El Inicio de Sesión Único (Single Sign-On - SSO) de TeamViewer Tensor (Classic) ofrece a los departamentos de TI un mayor control sobre el aprovisionamiento de cuentas de usuario empresariales para el acceso remoto y la asistencia de TeamViewer Tensor (Classic). Al limitar el acceso únicamente a usuarios con correos electrónicos corporativos, TeamViewer Tensor (Classic) con SSO te permite evitar que usuarios no autorizados utilicen tu plataforma de acceso remoto empresarial.
Este artículo concierne a l@s clientes de TeamViewer con una licencia Tensor.
Para utilizar Inicio de Sesión Único de TeamViewer (SSO), necesitas:
* Actualmente sólo soportamos Centrify, Okta, Azure, OneLogin, ADFS y G Suite, pero estamos trabajando para soportar más IdPs en el futuro. Los IdP anteriores han sido probados y los pasos detallados para configurar uno de estos IdP se pueden encontrar en este artículo y otras páginas vinculadas sobre SSO y los respectivos IdP.
Nota: Si utilizas un IdP diferente, usa la información técnica para configurar tu IdP manualmente.
Sugerencia: Al añadir un dominio para el Inicio de Sesión Único (SSO), se recomienda añadir la cuenta propietaria a la lista de exclusión. La razón de esto es contar un escenario de reserva que mantiene el acceso a la configuración del dominio incluso si el IdP no está funcionando.
Ejemplo: La cuenta de TeamViewer "[email protected]" añade el dominio "example.com" para el Single Sign-on. Después de añadir el dominio, la dirección de correo electrónico "[email protected]" debe añadirse a la lista de exclusión. Esto es necesario para poder realizar cambios en la configuración del SSO, incluso cuando el Inicio de Sesión Único (SSO) no funciona debido a una mala configuración.
Sugerencia2: Al añadir un dominio para el Inicio de Sesión Único (SSO), se recomienda añadir propietarios adicionales al dominio SSO, ya que la propiedad SSO no se hereda dentro de su empresa.
Ejemplo: Después de que la cuenta de TeamViewer "[email protected]" añada el dominio "example.com" para elel Inicio de Sesión Único (SSO), se añaden varios administradores de la empresa (por ejemplo, "[email protected]") como propietarios del dominio, para que también puedan gestionar el dominio y su configuración SSO.
El Inicio de Sesión Único (SSO) se activa a nivel de dominio para todas las cuentas de TeamViewer que utilicen una dirección de correo electrónico con este dominio. Una vez activado, todos los usuarios que inician sesión en una cuenta de TeamViewer correspondiente son redirigidos al proveedor de identidad que se ha configurado para el dominio. Este paso es necesario independientemente del IdP que se utilice.
Por razones de seguridad y para evitar abusos, es necesario verificar la propiedad del dominio antes de activar la función.
Para activar SSO, inicia sesión en la Management Console, entra en la opción Administración de empresas y selecciona el menu de Inicio de Sesión Único. Haz clic en añadir dominio e introduce el dominio para el que quieres activar el SSO.
También debes proporcionar los metadatos de tu proveedor de identidad. Hay tres opciones disponibles para hacerlo:
Una vez añadido el dominio, se puede generar el identificador personalizado. TeamViewer no almacena este identificador personalizado, pero se utiliza para la configuración inicial de SSO. No debe ser cambiado en ningún momento, ya que esto interrumpirá el Inicio de Sesión Único (SSO) y será necesario configurarlo de nuevo. Cualquier cadena aleatoria puede ser utilizada como identificador de cliente. Esta cadena se requiere posteriormente para la configuración del IdP.
En el momento en el que el dominio haya sido agregado correctamente, es necesario verificar la propiedad del dominio.
El Inicio de Sesión Único (SSO) no se activará antes de que se complete la verificación del mismo.
Para verificar el dominio, crea un nuevo registro TXT para tu dominio con los valores mostrados en la página de verificación.
Nota: El proceso de verificación puede tardar varias horas debido al sistema DNS.
El cuadro de diálogo para añadir un registro TXT puede parecerse a:
Nota: Dependiendo de tu sistema de gestión de dominio, la descripción de los campos de entrada puede variar.
Después de crear el nuevo registro TXT, inicia el proceso de verificación haciendo clic en el botón "Iniciar verificación".
Ten en cuenta que el proceso de verificación puede tardar varias horas debido al sistema DNS.
Sugerencia: TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la verificación. Si no podemos encontrar el registro TXT en 24 horas, la verificación falla y el estado se actualiza acorde. En este caso, reinicia la verificación a través de este cuadro de diálogo.
Cada proveedor de identidad requiere su propia configuración, la cual está recogida en los siguientes artículos dedicados en la Base de conocimiento.
TeamViewer es compatible con el Inicio de Sesión Único a partir de la versión 13.2.1080. Las versiones anteriores no admiten el inicio de sesión único y no pueden redirigir a los usuarios a su proveedor de identidad durante el inicio de sesión.
La configuración del full client es opcional, pero permite cambiar el navegador utilizado para el inicio de sesión SSO del IdP.
El full client de TeamViewer utilizará de forma predeterminada un navegador integrado para la autenticación del proveedor de identidad. Si prefieres utilizar el navegador predeterminado del sistema operativo, puedes cambiar este comportamiento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Linux:
sudo systemctl stop teamviewerd && echo '[bool ] SsoUseEmbeddedBrowser = 0' >> ~/.config/teamviewer/client.conf && sudo systemctl start teamviewerd
Nota: El full client de TeamViewer tiene que ser reiniciado después de crear o cambiar el registro.
En esta sección se enumeran los detalles técnicos del Proveedor de Servicios de TeamViewer SAML (SP). Estos datos pueden ser relevantes para añadir otros IdPs distintos a los descritos anteriormente.
Metadatos de proveedores de servicios SAML:
Reclamaciones de respuesta SAML requeridas:
Esto debería asignarse a un identificador de usuario único dentro del ámbito del PDI (y, por lo tanto, dentro del ámbito de la empresa correspondiente).
Por ejemplo, puede ser el objeto GUID para ADFS de Active Directory o la dirección de correo electrónico para Okta.
Este atributo debe ser asignado a la dirección de correo electrónico del usuario que desea iniciar sesión. La dirección de correo electrónico tiene que ser la misma que la configurada para la cuenta de TeamViewer. El análisis/comparación se realiza distinguiendo entre mayúsculas y minúsculas.
Este atributo debería devolver un identificador específico del cliente.
TeamViewer requiere un identificador de cliente como reclamo personalizado en la respuesta de SAML para la configuración inicial de las cuentas de inicio de sesión único.
TeamViewer no almacena el identificador de cliente. Si lo cambia más tarde, se romperá el inicio de sesión único y será necesaria una nueva configuración.
Cualquier cadena aleatoria puede ser utilizada como identificador de cliente.
Certificado de firma y cifrado (Public Key)
La clave pública del certificado que se utiliza para firmar las peticiones SAML y para el cifrado de las respuestas SAML se puede obtener ejecutando el siguiente comando de PowerShell:
"-----BEGIN PUBLIC KEY-----`n" + ` ((Select-Xml ` -Content ((Invoke-WebRequest ` https://sso.teamviewer.com/saml/metadata.xml).Content) ` -xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + ` "`n-----END PUBLIC KEY-----" ` | Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii
El comando descarga los metadatos, extrae la clave pública y la escribe en un archivo.