TeamViewer Tensor (Classic) mit Single Sign-On ermöglicht Ihrer IT-Abteilung mehr Kontrolle über die Einrichtung von Benutzerkonten für den Remote Access und Support mit TeamViewer Tensor (Classic). Indem Sie den Zugriff auf Benutzer mit E-Mail-Adressen Ihres Unternehmens beschränken, können Sie verhindern, dass unautorisierte Benutzer Ihre Remote Access-Plattform nutzen.
Dieser Artikel richtet sich an alle mit einer Enterprise/Tensor Lizenz.
Um TeamViewer Single Sign-On verwenden zu können, benötigen Sie
*Derzeit unterstützen wir nur Centrify, Okta, Azure, OneLogin, ADFS und G Suite, doch wir arbeiten daran, künftig weitere IdPs zu unterstützen. Die oben aufgeführten IdPs wurden getestet. Dieses Dokument erläutert die detaillierten Schritte für die Einrichtung dieser IdPs.
📌 Hinweis: Falls Sie einen anderen IdP verwenden, nutzen Sie die technischen Informationen, um Ihren IdP manuell einzurichten.
💡 Tipp 1: Beim Hinzufügen einer Domain für Single Sign-On ist es empfehlenswert, das Besitzerkonto zur Ausschlussliste hinzuzufügen. Der Grund dafür ist ein Fallback-Szenario, so dass Sie den Zugriff auf die Domainkonfiguration behalten, auch wenn der IdP nicht funktioniert.
Beispiel: Der TeamViewer Account "[email protected]" fügt die Domain "beispiel.de" für Single Sign-On hinzu. Nach dem Hinzufügen der Domain soll die Email Adresse "[email protected]" zur Ausschlussliste hinzugefügt werden. Dies ist erforderlich, um Änderungen an der SSO-Konfiguration vornehmen zu können, auch wenn Single Sign-On aufgrund einer Fehlkonfiguration nicht funktioniert.
💡 Tipp 2: Beim Hinzufügen einer Domain für Single Sign-On ist es empfehlenswert, zusätzliche Eigentümer zur SSO-Domain hinzuzufügen, da die SSO-Eigentümerschaft innerhalb Ihres Unternehmens nicht vererbt wird.
Beispiel: Nachdem der TeamViewer Account "[email protected]" die Domain "beispiel.de" für Single Sign-On hinzugefügt hat, fügt er mehrere Firmenadministratoren (z.B. "[email protected]") als Domain-Besitzer hinzu, damit diese die Domain und ihre SSO-Einstellungen ebenfalls verwalten können.
Single Sign-On (SSO) wird auf Domain-Ebene für alle TeamViewer Konten aktiviert, die eine Email Adresse mit dieser Domain verwenden. Nach der Aktivierung werden alle Benutzer, die sich bei einem entsprechenden TeamViewer Konto anmelden, zu dem Identitätsanbieter umgeleitet, der für die Domain konfiguriert wurde. Dieser Schritt ist unabhängig davon erforderlich, welcher IdP verwendet wird.
Aus Sicherheitsgründen und um Missbrauch vorzubeugen, ist es erforderlich, den Besitz der Domain zu verifizieren, bevor die Funktion aktiviert wird.
Um SSO zu aktivieren, melden Sie sich in der Management Console an, klicken Sie auf Firmenadministration und wählen Single Sign-On. Klicken Sie auf Domain hinzufügen und geben Sie die Domain ein, für die Sie SSO aktivieren möchten.
Außerdem müssen Sie die Metadaten Ihres Identitätsanbieters angeben. Hierfür stehen drei Optionen zur Verfügung:
Nachdem die Domain hinzugefügt wurde, kann der Custom Identifier generiert werden. Diese benutzerdefinierte Kennung wird von TeamViewer nicht gespeichert, sondern für die Erstkonfiguration von SSO verwendet. Sie darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-On unterbrochen wird und eine Neueinrichtung notwendig wird. Als Custom Identifier kann eine beliebige Zeichenkette verwendet werden. Diese Zeichenkette wird später für die Konfiguration des IdP benötigt.
Nachdem eine Domain erfolgreich hinzugefügt wurde, müssen Sie den Besitz der Domain verifizieren.
Single Sign-On wird nicht aktiviert, bevor die Domain-Verifizierung abgeschlossen ist.
Um die Domain zu verifizieren, erstellen Sie bitte einen neuen TXT-Eintrag für Ihre Domain mit den auf der Verifizierungsseite angezeigten Werten.
📌 Hinweis: Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern.
Das Dialogfeld zum Hinzufügen eines TXT-Datensatzes könnte so ähnlich aussehen:
📌 Hinweis: Abhängig von Ihrem Domainverwaltungssystem kann die Beschreibung der Eingabefelder variieren.
Starten Sie nach dem Anlegen des neuen TXT-Eintrags den Verifizierungsprozess, indem Sie auf die Schaltfläche "Verifizierung starten" klicken.
📌 Bitte beachten Sie, dass der Verifizierungsprozess aufgrund des DNS-Systems mehrere Stunden dauern kann.
💡 Tipp 1: TeamViewer sucht nach dem Start der Verifizierung 24 Stunden lang nach dem TXT-Verifizierungssatz. Falls wir den TXT-Record nicht innerhalb von 24 Stunden finden, schlägt die Verifizierung fehl und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Verifizierung über diesen Dialog neu starten.
Jeder Identitätsanbieter erfordert eine eigene Konfiguration, die in speziellen Knowledge Hub Artikeln behandelt wird:
Single Sign-On mit Active Directory Federation Services (ADFS) - TeamViewer Support
Dieser Artikel richtet sich an TeamViewer Kunden mit einer Enterprise/Tensor Lizenz. Allgemein TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird. Anforderungen Um…
Single Sign-On mit Azure Active Directory - TeamViewer Support
Dieser Artikel richtet sich an TeamViewer Kunden mit einer Enterprise/Tensor Lizenz. Allgemein TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird. Anforderungen Um…
Single Sign-On mit Centrify - TeamViewer Support
Dieser Artikel richtet sich an TeamViewer Kunden mit einer Enterprise/Tensor Lizenz. Allgemein TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird. Anforderungen Um…
Single Sign-On mit G Suite - TeamViewer Support
Dieser Artikel richtet sich an TeamViewer Kunden mit einer Enterprise/Tensor Lizenz. Allgemein TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird. Anforderungen Um…
Single Sign-On mit Okta - TeamViewer Support
Dieser Artikel richtet sich an TeamViewer Kunden mit einer Enterprise/Tensor Lizenz. Allgemein TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird. Anforderungen Um…
Single Sign-On mit OneLogin - TeamViewer Support
Dieser Artikel richtet sich an TeamViewer Kunden mit einer Enterprise/Tensor Lizenz. Allgemein TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird. Anforderungen Um…
TeamViewer ist kompatibel mit Single Sign-On ab der Version 13.2.1080.
Ältere Versionen unterstützen kein Single Sign-On und können Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client Konfiguration ist optional, erlaubt es aber, den verwendeten Browser für die SSO-Anmeldung des IdP zu ändern.
Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie lieber den Standardbrowser des Betriebssystems verwenden möchten, können Sie dieses Verhalten ändern:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌 Hinweis: Nach dem Erstellen oder Ändern der Registry müssen Sie den TeamViewer Client neu starten.
Dieser Abschnitt enthält die technischen Angaben des TeamViewer SAML-Serviceprovider (SP). Diese Daten könnten relevant sein, wenn andere als die oben beschriebenen IdPs hinzugefügt werden sollen.