Base de Conocimiento

Back to support overview

TeamViewer El objetivo del inicio de sesión único (SSO) es reducir los esfuerzos de gestión de usuarios de las grandes empresas conectando TeamViewer con los proveedores de identidad y los directorios de usuarios.

Este artículo se aplica a l@s clientes de TeamViewer con una licencia Enterprise/Tensor .

Requisitos

Para utilizar TeamViewer Inicio de sesión único, necesitas

  • TeamViewer versión 13.2.1080 o posterior
  • un proveedor de identidad (IdP)* compatible con SAML 2.0
  • una cuenta TeamViewer para acceder a Management Console y añadir dominios
  • acceso a la gestión DNS de su dominio para verificar la titularidad del mismo
  • una licencia TeamViewer Tensor .

TeamViewer configuración

El inicio de sesión único (SSO) se activa a nivel de dominio para todas las cuentas de TeamViewer que utilicen una dirección de correo electrónico con este dominio. Una vez activado, todos los usuarios que inician sesión en una cuenta de TeamViewer correspondiente son redirigidos al proveedor de identidad que se ha configurado para el dominio.

Por razones de seguridad y para evitar abusos, es necesario verificar la propiedad del dominio antes de activar la función.

Añadir un nuevo dominio

Para activar el SSO, inicia sesión en Management Console, selecciona Administración de la empresa y, a continuación, la entrada de menú Inicio de sesión único. Haz clic en Añadir dominio e introduzca el dominio para el que deseas activar el SSO.

También debes proporcionar los metadatos de tu proveedor de identidad. Hay tres opciones disponibles para hacerlo:

  • mediante URL: introduce la URL de metadatos de su IdP en el campo correspondiente
  • vía XML: selecciona y carga sus metadatos XML
  • Configuración manual: introduce manualmente toda la información necesaria. Ten en cuenta que la clave pública debe ser una cadena codificada en Base64.

Una vez hecho esto, haz clic en Continuar.

Ahora, selecciona las direcciones de correo electrónico o los grupos de usuarios que deseas excluir del SSO y haz clic en Añadir dominio.

Crear identificador personalizado

Una vez añadido el dominio, se puede generar el identificador personalizado. Este identificador personalizado no se almacena en TeamViewer, sino que se utiliza para la configuración inicial de SSO. No debe ser cambiado en ningún momento ya que esto romperá el Inicio de sesión único, y será necesaria una nueva configuración. Como identificador de cliente se puede utilizar cualquier cadena aleatoria. Esta cadena será requerida posteriormente para la configuración del IDP. Para generar el identificador personalizado, haz clic en Generar.

Verificar la propiedad del dominio

Una vez añadido correctamente un dominio, debes verificar la propiedad del mismo.

El inicio de sesión único no se activará antes de que se complete la verificación del dominio.

Para verificar el dominio, crea un nuevo registro TXT para tu dominio con los valores que se muestran en la página de verificación.

📌Nota: El proceso de verificación puede tardar varias horas debido al sistema DNS.

📌Nota: Dependiendo de tu sistema de gestión de dominios, la descripción de los campos de entrada puede variar.

Tras crear el nuevo registro TXT, inicia el proceso de verificación pulsando el botón Iniciar verificación.

📌Ten en cuenta que el proceso de verificación puede tardar varias horas debido al sistema DNS.

💡Sugerencia: TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la verificación. Si no podemos encontrar el registro TXT en 24 horas, la verificación falla y el estado se actualiza en consecuencia. En este caso, deberás reiniciar la verificación a través de este cuadro de diálogo.

Configuración del proveedor de identidades con Okta

Esta sección describe cómo configurar Okta para ser utilizado como IdP para el servicio TeamViewer SSO.

💡Consejo: Tienes que asignar usuarios a la aplicación en Okta, dependiendo de tu configuración.

Encuentre la documentación de Okta aquí.

Configuración automática mediante la aplicación TeamViewer Okta

1) Accede a su panel de administrador de Okta

2) Añade la aplicación TeamViewer

3) Selecciona SAML 2.0

  • Copia y guarda tu URL de metadatos

4) Asigna usuarios a la aplicación

5) Activa SAML utilizando tus metadatos en la Gestión de dominios en MCO.

Configuración manual mediante la interfaz de usuario web de Okta

Vete a la interfaz de administración y añade una nueva aplicación SAML. Especifica los siguientes valores en la página Configuración de SAML:

Settings  Value

Single Sign On URL

https://sso.teamviewer.com/saml/acs

Use this for Recipient URL and Destination URL
Allow this app to request other SSO URLs

Audience URI (SP Entity ID)

Default RelayState

-

Name ID Format

EmailAddress

Application username
Email

 

Para copiar/pegar:

URL de inicio de sesión único: https://sso.teamviewer.com/saml/acs

URI de audiencia (ID de entidad SP): https://sso.teamviewer.com/saml/metadata

Nombre Formato ID: Dirección de correo electrónico

Nombre de usuario de la solicitud: Correo electrónico

Advanced settings Value

Response

Signed

Assertion Signature

Signed

Signature Algorithm

RSA-SHA256

Digest Algorithm

SHA256

Assertion Encryption

Encrypted

Encryption Algorithm

AES256-CBC

Key Transport Algorithm

RSA-OAEP

Encryption Certificate

Upload the public key of the TeamViewer SAML Service Provider.
Please refer to Technical Information for information how to get the certificate.

Enable Single Logout

No

Añade las siguientes declaraciones de atributo (Formato de nombre - No especificado):

📌Por favor, ten en cuenta: El "Identificador de cliente" que se ha establecido inicialmente no debe cambiar, de lo contrario SSO se romperá. TeamViewer no almacena este valor.

-Mapeo más complejo-

📌Por favor, ten en cuenta: El valor de la expresión del atributo emailaddress puede incluir reglas de mapeo más complejas. Por ello, Okta pone a tu disposición un lenguaje de expresión Puedes consultar la documentación oficial al respecto aquí: https://developer.okta.com/reference/okta_expression_language/index

La empresa A ha reservado dos dominios de direcciones de correo electrónico para sus usuarios: @a1. test y @a2.test. Los usuarios de Okta tienen el dominio @a1. test asociado a su cuenta.

TeamViewer SSO debe estar habilitado sólo para las direcciones de correo electrónico @a2.test.

El valor de la sentencia emailaddress podría tener el siguiente aspecto:

String.append(String.substringBefore(user.email, "@"), "@a2.test")

Esto hace que la respuesta SAML incluya la dirección de correo electrónico correcta.

Configuración del client de TeamViewer

TeamViewer es compatible con Inicio de sesión único a partir de la versión 13.2.1080.

Las versiones anteriores no soportan Inicio de sesión único y no pueden redirigir a los usuarios a tu proveedor de identidad durante el inicio de sesión. La configuración del client es opcional, pero permite cambiar el navegador utilizado para el inicio de sesión SSO del IdP.

El client de TeamViewer utilizará por defecto un navegador integrado para la autenticación del proveedor de identidad. Si prefieres utilizar el navegador predeterminado del sistema operativo, puedes cambiar este comportamiento:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌Nota: Es necesario reiniciar el client de TeamViewer después de crear o modificar el registro.