TeamViewer Tensor mit Single Sign-on gibt der IT-Abteilung mehr Kontrolle über die Bereitstellung von Unternehmenskonten für TeamViewer Tensor remote access und Support. Durch die Beschränkung des Zugriffs auf Benutzer mit corporate E-Mails, TeamViewer Tensor mit SSO können Sie verhindern, dass nicht autorisierte Benutzer Ihre Unternehmensplattform remote access jemals nutzen.
Dieser Artikel richtet sich an alle mit einer Enterprise/Tensor Lizenz.
Um TeamViewer Single Sign-on zu verwenden, benötigen Sie
* Derzeit unterstützen wir nur Centrify, Okta, Microsoft Entra ID, OneLogin, ADFS und Google Workspace, aber wir arbeiten an der Unterstützung weiterer IdPs in der Zukunft. Die oben genannten IdPs wurden getestet. Detaillierte Schritte zum Einrichten einer dieser IdPs finden Sie in diesen Dokumenten und anderen verlinkten Seiten über SSO und die jeweiligen IdPs.
Hinweis: Wenn Sie einen anderen IdP verwenden, verwenden Sie bitte die technischen Informationen, um Ihren IdP manuell einzurichten.
Tipp: Wenn Sie eine Domäne für Single Sign-on hinzufügen, wird empfohlen, das besitzende Konto zur Ausschlussliste hinzuzufügen. Der Grund dafür ist ein Fallback-Szenario, dass Sie den Zugriff auf die Domänenkonfiguration behalten, auch wenn der IdP nicht funktioniert.
Beispiel: Das TeamViewer Konto "[email protected]" fügt die Domäne "Beispiel.com" für Single Sign-on hinzu. Nach dem Hinzufügen der Domäne sollte die E-Mail-Adresse "[email protected]" zur Ausschlussliste hinzugefügt werden. Dies ist erforderlich, um Änderungen an der SSO-Konfiguration vorzunehmen, auch wenn Single Sign-on aufgrund einer Fehlkonfiguration nicht funktioniert.
Tipp2: Beim Hinzufügen einer Single Sign-on-Domäne wird empfohlen, der SSO-Domäne zusätzliche Eigentümer hinzuzufügen, da die SSO-Eigentümerschaft innerhalb Ihres Unternehmens nicht vererbt wird.
Beispiel: Nachdem das TeamViewer Konto "[email protected]" die Domäne "Beispiel.com" für Single Sign-on hinzugefügt hat, werden mehrere Unternehmensadministratoren (z. B. "[email protected]") als Domänenbesitzer hinzugefügt, damit sie die Domäne und ihre SSO-Einstellungen ebenfalls verwalten können.
Single Sign-on (SSO) wird auf Domänenebene für alle TeamViewer Konten aktiviert, die eine E-Mail-Adresse mit dieser Domäne verwenden. Nach der Aktivierung werden alle Benutzer, die sich bei einem entsprechenden TeamViewer Konto anmelden, an den Identitätsanbieter weitergeleitet, der für die Domäne konfiguriert wurde. Dieser Schritt ist unabhängig davon erforderlich, welcher IdP verwendet wird.
Aus Sicherheitsgründen und um Missbrauch vorzubeugen, ist es erforderlich, die Domaininhaberschaft zu überprüfen, bevor die Funktion aktiviert wird.
Um SSO zu aktivieren, melden Sie sich auf Management Console an, wählen Sie Unternehmensverwaltung und dann den Menüeintrag Single Sign-on. Klicken Sie auf Domain hinzufügen und geben Sie die Domain ein, für die Sie SSO aktivieren möchten.
Sie müssen auch die Metadaten Ihres Identitätsanbieters angeben. Hierfür stehen Ihnen drei Optionen zur Verfügung:
Klicken Sie anschließend auf Weiter.
Wählen Sie nun die E-Mail-Adressen oder Benutzergruppen aus, die Sie von SSO ausschließen möchten, und klicken Sie auf Domain hinzufügen.
Nachdem die Domain hinzugefügt wurde, kann der Kunden ID generiert werden. Diese Kunden ID wird nicht von TeamViewer gespeichert, sondern für die Erstkonfiguration von SSO verwendet. Er darf zu keinem Zeitpunkt geändert werden, da sonst Single Sign-on nicht mehr funktioniert und eine Neueinrichtung erforderlich ist. Als Kunden ID kann eine beliebige Zeichenfolge verwendet werden. Diese Zeichenfolge wird später für die Konfiguration des IDP benötigt. Um die benutzerdefinierte Kunden ID zu generieren, klicken Sie auf Generieren.
Nachdem eine Domain erfolgreich hinzugefügt wurde, müssen Sie die Zugehörigkeit der Domain verifizieren.
Single Sign-on wird erst aktiviert, wenn die Verifizierung der Domain-Zugehörigkeit abgeschlossen ist.
Um die Domain zu verifizieren, erstellen Sie bitte einen neuen TXT-Eintrag für Ihre Domain mit den auf der Verifizierungsseite angegebenen Werten.
Hinweis: Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern.
Hinweis: Abhängig von Ihrem Domainverwaltungssystem kann die Beschreibung der Eingabefelder variieren.
Nachdem Sie den neuen TXT-Datensatz erstellt haben, starten Sie den Verifizierungsprozess, indem Sie auf die Schaltfläche Verifizierung starten klicken.
Bitte beachten Sie, dass der Verifizierungsprozess aufgrund des DNS-Systems mehrere Stunden dauern kann.
Tipp: TeamViewer sucht 24 Stunden lang nach dem Start der Überprüfung nach dem TXT-Datensatz. Wenn wir den TXT-Datensatz nicht innerhalb von 24 Stunden finden können, schlägt die Überprüfung fehl, und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Überprüfung über dieses Dialogfeld neu starten.
Jeder Identitätsanbieter erfordert eine eigene Konfiguration, die in speziellen Knowledge Base-Artikeln behandelt wird:
TeamViewer ist kompatibel mit Single Sign-on ab Version 13.2.1080.
Frühere Versionen unterstützen kein Single Sign-on und können die Benutzer bei der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client-Konfiguration ist optional, erlaubt aber die Änderung des verwendeten Browsers für die SSO-Anmeldung beim IdP.
Der TeamViewer Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung beim Identitätsanbieter. Wenn Sie es vorziehen, den Standardbrowser des Betriebssystems zu verwenden, können Sie dieses Verhalten ändern:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Hinweis: Nach dem Erstellen oder Ändern der Registrierung müssen Sie den TeamViewer Client neu starten.
In diesem Abschnitt werden die technischen Details des TeamViewer SAML Service Provider (SP) aufgeführt. Diese Daten können für das Hinzufügen anderer IdPs als die oben beschriebenen relevant sein.
SAML-Dienstanbieter-Metadaten:
SP-Metadaten-URL: https://sso.teamviewer.com/saml/metadata.xml
Entitäts-ID: https://sso.teamviewer.com/saml/metadata
Zielgruppe: https://sso.teamviewer.com/saml/metadata
Assertion-Kundendienst URL: https://sso.teamviewer.com/saml/acs
Assertion Consumer Service URL: https://sso.teamviewer.com/saml/acs
Assertion Consumer Service Bindings
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec
SAML-Anfrage-Signatur-Algorithmus: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
TeamViewer unterstützt SHA-256 als Signaturalgorithmus. Wir verlangen, dass die SAML-Assertion signiert wird, während wir die SAML-Antwort signieren, was optional ist, aber empfohlen wird.
NameID: Nicht spezifiziert
Erforderliche SAML-Antwort-Claims:
Diese sollte auf eine eindeutige Benutzerkennung im Geltungsbereich des IdP (und damit im Geltungsbereich des entsprechenden Unternehmens) abgebildet werden.
Dies kann zum Beispiel die Active Directory Object GUID für ADFS oder die E-Mail-Adresse für Okta sein.
Dieses Attribut sollte mit der E-Mail-Adresse des Benutzers verknüpft werden, der sich anmelden möchte. Die E-Mail-Adresse muss mit der für das TeamViewer Konto konfigurierten Adresse übereinstimmen. Bei der Zuordnung/dem Vergleich wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Dieses Attribut sollte einen kundenspezifischen Bezeichner zurückgeben. Das Attribut muss den Namen "customeridentifier" tragen.
TeamViewer erfordert einen Kundenidentifikator als benutzerdefinierten Anspruch in der SAML-Antwort für die Erstkonfiguration von Single Sign-on-Konten.
TeamViewer speichert die Kundenkennung nicht. Eine spätere Änderung würde das Single Sign-on unterbrechen, und eine neue Einrichtung wäre erforderlich.
Jede beliebige Zeichenfolge kann als Kundenkennung verwendet werden.
Signatur- und Verschlüsselungszertifikat (öffentlicher Schlüssel)
Der öffentliche Schlüssel des Zertifikats, das zum Signieren von SAML-Anforderungen und zum Verschlüsseln von SAML-Antworten verwendet wird, kann durch Ausführen des folgenden PowerShell-Befehls abgerufen werden:
"-----BEGIN PUBLIC KEY-----`n" + ` ((Select-Xml ` -Content ((Invoke-WebRequest ` https://sso.teamviewer.com/saml/metadata.xml).Content) ` -xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + ` "`n-----END PUBLIC KEY-----" ` | Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii
Der Befehl lädt die Metadaten herunter, extrahiert den öffentlichen Schlüssel und schreibt ihn in eine Datei.