDAP ou RADIUS.

Quando a empresa quiser ter uma autenticação mais segura e incluir a MFA para esse fim, o LastPass Universal Proxy pode ser colocado na rede.

A imagem abaixo mostra o fluxo de autenticação do LastPass Universal Proxy:

Imagem 1. Diagrama de rede do LastPass Universal Proxy

1. O usuário efetua login pelo cliente.
2. O servidor do aplicativo encaminha a solicitação para o Universal Proxy.

3. O Universal Proxy confirma as credenciais com o servidor de autenticação principal (ou seja, LDAP ou RADIUS).

   Observação: as conexões 2 e 3 devem transmitir solicitações de autenticação do mesmo protocolo (ou seja, ambos no LDAP ou ambos no RADIUS).

   Caso queira proteger a conexão e usar criptografia entre o servidor do aplicativo e o servidor LDAP, você pode usar o protocolo LDAPS em vez do LDAP. Para mais informações, consulte Como usar o protocolo LDAP sobre SSL (LDAPS) na configuração do LastPass Universal Proxy.

4. O Universal Proxy solicita autenticação secundária do servidor de autenticação do LastPass.

   Observação: o Universal Proxy consegue se autenticar no servidor LDAP/RADIUS e/ou no servidor de autenticação do LastPass, dependendo do modo de autenticação configurado. Para mais informações, consulte o artigo Modos de servidor.
5. O servidor de autenticação do LastPass emite o desafio MFA.
6. O usuário conclui a autenticação biométrica usando o aplicativo LastPass Authenticator.
7. O servidor de autenticação do LastPass valida a autenticação e envia resposta.
8. O Universal Proxy converte a resposta da API para o formato LDAP ou RADIUS e envia o resultado para o servidor do aplicativo.

Modos de servidor

Há três modos diferentes de servidor disponíveis ao configurar o LastPass Universal Proxy usando os protocolos LDAP, LDAPS ou RADIUS. A tabela a seguir mostra um resumo dessas opções, com base na necessidade de autenticação usando o aplicativo LastPass Authenticator ou uma senha.

Tabela 1. Configuração da autenticação — Modos de servidor

	Autenticação do LastPass MFA (LP)	Autenticação do LastPass MFA e por senha (SFA)	Autenticação do LastPass MFA ou por senha (PLP)
Aplicativo LastPass Authenticator	X	X	X
Exige senha		X		X

Para mais informações sobre os modos de servidor e os fatores disponíveis, consulte Fatores padrão no modo servidor.

Observação:

• para o protocolo RADIUS PAP/LDAP/LDAPS, ao usar o modo LastPass MFA ou senha do sistema (PLP), é necessário inserir o fator obrigatório, ou seja, enviar ou chamar no campo de senha do cliente de VPN para optar por usar o aplicativo LastPass Authenticator.
• Caso escolha o modo Autenticação do LastPass MFA (LP), o aplicativo LastPass Authenticator fará a autenticação, mas nunca se comunicará com qualquer servidor LDAP/RADIUS. Além disso, no modo Autenticação do LastPass MFA (LP), não é necessário ter um servidor LDAP/RADIUS na arquitetura de rede.