TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird.

Dieser Artikel richtet sich an TeamViewer Kunden mit einer Enterprise/Tensor Lizenz.

Anforderungen

Um TeamViewer Single Sign-On nutzen zu können, benötigen Sie

  • eine TeamViewer Version 13.2.1080 oder neuer
  • einen SAML 2.0 kompatiblen Identitätsanbieter (IdP)*
  • ein TeamViewer Konto, um auf die Management Console zuzugreifen und Domains hinzuzufügen
  • Zugriff auf die DNS-Verwaltung Ihrer Domain, um den Domainbesitz zu verifizieren
  • eine TeamViewer Tensor Lizenz.
  •  

Die Konfiguration der TeamViewer Management Console

Single Sign-On (SSO) wird auf Domain-Ebene für alle TeamViewer Konten aktiviert, die eine Email Adresse mit dieser Domain verwenden. Einmal aktiviert, werden alle Benutzer, die sich bei einem entsprechenden TeamViewer Konto anmelden, zu dem Identitätsanbieter umgeleitet, der für die Domain konfiguriert wurde.

Aus Sicherheitsgründen und um Missbrauch vorzubeugen, ist es erforderlich, den Besitz der Domain zu verifizieren, bevor die Funktion aktiviert wird.

Eine neue Domain hinzufügen

Um SSO zu aktivieren, melden Sie sich an der Management Console an und wählen den Menüeintrag Single Sign-On. Klicken Sie auf Domain hinzufügen und geben Sie die Domain ein, für die Sie SSO aktivieren möchten.

Außerdem müssen Sie die Metadaten Ihres Identitätsanbieters angeben. Hierfür stehen drei Optionen zur Verfügung:

  • über URL: geben Sie die URL Ihrer IdP-Metadaten in das entsprechende Feld ein
  • über XML: wählen Sie Ihre Metadaten-XML aus und laden Sie sie hoch
  • Manuelle Konfiguration: geben Sie alle notwendigen Informationen manuell ein. Bitte beachten Sie, dass der öffentliche Schlüssel ein Base64-kodierter String sein muss.

Custom Identifier erstellen

Nachdem die Domain hinzugefügt wurde, kann der Custom Identifier generiert werden. Diese benutzerdefinierte Kennung wird von TeamViewer nicht gespeichert, sondern für die Erstkonfiguration von SSO verwendet. Sie darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-On unterbrochen wird und eine Neueinrichtung notwendig wird. Als Custom Identifier kann eine beliebige Zeichenkette verwendet werden. Diese Zeichenkette wird später für die Konfiguration des IdP benötigt.

Überprüfen des Domainbesitzes

Nachdem eine Domain erfolgreich hinzugefügt wurde, müssen Sie den Besitz der Domain verifizieren.

Single Sign-On wird nicht aktiviert, bevor die Domain-Verifizierung abgeschlossen ist.

Um die Domain zu verifizieren, erstellen Sie bitte einen neuen TXT-Eintrag für Ihre Domain mit den auf der Verifizierungsseite angezeigten Werten.

📌 Hinweis: Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern.

Das Dialogfeld zum Hinzufügen eines TXT-Datensatzes könnte so ähnlich aussehen:

📌 Hinweis: Abhängig von Ihrem Domainverwaltungssystem kann die Beschreibung der Eingabefelder variieren.

Starten Sie nach dem Anlegen des neuen TXT-Eintrags den Verifizierungsprozess, indem Sie auf die Schaltfläche "Verifizierung starten" klicken.

📌 Bitte beachten Sie, dass der Verifizierungsprozess aufgrund des DNS-Systems mehrere Stunden dauern kann.

💡 Tipp 1: TeamViewer sucht nach dem Start der Verifizierung 24 Stunden lang nach dem TXT-Verifizierungssatz. Falls wir den TXT-Record nicht innerhalb von 24 Stunden finden, schlägt die Verifizierung fehl und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Verifizierung über diesen Dialog neu starten. 

💡 Tipp 2: Beim Hinzufügen einer Domain für Single Sign-On ist es empfehlenswert, das Besitzerkonto zur Ausschlussliste hinzuzufügen. Der Grund dafür ist ein Fallback-Szenario, so dass Sie den Zugriff auf die Domainkonfiguration behalten, auch wenn der IdP nicht funktioniert. 

Beispiel: Der TeamViewer Account "[email protected]" fügt die Domain "beispiel.de" für Single Sign-On hinzu. Nach dem Hinzufügen der Domain soll die Email Adresse "[email protected]" zur Ausschlussliste hinzugefügt werden. Dies ist erforderlich, um Änderungen an der SSO-Konfiguration vornehmen zu können, auch wenn Single Sign-On aufgrund einer Fehlkonfiguration nicht funktioniert.

💡 Tipp 3: Beim Hinzufügen einer Domain für Single Sign-On ist es empfehlenswert, zusätzliche Eigentümer zur SSO-Domain hinzuzufügen, da die SSO-Eigentümerschaft innerhalb Ihres Unternehmens nicht vererbt wird. 

Beispiel: Nachdem der TeamViewer Account "[email protected]" die Domain "beispiel.de" für Single Sign-On hinzugefügt hat, fügt er mehrere Firmenadministratoren (z.B. "[email protected]") als Domain-Besitzer hinzu, damit diese die Domain und ihre SSO-Einstellungen ebenfalls verwalten können.

Die Einrichtung des Identitätsanbieters für Okta

In diesem Abschnitt wird beschrieben, wie Sie Okta für die Verwendung als IdP für TeamViewer Single Sign-On einrichten.

💡 Tipp: Je nach Einstellung müssen Sie der Anwendung in Okta Benutzer zuweisen.

Die Dokumentation von Okta finden Sie hier (auf Englisch).

Automatische Konfiguration über die TeamViewer Okta App

1) Melden Sie sich in Ihrem Okta Administrator Dashboard an

2) Fügen Sie die TeamViewer Anwendung hinzu

3) Wählen Sie SAML 2.0

  • Kopieren und speichern Sie die Metadaten-URL

4) Weisen Sie der Anwendung Benutzer zu

5) Aktivieren Sie SAML mit Ihren Metadaten im Domain Management in der MCO

Manuelle Konfiguration über die Okta-Web-Benutzeroberfläche

Gehen Sie zur Administrationsoberfläche und fügen Sie eine neue SAML Anwendung hinzu. Geben Sie die folgenden Werte für die SAML Einstellungen an:

Einstellungen Wert

Single Sign On URL

https://sso.teamviewer.com/saml/acs

Verwenden Sie dies für Empfänger-URL und Ziel-URL Erlauben Sie dieser App, andere SSO-URLs anzufordern

Audience URI (SP Entity ID)

Standard RelayState

-

Name ID Format

EmailAddress

Anwendung Benutzername

Email

Erweiterte Einstellungen Wert

Antwort

Gezeichnet

Assertion Signature

Gezeichnet

Signatur-Algorithmus

RSA-SHA256

Verschlüsselungsalgorithmus

SHA256

Schlüssel-Transport-Algorithmus

Verschlüsseit

Verschlüsselungsalgorithmus

AES256-CBC

Schlüssel-Transport-Algorithmus

RSA-OAEP

Verschlüsselungszertifikat

Laden Sie den öffentlichen Schlüssel des TeamViewer SAML Service Providers hoch.

Informationen, wie Sie das Zertifikat erhalten, finden Sie in den Technischen Informationen

Einzelabmeldung aktivieren

No

Fügen Sie die folgenden Attribut-Anweisungen hinzu (Namensformat - nicht spezifiziert):

📌 Bitte beachten Sie: Der initial festgelegte Customer Identifier darf sich nicht ändern, sonst bricht SSO ab. TeamViewer speichert diesen Wert nicht. 

-komplexere Zuordnung-

📌 Bitte beachten Sie: Der Wert der Attribut-Anweisungen emailaddress kann komplexere Zuordnungsregeln enthalten. Okta stellt Ihnen daher eine Ausdruckssprache zur Verfügung. Die offizielle Dokumentation dazu können Sie hier einsehen (auf Englisch): https://developer.okta.com/reference/okta_expression_language/index

Unternehmen A hat zwei Email Adressdomains für seine Benutzer reserviert - @a1.test und @a2.test. Die Okta Benutzer haben die Domain @a1.test mit ihrem Konto verknüpft.

TeamViewer Single Sign-On soll nur für die @a2.test Email Adressen aktiviert werden.

Der Wert für die emailaddress Anweisung könnte wie folgt aussehen:

String.append(String.substringBefore(user.email, "@"), "@a2.test")

Dies bewirkt, dass die SAML-Antwort die richtige Email Adresse enthält.

Die Konfiguration des TeamViewer Clients

TeamViewer ist kompatibel mit Single Sign-On ab der Version 13.2.1080.

Ältere Versionen unterstützen kein Single Sign-On und können Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client Konfiguration ist optional, erlaubt es aber, den verwendeten Browser für die SSO-Anmeldung des IdP zu ändern.

Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie lieber den Standardbrowser des Betriebssystems verwenden möchten, können Sie dieses Verhalten ändern:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌 Hinweis: Nach dem Erstellen oder Ändern der Registry müssen Sie den TeamViewer Client neu starten.