TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu verringern, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird.

📌 Hinweise:

  • Das TeamViewer Single Sign-On basiert auf der Domäne, die Sie eingerichtet haben. Das bedeutet, dass alle TeamViewer Konten in Ihrem Unternehmen oder außerhalb Ihres Unternehmens an den Identity Provider weitergeleitet werden.
  • Die E-Mail-Adresse des Microsoft Entra ID (ehemals Azure AD) Benutzers muss mit der E-Mail-Adresse des entsprechenden TeamViewer Kontos übereinstimmen.
  • Der TXT-Eintrag muss für die Öffentlichkeit sichtbar sein. Sie können dies mit einem DNS TXT Lookup Tool überprüfen.

Dieser Artikel richtet sich an alle mit einer Enterprise/Tensor Lizenz.

Anforderungen

Um TeamViewer Single Sign-On zu verwenden, benötigen Sie

  • eine TeamViewer Version 13.2.1080 oder neuer
  • einen SAML 2.0-kompatiblen Identitätsanbieter (IdP)*
  • ein TeamViewer Konto für den Zugriff auf Management Console und das Hinzufügen von Domains
  • Zugriff auf die DNS-Verwaltung Ihrer Domäne, um die Eigentümerschaft der Domäne zu überprüfen
  • eine TeamViewer Tensor Lizenz.

1. Erstellen Sie Ihre individuelle Kunden ID

Diese benutzerdefinierte ID wird nicht von TeamViewer gespeichert, sondern wird für die Erstkonfiguration von SSO verwendet. Er darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-On nicht mehr funktioniert und eine Neueinrichtung erforderlich ist.

Jede beliebige Zeichenfolge kann als Kunden ID verwendet werden. Es wird empfohlen, keine Sonderzeichen in der benutzerdefinierten ID zu verwenden.

📌 Hinweise:

  • Sie können z. B. einen Online-Passwort-Generator oder Ihren internen Passwort-Generator verwenden, falls Ihr Unternehmen über einen solchen verfügt.
  • Diese Zeichenfolge wird später für die Konfiguration des IdP benötigt.

2. Einrichtung des Identitätsanbieters Microsoft Entra ID

Um TeamViewer mit Microsoft Entra ID als Identitätsprovider zu verbinden, ist es erforderlich, eine Anwendung für Ihre Microsoft Entra ID zu erstellen. Die Schritte zur Erstellung und Konfiguration einer Unternehmensanwendung werden im Folgenden beschrieben:

1. Öffnen Sie einen Browser und melden Sie sich bei "portal.azure.com" mit einem Konto an, das über globale Admin-Berechtigungen verfügt.

2. Sie sehen einen Startbildschirm. Wählen Sie dort den Azure-Dienst "Azure Active Directory".

3. Nachdem Sie den Azure Service Azure Active Directory ausgewählt haben, sehen Sie eine Übersicht, bitte wählen Sie auf der linken Seite unter der Rubrik Verwalten die Option Unternehmensanwendungen

4. Nun öffnet sich die Übersicht mit all Ihren Unternehmensanwendungen, die Sie in Ihrem Azure AD haben.

5. Klicken Sie auf Alle Anwendungen (1), gefolgt von

6. Klicken Sie auf Neue Anwendung (2)

7) Im nächsten Fenster klicken Sie bitte auf Eigene Anwendung erstellen

8. Jetzt können Sie Ihre eigene Anwendung erstellen:

(1) Geben Sie einen Namen für Ihre Bewerbung ein.

(2) Wählen Sie Andere Anwendung integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie).

(3) 📌 Hinweis: Bitte wählen Sie nicht die vorgeschlagene TeamViewer App von Azure.

(4) Klicken Sie auf Erstellen.

9. Nachdem Sie die Anwendung erstellt haben, sehen Sie die Übersicht über diese Anwendung.

10. Klicken Sie unter dem Abschnitt Verwalten auf die Option Einmalige Anmeldung und wählen Sie die SAML-Methode.

11. Nun können Sie die SAML-Konfiguration bearbeiten.

(1) Geben Sie die Entitäts-ID ein ➜ https://sso.teamviewer. com/saml/metadata

(2) 📌 Hinweis: Löschen Sie die vordefinierte URL von Microsoft

(3) Geben Sie die Antwort-URL ein ➜ https://sso.teamviewer.com/saml/acs

(4) Klicken Sie auf Speichern

12. Nachdem Sie den ersten Schritt gespeichert haben, erhalten Sie die Frage, ob Sie das Single Sign-On testen möchten. Klicken Sie auf Nein, ich werde später testen

13. Im nächsten Abschnitt müssen Sie die Attribute & Claims bearbeiten

14. Klicken Sie auf Neue Forderung hinzufügen, um eine neue Forderung hinzuzufügen

(1) Geben Sie als Name den Wert customeridentifier ein

(2) Für den Namespace den Wert http://sso.teamviewer. com/saml/claims

(3) Geben Sie in das Attribut Quelle den benutzerdefinierten Bezeichner ein, den Sie zu Beginn erstellt haben

(4) Klicken Sie auf Speichern

15. Sie sehen den neu hinzugefügten Anspruch in der Übersicht

16. Im nächsten Schritt laden Sie die Metadaten-XML-Datei herunter oder Sie kopieren die Metadaten-URL

(1) Einen davon benötigen Sie für die folgenden Schritte auf der Website TeamViewer Management Console .

17. Bevor Sie die Einrichtung von TeamViewer Management Console abschließen, fügen Sie der Anwendung bitte Gruppen / Benutzer hinzu.

Hinweis: Dies ist erforderlich, damit sich die Benutzer erfolgreich bei ihren TeamViewer Konten anmelden können und die Gruppen / Benutzer später für die AD SCIM-Synchronisierung verwendet werden.

(1) Klicken Sie in der Anwendung auf Benutzer und Gruppen

(2) Klicken Sie auf Benutzer/Gruppe hinzufügen

3. TeamViewer Konfiguration

1. Öffnen Sie einen Webbrowser und melden Sie sich mit Ihrem lizenzierten TeamViewer Konto bei der Web-App unter https://web.teamviewer.com/ an.

Hinweis: Die Benutzerberechtigung für das Konto TeamViewer muss Unternehmensadministrator sein .

(1) Klicken Sie auf Admin-Einstellungen

(2) Klicken Sie auf Single Sign-On

(3) Klicken Sie auf Domäne hinzufügen

2. Im nächsten Fenster können Sie die Domäne eingeben, die Sie für Single Sign-On verwenden möchten.

📌 Hinweis: Wiederholen Sie diesen Schritt, wenn Sie mehrere Domänen für TeamViewer Single Sign-On verwenden möchten. Verwenden Sie die gleiche XML-Datei oder XML-URL für die verschiedenen Domänen. Die einzige Voraussetzung ist, dass die Domänen mit demselben Microsoft Entra ID Tenant verknüpft sind.

(1) Geben Sie Ihre Domain ein

(2) Wählen Sie den Konfigurationstyp

(3) Hochladen der XML-Metadaten-Datei

(4) Aktivieren Sie zusätzliche Optionen

📌 Hinweis für Subdomains: Diese Funktion ermöglicht es, nicht nur die Domäne (example.com) für die SSO-Anmeldung einzubeziehen, sondern auch alle Subdomänen (wie sub.example.com)

📌 Hinweis für Aktivierungs-E-Mails aktivieren: SSO-Konten, die unter dieser Domäne erstellt werden, erhalten je nach dieser Option Aktivierungs-E-Mails oder nicht. Neu erstellte Konten erhalten Aktivierungs-E-Mails, wenn diese Option aktiviert ist.

(5) Klicken Sie auf Weiter.

3. Im nächsten Abschnitt können Sie Konten zur Single Sign-On-Ausschlussliste hinzufügen. Wenn Sie nichts hinzuzufügen haben, klicken Sie auf Domäne hinzufügen.

Wichtiger Hinweis: Es wird dringend empfohlen, alle Domänenbesitzer zur Ausschlussliste hinzuzufügen, damit sie sich trotzdem anmelden können, wenn SSO eine neue Konfiguration benötigt. Tests der SSO-Anmeldung sollten mit einem zweiten Konto durchgeführt werden.

📌 Hinweis für E-Mail-Ausschlüsse: Sie können E-Mail-Adressen angeben, die von der Identity Provider-Verbindung ausgeschlossen werden sollen. Diese Konten können sich wie gewohnt ohne Identitätsanbieter-Authentifizierung bei TeamViewer anmelden. Es wird empfohlen, den Eigentümer einer Domäne als Ausweichlösung auszuschließen, falls die Konfiguration nicht korrekt ist oder der Identitätsanbieter nicht verfügbar ist.

4. Dieser Schritt (Single Sign-On Custom Identifier) kann mit einem Klick auf Weiter übersprungen werden, da Sie den Custom Identifier bereits zu Beginn erstellt haben.

4. Domänenüberprüfung

📌 Hinweis 1: Auf diesem Bildschirm sehen Sie die Informationen für die Verwaltung Ihres DNS-Servers. Sie benötigen die Informationen aus dem Feld Name / Host und die Informationen aus dem Feld Wert / Daten

📌 Hinweis 2: Kopieren Sie aus dem Feld Wert / Daten, Sie benötigen diese Informationen später.

1. Gehen Sie im Fenster zur Überprüfung der Domäne wie folgt vor

(1) Sie können auf Verifizierung starten klicken

(2.) Sie können auf Überspringen klicken

📌 Anmerkungen:

  • Wenn Sie dieser Anleitung von Anfang bis Ende folgen, klicken Sie in diesem Fenster auf Überspringen
  • Sie können jederzeit zur Verifizierungsseite zurückkehren und die Werte sehen, wenn die Domain nicht verifiziert ist

2. Gehen Sie zurück zur Webanwendung unter https://web.teamviewer.com/.

Hinweis: Die Benutzerrechte für das Konto TeamViewer müssen "Unternehmensadministrator" lauten.

(1) Klicken Sie auf Admin-Einstellungen

(2) Klicken Sie auf Single Sign-On

(3) Klicken Sie auf das Symbol mit den drei Punkten (⋮) , um die Domäne zu bearbeiten.

(4) Klicken Sie auf Bearbeiten

3. Klicken Sie auf Domain-Verifizierung

4. Klicken Sie auf Kopieren für den Wert

5. Klicken Sie auf Überprüfung starten, nachdem Sie die Schritte auf Ihrem DNS Server Management

📌 Anmerkungen:

  • Der TXT-Eintrag muss für die Öffentlichkeit sichtbar sein. Sie können dies mit einem DNS TXT Lookup Tool überprüfen. Google wird Ihnen in diesem Fall helfen.
  • TeamViewer sucht 24 Stunden nach Beginn der Überprüfung nach dem TXT-Datensatz. Falls wir den TXT-Datensatz nicht innerhalb von 24 Stunden finden, schlägt die Überprüfung fehl und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Überprüfung über diesen Dialog neu starten.

Hinweis: Die folgende Abbildung zeigt die DNS-Server-Verwaltung für eine Domain, die von Cloudflare verwaltet wird. Ihr DNS Server Management kann anders aussehen!

Nachdem Sie sich im Cloudflare Dashboard angemeldet haben, wählen Sie die Domain aus.

(1) Klicken Sie auf DNS und dann auf Eintrag hinzufügen

(2) Wählen Sie als TypTXT

(3) Geben Sie für den Namen@

(4) Geben Sie für Inhaltden TeamViewer SSO-Verifizierungswert aus dem obigen Schritt ein.

(5) Klicken Sie auf Speichern

TeamViewer Client-Konfiguration

TeamViewer ist kompatibel mit Single Sign-On ab Version 13.2.1080.

Frühere Versionen unterstützen kein Single Sign-On und können die Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client-Konfiguration ist optional, erlaubt aber die Änderung des verwendeten Browsers für die SSO-Anmeldung beim IdP.

Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie es vorziehen, den Standardbrowser des Betriebssystems zu verwenden, können Sie dieses Verhalten ändern:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌 Hinweis: Nach dem Erstellen oder Ändern der Registrierung müssen Sie den TeamViewer Client neu starten.