El objetivo del Inicio de sesión único (SSO) de TeamViewer es reducir los esfuerzos de gestión de usuarios de las grandes empresas conectando TeamViewer con los proveedores de identidad y los directorios de usuarios.
📌Notas:
- El Inicio de sesión único de TeamViewer se basa en el dominio que haya configurado. Esto significa que todas las cuentas de TeamViewer de tu empresa o de fuera de ella se reenviarán al proveedor de identidades.
- La dirección de correo electrónico del usuario de Microsoft Entra ID (anteriormente Azure AD) debe coincidir con la dirección de correo electrónico de la cuenta TeamViewer correspondiente.
- La entrada TXT tiene que ser visible en público. Puedes comprobarlo utilizando una herramienta de búsqueda de DNS TXT.
Este artículo se aplica a l@s clientes de TeamViewer con una licencia Enterprise/Tensor.
Requisitos
Para utilizar el Inicio de sesión único de TeamViewer, necesitas
- TeamViewer versión 13.2.1080 o posterior
- un proveedor de identidad (IdP)* compatible con SAML 2.0
- una cuenta TeamViewer para acceder a Management Console y añadir dominios
- acceso a la gestión DNS de su dominio para verificar la titularidad del mismo
- una licencia TeamViewer Tensor.
1. Crea tu identificador personalizado
Este identificador personalizado no se almacena en TeamViewer, sino que se utiliza para la configuración inicial de SSO. No debe cambiarse en ningún momento ya que esto romperá el Inicio de sesión único y será necesaria una nueva configuración.
Se puede utilizar cualquier cadena aleatoria como identificador de cliente. Se recomienda no utilizar caracteres especiales en el identificador personalizado.
📌 Notas:
- Puedes utilizar, por ejemplo, un generador de contraseñas en línea o tu generador de contraseñas interno, si tu empresa dispone de uno.
- Esta cadena es necesaria posteriormente para la configuración del IdP.
2. Configuración del proveedor de identidades Microsoft Entra ID
Para conectar TeamViewer con Microsoft Entra ID como proveedor de identidad, es necesario crear una aplicación para su Microsoft Entra ID. A continuación se describen los pasos para crear y configurar una aplicación empresarial:
1) Abre un navegador e inicie sesión en "portal.azure.com" con una cuenta que tenga permisos de administrador global.
2) Verás una pantalla de inicio. Selecciona allí el servicio Azure "Azure Active Directory".
3) Una vez que hayas seleccionado el servicio Azure Active Directory de Azure, verás una descripción general, selecciona en el lado izquierdo, en la sección Gestionar, la opción Aplicaciones empresariales.
4) Ahora se abrirá la vista general con todas las aplicaciones de empresa que tiene en Azure AD.
5) Haz clic en Todas las aplicaciones (1) seguido de
6) Haz clic en Nueva solicitud (2)
7) En la siguiente ventana, haga clic en Crear su propia aplicación.
8) Ahora puedes crear tu propia aplicación:
(1) Introduce un nombre para su solicitud.
(2) Selecciona Integrar cualquier otra aplicación que no encuentre en la galería (No galería).
(3) 📌Nota: Por favor, no selecciones la sugerencia TeamViewer App de Azure.
(4) Haz clic en Crear.
9) Después de crear la aplicación, verás el resumen de esta aplicación.
10) Haz clic en la sección Gestionar, en la opción Inicio de sesión único y selecciona el método SAML.
11) Ahora puedes editar la configuración SAML.
(1) Introduce el ID de la entidad ➜ https://sso.teamviewer.com/saml/metadata
(2) 📌 Nota: Eliminar la URL predefinida de Microsoft.
(3) Introduce la URL de respuesta ➜ https://sso.teamviewer.com/saml/acs
(4) Haz clic en Guardar
12) Después de guardar el primer paso, se te preguntará si deseas probar el Inicio de sesión único. Haz clic en No, probaré más tarde
13) En la siguiente sección, debes editar los Atributos y Reclamaciones
14) Haz clic en Añadir nueva reclamación para añadir una nueva reclamación
(1) Introduce como Nombre el valor customeridentifier
(2) Para el espacio de nombres , el valor http://sso.teamviewer.com/saml/claims
(3) En el atributo Fuente introduce el identificador personalizado que has creado al principio
(4) Haz clic en Guardar
15) Verás la nueva solicitud añadida en la vista general.
16) En el siguiente paso, descarga el archivo XML de metadatos o copia la URL de metadatos.
(1) Necesitas uno de ellos para los siguientes pasos en la Management Console de TeamViewer.
17) Antes de finalizar la configuración en la Management Console de TeamViewer, añade grupos/usuarios a la aplicación.
📌 Nota: Esto es necesario para que los usuarios puedan iniciar sesión correctamente en sus Cuentas TeamViewer y los Grupos / Usuarios se utilizarán para la Sincronización AD SCIM más tarde.
(1) Haz clic en la Aplicación sobre Usuarios y grupos
(2) Haz clic en Añadir usuario/grupo
3. Configuración de TeamViewer
1) Abre un navegador web e inicie sesión con su cuenta autorizada de TeamViewer en la aplicación web en https://web.teamviewer.com/.
📌 Nota: Los permisos de usuario de la cuenta TeamViewer deben ser de Administrador de la empresa.
(1) Haz clic en Admin settings
(2) Haz clic en Inicio de sesión único
(3) Haz clic en Añadir dominio
2) En la siguiente ventana, puedes introducir el dominio que deseas utilizar para el Inicio de sesión único.
📌 Nota: Repite este paso si deseas utilizar varios dominios para el Inicio de sesión de TeamViewer. Utiliza el mismo Archivo XML o URL XML para los diferentes Dominios. El único requisito aquí es que los dominios estén vinculados al mismo Microsoft Entra ID Tenant.
(1) Introduce tu dominio
(2) Selecciona el tipo de configuración
(3) Carga el archivo XML de metadatos
(4) Activa opciones adicionales
📌 Nota para subdominios: Esta característica permite no sólo incluir el dominio (ejemplo.com) para el Inicio de sesión SSO, sino también todos los subdominios (como sub.ejemplo.com)
📌 Nota para activar correos electrónicos de activación: Las cuentas SSO que se crean bajo este dominio recibirán o no correos electrónicos de activación dependiendo de esta opción. Las cuentas recién creadas recibirán correos electrónicos de activación si esta opción está activada.
(5) Haz clic en Continuar.
3) En la siguiente sección, puedes añadir cuentas a la lista de exclusión de Inicio de sesión único. Si no tienes nada que añadir, haz clic en Añadir dominio.
🚨Nota importante: Es muy recomendable añadir a todos los propietarios de dominio a la lista de exclusión para que puedan seguir iniciando sesión si SSO necesita una nueva configuración. Las pruebas del Inicio de sesión SSO deben ejecutarse con una segunda cuenta.
📌 Nota para las exclusiones de correo electrónico: Puedes especificar direcciones de correo electrónico que se excluirán de la conexión con el proveedor de identidad. Estas cuentas pueden iniciar sesión en TeamViewer como de costumbre sin autenticación del proveedor de identidad. Se recomienda excluir al propietario de un dominio como recurso alternativo, en caso de que la configuración no sea correcta o el proveedor de identidad no esté disponible.
4) Este paso (Identificador personalizado de Inicio de sesión único) puede omitirse haciendo clic en Continuar , puesto que ya has creado el Identificador personalizado al principio.
4. Verificación del dominio
📌 Nota 1: Verás en esta Pantalla la Información para la Gestión de tu Servidor DNS. Necesita la información del campo Nombre / Host y la información del campo Valor / Datos
📌 Nota 2: Copiar desde el campo Valor / Datos, necesitas esta información más adelante.
1) En la ventana de verificación del dominio, haz lo siguiente
(1) Puedes hacer clic en Iniciar verificación
(2.) Puedes hacer clic en Omitir
📌 Notas:
- Si sigues esta guía de principio a fin, haz clic en Saltar en esta ventana
- Puedes volver a la página de verificación en cualquier momento y ver los valores cuando el dominio no está verificado
2) Vuelve a la aplicación web en https://web.teamviewer.com/.
📌 Nota: Los permisos de usuario de la cuenta TeamViewer deben ser "Administrador de la empresa"
(1) Haz clic en Admin settings
(2) Haz clic en Inicio de sesión único
(3) Haz clic en el icono de los tres puntos (⋮) para editar el dominio
(4) Haz clic en Editar
3) Haz clic en Verificación de dominio
4) Haz clic en Copiar para el valor
5) Haz clic en Iniciar verificación una vez completados los pasos en Administración del servidor DNS
📌 Notas:
- La entrada TXT tiene que ser visible en público. Puedes comprobarlo utilizando una herramienta de búsqueda de DNS TXT. Google te ayudará en este caso.
- TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la verificación. En caso de no encontrar el registro TXT en 24 horas, la verificación fallará y el estado se actualizará en consecuencia. En este caso, deberás reiniciar la verificación a través de este cuadro de diálogo.
📌 Nota: A continuación se muestra la Gestión del Servidor DNS para un Dominio, que es gestionado por Cloudflare. La gestión de su servidor DNS puede ser diferente.
Una vez que haya iniciado sesión en Cloudflare Dashboard, seleccione el dominio.
(1) Haz clic en DNS y en Añadir registro
(2) Seleccionar como Tipo ➜ TXT
(3) Introduce para el Nombre ➜ @.
(4) Introduce para Contenido ➜ El Valor de Verificación SSO TeamViewer del Paso anterior.
(5) Haz clic en Guardar
Configuración del client de TeamViewer
TeamViewer es compatible con Inicio de sesión único a partir de la versión 13.2.1080.
Las versiones anteriores no soportan Inicio de sesión único y no pueden redirigir a los usuarios a tu proveedor de identidad durante el Inicio de sesión único. La configuración del client es opcional, pero permite cambiar el navegador utilizado para el Inicio de sesión único SSO del IdP.
El client de TeamViewer utilizará por defecto un navegador integrado para la autenticación del proveedor de identidad. Si prefieres utilizar el navegador predeterminado del sistema operativo, puedes cambiar este comportamiento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌Nota: Es necesario reiniciar el client de TeamViewer después de crear o modificar el registro.