TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu verringern, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird.
Dieser Artikel richtet sich an alle mit einer Enterprise/Tensor Lizenz.
Anforderungen
Um TeamViewer Single Sign-On zu verwenden, benötigen Sie
- eine TeamViewer Version 13.2.1080 oder neuer
- einen SAML 2.0-kompatiblen Identitätsanbieter (IdP)*
- ein TeamViewer Konto für den Zugriff auf Management Console und das Hinzufügen von Domains
- Zugriff auf die DNS-Verwaltung Ihrer Domäne, um die Eigentümerschaft der Domäne zu überprüfen
- eine TeamViewer Tensor Lizenz.
TeamViewer Konfiguration
Single Sign-On (SSO) wird auf Domänenebene für alle TeamViewer -Konten aktiviert, die eine E-Mail-Adresse mit dieser Domäne verwenden. Nach der Aktivierung werden alle Benutzer, die sich bei einem entsprechenden TeamViewer -Konto anmelden, zum Identitätsanbieter umgeleitet, der für die Domäne konfiguriert wurde.
Aus Sicherheitsgründen und um Missbrauch vorzubeugen, ist es erforderlich, die Domaininhaberschaft zu überprüfen, bevor die Funktion aktiviert wird.
Eine neue Domain hinzufügen
Um SSO zu aktivieren, melden Sie sich auf Management Console an, wählen Sie Unternehmensverwaltung und dann den Menüeintrag Single Sign-On. Klicken Sie auf Domain hinzufügen und geben Sie die Domain ein, für die Sie SSO aktivieren möchten.
Sie müssen auch die Metadaten Ihres Identitätsanbieters angeben. Hierfür stehen Ihnen drei Optionen zur Verfügung:
- via URL: Geben Sie die URL Ihrer IdP-Metadaten in das entsprechende Feld ein
- über XML: Wählen Sie Ihre XML-Metadaten aus und laden Sie sie hoch
- Manuelle Konfiguration: Geben Sie alle erforderlichen Informationen manuell ein. Bitte beachten Sie, dass der öffentliche Schlüssel ein Base64-kodierter String sein muss.
Klicken Sie anschließend auf Weiter.
Wählen Sie nun die E-Mail-Adressen oder Benutzergruppen aus, die Sie von SSO ausschließen möchten, und klicken Sie auf Domain hinzufügen.
Kunden ID erstellen
Nachdem die Domain hinzugefügt wurde, kann der Kunden ID generiert werden. Diese Kunden ID wird nicht von TeamViewer gespeichert, sondern für die Erstkonfiguration von SSO verwendet. Er darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-On nicht mehr funktioniert und eine Neueinrichtung erforderlich ist. Als Kunden ID kann eine beliebige Zeichenfolge verwendet werden. Diese Zeichenfolge wird später für die Konfiguration des IDP benötigt. Um die benutzerdefinierte Kunden ID zu generieren, klicken Sie auf Generieren.
Verifizieren Sie die Domain-Zugehörigkeit
Nachdem eine Domain erfolgreich hinzugefügt wurde, müssen Sie die Zugehörigkeit der Domain verifizieren.
Single Sign-On wird erst aktiviert, wenn die Verifizierung der Domain-Zugehörigkeit abgeschlossen ist.
Um die Domain zu verifizieren, erstellen Sie bitte einen neuen TXT-Eintrag für Ihre Domain mit den auf der Verifizierungsseite angegebenen Werten.
📌 Hinweis: Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern.
📌 Hinweis: Abhängig von Ihrem Domainverwaltungssystem kann die Beschreibung der Eingabefelder variieren.
Nachdem Sie den neuen TXT-Datensatz erstellt haben, starten Sie den Verifizierungsprozess, indem Sie auf die Schaltfläche Verifizierung starten klicken.
Bitte beachten Sie, dass der Verifizierungsprozess aufgrund des DNS-Systems mehrere Stunden dauern kann.
💡 Tipp: TeamViewer sucht 24 Stunden lang nach dem Start der Überprüfung nach dem TXT-Datensatz. Wenn wir den TXT-Datensatz nicht innerhalb von 24 Stunden finden können, schlägt die Überprüfung fehl, und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Überprüfung über dieses Dialogfeld neu starten.
Einrichtung eines Identitätsanbieters mit G Suite
1) Öffnen Sie die Google Admin-Konsole: https://admin.google.com
2) Erstellen Sie ein benutzerdefiniertes Benutzerattribut, das die Kundenkennung TeamViewer enthält:
- Navigieren Sie zu Verzeichnis > Benutzer
- Klicken Sie in der oberen rechten Ecke auf die Schaltfläche Benutzerdefinierte Attribute verwalten.
- Drücken Sie auf Benutzerdefiniertes Attribut hinzufügen (obere rechte Ecke)
- Geben Sie einen Kategorienamen (z. B. "Single Sign-On") und eine optionale Beschreibung ein.
- Geben Sie im Abschnitt "Benutzerdefinierte Felder" einen Namen für das neue benutzerdefinierte Attribut ein, z. B. TeamViewer Kundenidentifikator.
- Info-Typ als Text auswählen
- Wählen Sie Sichtbarkeit, um für den Administrator sichtbar zu sein
- Wählen Sie die Anzahl der Werte, die als Einzelwert gelten sollen
- Drücken Sie "Hinzufügen".
3) Navigieren Sie zu Apps > SAML Apps und klicken Sie auf Hinzufügen (+) in der rechten unteren Ecke.
4) Wählen Sie Meine eigene benutzerdefinierte App einrichten
5) Drücken Sie auf Weiter, um den Dialog Google IdP-Informationen zu bestätigen. Alle Informationen können auch später wieder abgerufen werden.
6) Geben Sie einen Namen für die Anwendung ein, z. B. "TeamViewer" (Beschreibung und Logo können ebenfalls optional hinzugefügt werden).
7) Geben Sie unter "Details zum Dienstanbieter" die folgenden Informationen ein:
- ACS-URL: https://sso.teamviewer.com/saml/acs
- Entitäts-ID: https://sso.teamviewer.com/saml/metadata
- Namens-ID: "Grundlegende Informationen" > "Primäre E-Mail"
- Name ID Format: "UNSPECIFIED"
8) Fügen Sie im Abschnitt "Attribut-Zuordnung" die folgenden Zuordnungen hinzu:
- Name des Attributs: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressCategory:"Grundlegende Informationen"
- Benutzerattribut: "Primäre E-Mail"
- Attributname: http://sso.teamviewer.com/saml/claims/customeridentifierKategorie: "Single Sign-On" (erstellt in Schritt 1)
- Benutzerattribut: "TeamViewer Kundenidentifikator" (erstellt in Schritt 1)
📌 Bitte beachten Sie, dass das Attribut "TeamViewer Customer Identifier" für Benutzer, die sich über Single Sign-On auf TeamViewer anmelden möchten, gesetzt werden muss.
TeamViewer Client-Konfiguration
TeamViewer ist kompatibel mit Single Sign-On ab Version 13.2.1080.
Frühere Versionen unterstützen kein Single Sign-On und können die Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client-Konfiguration ist optional, erlaubt aber die Änderung des verwendeten Browsers für die SSO-Anmeldung beim IdP.
Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie es vorziehen, den Standardbrowser des Betriebssystems zu verwenden, können Sie dieses Verhalten ändern:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌 Hinweis: Nach dem Erstellen oder Ändern der Registrierung müssen Sie den TeamViewer Client neu starten.