TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung in großen Unternehmen zu verringern, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird.

Dieser Artikel richtet sich an alle mit einer Enterprise/Tensor Lizenz.

Anforderungen

Um TeamViewer Single Sign-On zu verwenden, benötigen Sie

  • eine TeamViewer Version 13.2.1080 oder neuer
  • einen SAML 2.0-kompatiblen Identitätsanbieter (IdP)*
  • ein TeamViewer Konto für den Zugriff auf Management Console und das Hinzufügen von Domains
  • Zugriff auf die DNS-Verwaltung Ihrer Domäne, um die Eigentümerschaft der Domäne zu überprüfen
  • eine TeamViewer Tensor Lizenz.

TeamViewer Konfiguration

Single Sign-On (SSO) wird auf Domänenebene für alle TeamViewer -Konten aktiviert, die eine E-Mail-Adresse mit dieser Domäne verwenden. Nach der Aktivierung werden alle Benutzer, die sich bei einem entsprechenden TeamViewer -Konto anmelden, zum Identitätsanbieter umgeleitet, der für die Domäne konfiguriert wurde.

Aus Sicherheitsgründen und um Missbrauch vorzubeugen, ist es erforderlich, die Domaininhaberschaft zu überprüfen, bevor die Funktion aktiviert wird.

Eine neue Domain hinzufügen

Um SSO zu aktivieren, melden Sie sich auf Management Console an, wählen Sie Unternehmensverwaltung und dann den Menüeintrag Single Sign-On. Klicken Sie auf Domain hinzufügen und geben Sie die Domain ein, für die Sie SSO aktivieren möchten.

Sie müssen auch die Metadaten Ihres Identitätsanbieters angeben. Hierfür stehen Ihnen drei Optionen zur Verfügung:

  • via URL: Geben Sie die URL Ihrer IdP-Metadaten in das entsprechende Feld ein
  • über XML: Wählen Sie Ihre XML-Metadaten aus und laden Sie sie hoch
  • Manuelle Konfiguration: Geben Sie alle erforderlichen Informationen manuell ein. Bitte beachten Sie, dass der öffentliche Schlüssel ein Base64-kodierter String sein muss.

Klicken Sie anschließend auf Weiter.

Wählen Sie nun die E-Mail-Adressen oder Benutzergruppen aus, die Sie von SSO ausschließen möchten, und klicken Sie auf Domain hinzufügen.

Kunden ID erstellen

Nachdem die Domain hinzugefügt wurde, kann der Kunden ID generiert werden. Diese Kunden ID wird nicht von TeamViewer gespeichert, sondern für die Erstkonfiguration von SSO verwendet. Er darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-On nicht mehr funktioniert und eine Neueinrichtung erforderlich ist. Als Kunden ID kann eine beliebige Zeichenfolge verwendet werden. Diese Zeichenfolge wird später für die Konfiguration des IDP benötigt. Um die benutzerdefinierte Kunden ID zu generieren, klicken Sie auf Generieren.

Verifizieren Sie die Domain-Zugehörigkeit

Nachdem eine Domain erfolgreich hinzugefügt wurde, müssen Sie die Zugehörigkeit der Domain verifizieren.

Single Sign-On wird erst aktiviert, wenn die Verifizierung der Domain-Zugehörigkeit abgeschlossen ist.

Um die Domain zu verifizieren, erstellen Sie bitte einen neuen TXT-Eintrag für Ihre Domain mit den auf der Verifizierungsseite angegebenen Werten.

📌 Hinweis: Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern.

📌 Hinweis: Abhängig von Ihrem Domainverwaltungssystem kann die Beschreibung der Eingabefelder variieren.

Nachdem Sie den neuen TXT-Datensatz erstellt haben, starten Sie den Verifizierungsprozess, indem Sie auf die Schaltfläche Verifizierung starten klicken.

Bitte beachten Sie, dass der Verifizierungsprozess aufgrund des DNS-Systems mehrere Stunden dauern kann.

💡 Tipp: TeamViewer sucht 24 Stunden lang nach dem Start der Überprüfung nach dem TXT-Datensatz. Wenn wir den TXT-Datensatz nicht innerhalb von 24 Stunden finden können, schlägt die Überprüfung fehl, und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Überprüfung über dieses Dialogfeld neu starten.

Einrichtung von Identitätsanbietern mit Okta

In diesem Abschnitt wird beschrieben, wie Okta für die Verwendung als IdP für den SSO-Dienst TeamViewer eingerichtet wird.

💡 Tipp: Je nach Ihren Einstellungen müssen Sie der Anwendung in Okta Benutzer zuweisen.

Die Okta-Dokumentation finden Sie hier.

Automatische Konfiguration über die TeamViewer Okta-App

1) Melden Sie sich bei Ihrem Okta Administrator Dashboard an.

2) Fügen Sie die Anwendung TeamViewer hinzu.

3) Wählen Sie SAML 2.0

  • Kopieren und speichern Sie Ihre Metadaten-URL

4) Weisen Sie der Anwendung Benutzer zu

5) Aktivieren Sie SAML mit Ihren Metadaten im Domain Management in MCO

Manuelle Konfiguration über die Okta-Web-Benutzeroberfläche

Gehen Sie zur Verwaltungsoberfläche und fügen Sie eine neue SAML-Anwendung hinzu. Geben Sie die folgenden Werte auf der Seite SAML-Einstellungen an:

Einstellungen  Wert

Single Sign On URL

https://sso.teamviewer.com/saml/acs

Verwenden Sie dies für Empfänger-URL und Ziel-URL
Erlauben Sie dieser App, andere SSO-URLs anzufordern

Audience URI (SP Entity ID)

Default RelayState

-

Name ID Format

EmailAddress

App Benutzername

Email

 

Für Sie zum Kopieren/Einfügen:

URL für die einmalige Anmeldung: https://sso.teamviewer.com/saml/acs

Publikums-URI (SP Entity ID): https://sso.teamviewer.com/saml/metadata

Name ID Format: EmailAdresse

Benutzername für die Bewerbung: E-Mail

Erweiterte Einstellungen Wert

Response

Signed

Assertion Signature

Signed

Signatur-Algorithmus

RSA-SHA256

Verschlüsselungsalgorithmus

SHA256

Assertion Encryption

Encrypted

Verschlüsselungsalgorithmus

AES256-CBC

Schlüssel-Transport-Algorithmus

RSA-OAEP

Verschlüsselungszertifikat

Laden Sie den Public Key des TeamViewer SAML Service Providers hoch.
Informationen, wie Sie das Zertifikat erhalten, finden Sie in den Technischen Informationen.

Single Logout aktivieren

Nein

Fügen Sie die folgenden Attributanweisungen hinzu (Namensformat - nicht spezifiziert):

📌 Bitte beachten Sie: Der anfänglich eingestellte "Customer Identifier" darf sich nicht ändern, sonst bricht SSO ab. TeamViewer speichert diesen Wert nicht.

-komplexeres Mapping-

📌 Bitte beachten Sie: Der Wert der Anweisung für das Attribut emailaddress kann komplexere Zuordnungsregeln enthalten. Okta bietet Ihnen daher eine Ausdruckssprache an. Die offizielle Dokumentation dazu finden Sie hier: https://developer.okta.com/reference/okta_expression_language/index

Unternehmen A hat zwei E-Mail-Adressdomänen für seine Benutzer reserviert - @a1.test und @a2.test. Die Okta-Benutzer haben die Domäne @a1.test mit ihrem Konto verknüpft.

TeamViewer SSO sollte nur für die @a2.test-E-Mail-Adressen aktiviert werden.

Der Wert für die Anweisung emailaddress könnte wie folgt aussehen:

String.append(String.substringBefore(user.email, "@"), "@a2.test")

Dies bewirkt, dass die SAML-Antwort die richtige E-Mail-Adresse enthält.

TeamViewer Client-Konfiguration

TeamViewer ist kompatibel mit Single Sign-On ab Version 13.2.1080.

Frühere Versionen unterstützen kein Single Sign-On und können die Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client-Konfiguration ist optional, erlaubt aber die Änderung des verwendeten Browsers für die SSO-Anmeldung beim IdP.

Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie es vorziehen, den Standardbrowser des Betriebssystems zu verwenden, können Sie dieses Verhalten ändern:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌 Hinweis: Nach dem Erstellen oder Ändern der Registrierung müssen Sie den TeamViewer Client neu starten.