TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu verringern, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird.
Dieser Artikel richtet sich an alle mit einer Enterprise/Tensor Lizenz.
Anforderungen
Um TeamViewer Single Sign-On zu verwenden, benötigen Sie
- eine TeamViewer Version 13.2.1080 oder neuer
- einen SAML 2.0-kompatiblen Identitätsanbieter (IdP)*
- ein TeamViewer Konto für den Zugriff auf Management Console und das Hinzufügen von Domains
- Zugriff auf die DNS-Verwaltung Ihrer Domäne, um die Eigentümerschaft der Domäne zu überprüfen
- eine TeamViewer Tensor Lizenz.
TeamViewer Konfiguration
Single Sign-On (SSO) wird auf Domänenebene für alle TeamViewer -Konten aktiviert, die eine E-Mail-Adresse mit dieser Domäne verwenden. Nach der Aktivierung werden alle Benutzer, die sich bei einem entsprechenden TeamViewer -Konto anmelden, zum Identitätsanbieter umgeleitet, der für die Domäne konfiguriert wurde.
Aus Sicherheitsgründen und um Missbrauch vorzubeugen, ist es erforderlich, die Domaininhaberschaft zu überprüfen, bevor die Funktion aktiviert wird.
Eine neue Domain hinzufügen
Um SSO zu aktivieren, melden Sie sich auf Management Console an, wählen Sie Unternehmensverwaltung und dann den Menüeintrag Single Sign-On. Klicken Sie auf Domain hinzufügen und geben Sie die Domain ein, für die Sie SSO aktivieren möchten.
Sie müssen auch die Metadaten Ihres Identitätsanbieters angeben. Hierfür stehen Ihnen drei Optionen zur Verfügung:
- via URL: Geben Sie die URL Ihrer IdP-Metadaten in das entsprechende Feld ein
- über XML: Wählen Sie Ihre XML-Metadaten aus und laden Sie sie hoch
- Manuelle Konfiguration: Geben Sie alle erforderlichen Informationen manuell ein. Bitte beachten Sie, dass der öffentliche Schlüssel ein Base64-kodierter String sein muss.
Klicken Sie anschließend auf Weiter.
Wählen Sie nun die E-Mail-Adressen oder Benutzergruppen aus, die Sie von SSO ausschließen möchten, und klicken Sie auf Domain hinzufügen.
Kunden ID erstellen
Nachdem die Domain hinzugefügt wurde, kann der Kunden ID generiert werden. Diese Kunden ID wird nicht von TeamViewer gespeichert, sondern für die Erstkonfiguration von SSO verwendet. Er darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-On nicht mehr funktioniert und eine Neueinrichtung erforderlich ist. Als Kunden ID kann eine beliebige Zeichenfolge verwendet werden. Diese Zeichenfolge wird später für die Konfiguration des IDP benötigt. Um die benutzerdefinierte Kunden ID zu generieren, klicken Sie auf Generieren.
Verifizieren Sie die Domain-Zugehörigkeit
Nachdem eine Domain erfolgreich hinzugefügt wurde, müssen Sie die Zugehörigkeit der Domain verifizieren.
Single Sign-On wird erst aktiviert, wenn die Verifizierung der Domain-Zugehörigkeit abgeschlossen ist.
Um die Domain zu verifizieren, erstellen Sie bitte einen neuen TXT-Eintrag für Ihre Domain mit den auf der Verifizierungsseite angegebenen Werten.
📌 Hinweis: Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern.
📌 Hinweis: Abhängig von Ihrem Domainverwaltungssystem kann die Beschreibung der Eingabefelder variieren.
Nachdem Sie den neuen TXT-Datensatz erstellt haben, starten Sie den Verifizierungsprozess, indem Sie auf die Schaltfläche Verifizierung starten klicken.
Bitte beachten Sie, dass der Verifizierungsprozess aufgrund des DNS-Systems mehrere Stunden dauern kann.
💡 Tipp: TeamViewer sucht 24 Stunden lang nach dem Start der Überprüfung nach dem TXT-Datensatz. Wenn wir den TXT-Datensatz nicht innerhalb von 24 Stunden finden können, schlägt die Überprüfung fehl, und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Überprüfung über dieses Dialogfeld neu starten.
Einrichtung des Identitätsanbieters mit Centrify
In diesem Abschnitt wird beschrieben, wie Sie "Centrify.com" als Identitätsanbieter für TeamViewer Single Sign-On konfigurieren.
1) Navigieren Sie in der Benutzeroberfläche der "Centrify.com"-Administration zu Apps -> , klicken Sie auf Add Web Apps und wählen Sie SAML aus der Liste auf der Registerkarte "Custom".
2) Wechseln Sie zu den Anwendungseinstellungen und navigieren Sie zur Registerkarte Vertrauen.
3) Im Abschnitt Konfiguration des Dienstanbieters entweder:
- Geben Sie die Metadaten-URL ein:"https://sso.teamviewer.com/saml/metadata.xml" und klicken Sie auf die Schaltfläche "Laden".
- oder wählen Sie "Manuelle Konfiguration" und geben Sie die Daten ein, die im folgenden Kapitel "Technische Details" angegeben sind.
4) Wechseln Sie zur Registerkarte SAML-Antwort und fügen Sie die folgenden Attribute hinzu, wobei Sie natürlich einen generierten Wert für die Kundenkennung verwenden:
5) Klicken Sie auf Speichern
👉 Pro-Tipp: Verwenden Sie die Metadaten-URL aus dem Abschnitt "Identity Provider Configuration" (Tab "Trust"), um den IdP einfach in der TeamViewer Management Console einzurichten.
TeamViewer Client-Konfiguration
TeamViewer ist kompatibel mit Single Sign-On ab Version 13.2.1080.
Frühere Versionen unterstützen kein Single Sign-On und können die Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client-Konfiguration ist optional, erlaubt aber die Änderung des verwendeten Browsers für die SSO-Anmeldung beim IdP.
Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie es vorziehen, den Standardbrowser des Betriebssystems zu verwenden, können Sie dieses Verhalten ändern:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌 Hinweis: Nach dem Erstellen oder Ändern der Registrierung müssen Sie den TeamViewer Client neu starten.