Knowledge Base

1. Einen Customer Identifier erstellen

Dieser Custom Identifier wird nicht von TeamViewer gespeichert, sondern wird für die Erstkonfiguration von SSO verwendet. Sie darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-On nicht mehr funktioniert und eine Neueinrichtung notwendig wird. 

Als Custom Identifier kann eine beliebige Zeichenfolge verwendet werden. Es wird empfohlen, keine Sonderzeichen im Custom Identifier zu verwenden.

📌 Hinweis: Sie können z.B. einen Online Passwortgenerator oder Ihren internen Passwortgenerator verwenden, sofern Ihr Unternehmen einen hat.

📌 Hinweis: Diese Zeichenfolge wird später für die Konfiguration des IdP benötigt.

2. Microsoft Entra ID als Identitätsanbieter einrichten

Um TeamViewer mit Microsoft Entra ID als Identitätsanbieter zu verbinden, ist es erforderlich, eine Anwendung für Microsoft Entra ID zu erstellen. Die Schritte zur Erstellung und Konfiguration einer Enterprise Anwendung werden im Folgenden beschrieben:

1.) Öffnen Sie einen Browser und melden Sie sich bei "portal.azure.com" mit einem Konto an, das über Global Admin Rechte verfügt.

2.) Sie sehen einen Startbildschirm. Wählen Sie dort den Microsoft Dienst Microsoft Entra ID aus.

3.) Nachdem Sie den Microsoft Dienst Microsoft Entra ID ausgewählt haben, sehen Sie eine Übersicht. Wählen Sie dort auf der linken Seite bitte unter der Rubrik Manage die Option Enterprise applications.

4.) Nun öffnet sich die Übersicht mit all Ihren Enterprise Anwendungen, die Sie in Microsoft Entra ID haben.

5.) Klicken Sie auf All application (1) und

6.) anschließend auf New Application (2).

7.) Im nächsten Fenster klicken Sie bitte auf Create your own application.

8.) Jetzt können Sie Ihre eigene Anwendung erstellen:

(1) Geben Sie einen Namen für Ihre Anwendung ein.

(2) Wählen Sie Integrate any other application you don't find in the gallery (Non-gallery).

(3) 📌 Hinweis: Bitte wählen Sie nicht die vorgeschlagene TeamViewer App von Microsoft Entra ID.

(4) Klicken Sie auf Create.

9.) Nachdem Sie die Anwendung erstellt haben, sehen Sie die Übersicht dieser Anwendung.

10.) Klicken Sie unter dem Abschnitt Manage auf die Option Single sign-on und wählen Sie die SAML-Methode.

11.) Mit einem Klick auf Edit können Sie die SAML-Konfiguration bearbeiten.

(1) Geben Sie die Entity ID ein -> https://sso.teamviewer.com/saml/metadata

(2) 📌 Hinweis: Löschen Sie die Predefined URL von Microsoft.

(3) Geben Sie die Reply URL ein -> https://sso.teamviewer.com/saml/acs

(4) Klicken Sie auf Save.

12.) Nachdem Sie den ersten Schritt gespeichert haben, werden Sie gefragt, ob Sie Single Sign-On testen möchten. Klicken Sie auf No, I'll test later.

13.) Im nächsten Abschnitt müssen Sie die Attributes & Claims bearbeiten.

14.) Klicken Sie auf Add new claim, um eine neue Anforderung hinzuzufügen.

(1) Geben Sie als Name den Wert customeridentifier ein.

(2) Für den Namespace legen Sie den Wert http://sso.teamviewer.com/saml/claims fest.

(3) Geben Sie im Source attribute den Custom Identifier ein, den Sie zu Beginn erstellt haben.

(4) Klicken Sie auf Save.

15.) Sie sehen die neu hinzugefügte Anforderung in der Übersicht.

16.) Im nächsten Schritt laden Sie die Metadata XML File herunter oder Sie kopieren die Metadata URL.

(1) Eines von beiden benötigen Sie für die folgenden Schritte in der TeamViewer Management Console.

17.) Bevor Sie die Einrichtung der TeamViewer Management Console abschließen, fügen Sie bitte Gruppen / Benutzer zur Anwendung hinzu.

📌 Hinweis: Dies ist erforderlich, damit sich die Benutzer erfolgreich an ihren TeamViewer Konten anmelden können und die Gruppen / Benutzer später für den AD SCIM-Sync verwendet werden.

(1) Klicken Sie in der Anwendung auf Users and groups.

(2) Klicken Sie auf Add user/group.

3. TeamViewer Management Console (MCO) Konfiguration

1.) Öffnen Sie einen Webbrowser und melden Sie sich mit Ihrem lizenzierten TeamViewer Konto in der TeamViewer Management Console an.

📌 Hinweis: Für dieses TeamViewer Konto müssen die Nutzerrechte Firmenadministrator sein.

(1) Klicken Sie auf Firmenadministration.

(2) Klicken Sie auf Single Sign-On.

(3) Klicken Sie auf Hinzufügen der ersten Domain.

2.) Im nächsten Fenster können Sie die Domain eingeben, die Sie für Single Sign-On verwenden möchten.

📌 Hinweis: Wiederholen Sie diesen Schritt, wenn Sie mehrere Domains für TeamViewer Single Sign-On verwenden möchten. Verwenden Sie die gleiche XML-Datei oder XML-URL für die verschiedenen Domains. Die einzige Voraussetzung dabei ist, dass die Domains mit demselben Microsoft Entra ID Tenant verknüpft sind.

(1) Geben Sie Ihre Domain ein.

(2) Wählen Sie den Configuration Type.

(3) Laden Sie die Metadata XML File hoch.

(4) Aktivieren Sie zusätzliche Optionen.

📌 Hinweis für Subdomains: Diese Funktion erlaubt es, nicht nur die Domain (beispiel.de) für das SSO-Login einzubeziehen, sondern auch alle Subdomains (z.B. sub.beispiel.de)

📌 Hinweis für Aktivierungsemails deaktivieren: SSO-Konten, die unter dieser Domain erstellt werden, erhalten je nach Option Aktivierungsemails oder nicht. Wenn diese Option aktiviert ist, erhalten neu erstellte Konten keine Aktivierungsemails.

(5) Klicken Sie auf Next.

3.) Im nächsten Abschnitt können Sie Konten zur Single Sign-On-Ausschlussliste hinzufügen. Wenn Sie keine Konten hinzufügen möchten, klicken Sie auf Next.

⚠ Wichtiger Hinweis: Es wird dringend empfohlen, alle Domainbesitzer zur Ausschlussliste hinzuzufügen, damit sie sich weiterhin anmelden können, wenn SSO neu konfiguriert werden muss. Tests für die Anmeldung per SSO sollten mit einem zweiten Konto durchgeführt werden.

📌 Hinweis für Email Exclusions: Sie können E-Mail Adressen angeben, die von der Verbindung zum Identitätsanbieter ausgeschlossen werden sollen. Diese Konten können sich wie gewohnt ohne Authentifizierung beim Identitätsanbieter bei TeamViewer anmelden. Für den Notfall wird empfohlen, den Besitzer einer Domain auszuschließen, falls die Konfiguration nicht korrekt ist oder der Identitätsanbieter nicht verfügbar ist.

4.) Dieser Schritt (Single Sign-On Custom Identifier) kann mit einem Klick auf Next übersprungen werden, da Sie den Custom Identifier bereits zu Beginn erstellt haben.

4. Überprüfung der Domain

📌 Hinweis 1: Auf diesem Bildschirm sehen Sie die Informationen für die Verwaltung Ihres DNS-Servers. Sie benötigen die Informationen aus dem Feld Name / Host und die Informationen aus dem Feld Value / Data.

📌 Hinweis 2: Kopieren Sie die Informationen aus dem Feld Value / Data, Sie benötigen diese Informationen später.

1.) Gehen Sie im Fenster zur Überprüfung der Domain wie folgt vor

(1) Sie können auf Start Verification klicken.

(2) Sie können auf Skip klicken.

📌 Hinweis: Wenn Sie diese Anleitung von Anfang bis Ende befolgen, klicken Sie in diesem Fenster auf Skip.

📌 Hinweis: Sie können jederzeit zur Verifizierungsseite zurückkehren und die Werte sehen, wenn die Domain nicht verifiziert ist.

2.) Gehen Sie zurück zur TeamViewer Management Console.

📌 Hinweis: Für dieses TeamViewer Konto müssen die Nutzerrechte Firmenadministrator sein.

(1) Klicken Sie auf Firmenadministration.

(2) Klicken Sie auf Single Sign-On.

(3) Klicken Sie auf den Stift, um die Domain zu bearbeiten.

3.) Klicken Sie auf Domain Verification.

4.) Klicken Sie auf Copy for the Value.

5.) Klicken Sie auf Copy for the Value, nachdem Sie die Schritte auf Ihrem DNS Server Management abgeschlossen haben.

📌 Hinweis: Der TXT-Eintrag muss öffentlich sichtbar sein. Sie können dies mit Hilfe eines DNS TXT Lookup Tools überprüfen. Google hilft Ihnen in diesem Fall weiter.

📌 Hinweis: TeamViewer sucht 24 Stunden lang nach dem Start der Verifizierung nach dem TXT-Eintrag. Falls wir den TXT-Datensatz nicht innerhalb von 24 Stunden finden, schlägt die Verifizierung fehl und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Verifizierung über diesen Dialog neu starten. 

📌 Hinweis: Die folgende Abbildung zeigt die DNS-Serververwaltung für eine Domain, die von Cloudflare verwaltet wird. Ihr DNS Server Management kann anders aussehen!

Nachdem Sie sich im Cloudflare Dashboard angemeldet haben, wählen Sie die Domain aus.

(1) Klicken Sie auf DNS und klicken Sie auf Add record.

(2) Wählen Sie als Typ → TXT.

(3) Geben Sie für den Namen → @ ein.

(4) Geben Sie für Content → den TeamViewer SSO Verification Value aus dem obigen Schritt ein.

(5) Klicken Sie auf Save.

Die Konfiguration des TeamViewer Clients (optional)

TeamViewer ist kompatibel mit Single Sign-On ab der Version 13.2.1080.

Ältere Versionen unterstützen kein Single Sign-On und können Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client Konfiguration ist optional, erlaubt es aber, den verwendeten Browser für die SSO-Anmeldung des IdP zu ändern.

Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie lieber den Standardbrowser des Betriebssystems verwenden möchten, können Sie dieses Verhalten ändern:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌 Hinweis: Nach dem Erstellen oder Ändern der Registry müssen Sie den TeamViewer Client neu starten.