+1 416 874 3116
+1 416 874 3116

Base de connaissance

Back to support overview

TeamViewer Single Sign-On (SSO) vise à réduire les efforts de gestion des utilisateurs pour les grandes entreprises en connectant TeamViewer avec les fournisseurs d'identité et les annuaires d'utilisateurs.

📌 Notes :

  • Le Single Sign-On de TeamViewer est basé sur le domaine que vous avez configuré. Cela signifie que tous les comptes TeamViewer qui existent dans votre entreprise ou en dehors de votre entreprise seront transmis au fournisseur d'identité.
  • L'email de l'utilisateur Microsoft Entra ID (anciennement Azure AD) doit correspondre à l'adresse électronique du compte TeamViewer correspondant.
  • L'entrée TXT doit être visible en public. Vous pouvez le vérifier en utilisant un DNS TXT Lookup Tool (Outil de recherche DNS TXT).

Cet article s'applique aux clients de TeamViewer disposant d'une licence Tensor.

Prérequis

Pour utiliser TeamViewer Single Sign-On, vous avez besoin de

  • une version 13.2.1080 ou plus récente de TeamViewer
  • un fournisseur d'identité (IdP) compatible SAML 2.0*
  • un compte TeamViewer pour accéder au site Management Console et ajouter des domaines
  • accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
  • une licence TeamViewer Tensor (Classic) .

1. Créez votre identifiant personnalisé

Cet identifiant personnalisé n'est pas stocké par TeamViewer mais est utilisé pour la configuration initiale du SSO. Il ne doit être modifié à aucun moment, car cela interromprait l'authentification unique et une nouvelle configuration serait nécessaire.

Toute chaîne aléatoire peut être utilisée comme identifiant client. Il est recommandé de ne pas utiliser de caractères spéciaux dans l'identifiant personnalisé.

📌 Notes :

  • Vous pouvez utiliser par exemple un générateur de mots de passe en ligne ou votre générateur de mots de passe interne si votre entreprise en possède un.
  • Cette chaîne est requise ultérieurement pour la configuration de l'IdP.

2. Configuration du fournisseur d'identité Microsoft Entra ID

Pour connecter TeamViewer avec Microsoft Entra ID comme fournisseur d'identité, il est nécessaire de créer une application pour votre Microsoft Entra ID. Les étapes de création et de configuration d'une application d'entreprise sont décrites ci-dessous :

1. Ouvrez un navigateur et connectez-vous à "portal.azure.com" avec un compte ayant des droits de Global Admin.

2. Vous verrez un écran d'accueil. Sélectionnez-y le service Azure "Azure Active Directory".

3. Après avoir sélectionné le service Azure de l'Azure Active Directory, vous verrez un aperçu, veuillez sélectionner sur le côté gauche sous la section Gérer l'option Enterprise applications.

4. Maintenant, l'aperçu de toutes les applications d'entreprise que vous avez dans votre Azure AD s'ouvrira.

5. Cliquez sur All application (1) puis sur

6. Cliquez sur New Application (2).

7. Dans la fenêtre suivante, veuillez cliquer sur Create your own application.

8. Vous pouvez maintenant créer votre propre application :

a. Entrez un nom pour votre application.

b. Sélectionnez Integrate any other application you don't find in the gallery (Non-gallery).

c. 📌 Note : Veuillez ne pas sélectionner l'application TeamViewer suggérée par Azure.

d. Cliquez sur Create.

9. Après avoir créé l'application, vous verrez l'aperçu de cette application.

10. Cliquez sous Manage Section l'option Single sign-on et sélectionnez la méthode SAML.

11. Vous pouvez maintenant modifier la configuration SAML.

a. Entrez le Entity IDhttps://sso.teamviewer.com/saml/metadata

b. 📌 Note : Supprimez le Predefined URL de Microsoft.

c. Entrez le Reply URLhttps://sso.teamviewer.com/saml/acs

d. Cliquez sur Save.

12. Après avoir enregistré la première étape, on vous demande si vous voulez tester l'authentification unique. Cliquez sur No, I'll test later.

13. Dans la section suivante, vous devez modifier les Attributes & Claims.

14. Cliquez sur Add new claim pour ajouter une nouvelle demande.

a. Entrez comme Nom la valeur customeridentifier.

b. Pour le Namespace, la valeur http://sso.teamviewer.com/saml/claims

c. Dans le Source attribute, entrez l'identifiant personnalisé que vous avez créé au début.

d. Cliquez sur Save.

15. Vous verrez la nouvelle demande ajoutée dans la vue d'ensemble.

16. À l'étape suivante, vous téléchargez le Metadata XML File ou copiez le Metadata URL.

a. Vous avez besoin de l'un d'entre eux pour les étapes suivantes du site TeamViewer Management Console.

b. Avant de terminer la configuration de TeamViewer Management Console, veuillez ajouter des groupes / utilisateurs à l'application.

📌 Note : cette opération est nécessaire pour que les utilisateurs puissent se connecter à leur compte TeamViewer et que les groupes/utilisateurs soient utilisés ultérieurement pour la synchronisation AD SCIM.

a. Cliquez dans l'application sur Users and groups.

b. Cliquez sur Add user/group.

3. Configuration de TeamViewer Management Console (MCO)

1. Ouvrez un navigateur Web et connectez-vous avec votre compte TeamViewer sous licence à l'adresse TeamViewer Management Console.

📌 Note : Les droits d'utilisation du compte TeamViewer doivent être ceux d'un administrateur de société.

a. Cliquez sur Administration de société.

b. Cliquez sur Single Sign-On.

c. Cliquez sur Ajouter le premier domaine.

2. Dans la fenêtre suivante, vous pouvez saisir le domaine que vous souhaitez utiliser pour l'authentification unique.

📌 Note : Répétez cette étape si vous souhaitez utiliser plusieurs domaines pour TeamViewer Single Sign-On. Utilisez le même fichier XML ou la même URL XML pour les différents domaines. La seule exigence ici, les domaines sont liés au même locataire Microsoft Entra ID.

a. Entrez votre domaine.

b. Sélectionnez le type de configuration.

c. Uploadez le Metadata XML File.

d. Activer des Options supplémentaires.

📌 Note pour les sous-domaines : Cette fonction permet non seulement d'inclure le domaine (exemple.com) pour la connexion SSO, mais aussi tous les sous-domaines (tels que sub.exemple.com).

📌 Note concernant l'option Désactiver les e-mails d'activation : Les comptes SSO qui sont créés sous ce domaine recevront ou non des courriels d'activation en fonction de cette option. Les comptes nouvellement créés ne recevront pas d'e-mails d'activation si cette option est activée.

e. Cliquez sur Next.

3. Dans la section suivante, vous pouvez ajouter des comptes à la liste d'exclusion de l'authentification unique. Si vous n'avez rien à ajouter, cliquez sur Next.

🚨Note importante : il est fortement recommandé d'ajouter tous les propriétaires de domaine à la liste d'exclusion afin qu'ils puissent toujours se connecter si le SSO nécessite une nouvelle configuration. Les tests de la connexion SSO doivent être exécutés avec un deuxième compte.

📌 Note sur les exclusions d'e-mails : Vous pouvez spécifier les adresses électroniques qui seront exclues de la connexion du fournisseur d'identité. Ces comptes peuvent se connecter à TeamViewer comme d'habitude sans authentification du fournisseur d'identité. Il est recommandé d'exclure le propriétaire d'un domaine comme solution de repli, au cas où la configuration n'est pas correcte ou que le fournisseur d'identité n'est pas disponible.

4. Cette étape (Identifiant personnalisé de l'authentification unique) peut être sautée en cliquant sur Suivant car vous avez déjà créé l'identifiant personnalisé au début.

4. Vérification du domaine

📌 Notes :

  • Vous verrez sur cet écran les informations pour la gestion de votre serveur DNS. Vous avez besoin des informations du champ Nom / Host et des informations du champ Value / Data.
  • Copiez depuis le champ Value / Data, vous aurez besoin de cette information plus tard.

1. Dans la fenêtre de vérification du domaine, procédez comme suit

a. Vous pouvez cliquer sur Start Verification.

b. Vous pouvez cliquer sur Skip.

📌 Notes :

  • Si vous suivez ce guide du début à la fin, vous cliquez sur Skip dans cette fenêtre.
  • Vous pouvez revenir à la page de vérification à tout moment et voir les valeurs lorsque le domaine n'est pas vérifié.

2. Retournez sur TeamViewer Management Console.

📌 Note : Les autorisations de l'utilisateur du compte TeamViewer doivent être "Administrateur de la société".

a. Cliquez sur Administration de la société.

b. Cliquez sur Single Sign-On.

c. Cliquez sur le crayon pour modifier le domaine.

3. Cliquez sur Domain Verification.

4. Cliquez sur Copier pour la valeur.

5. Cliquez sur Démarrer la vérification après avoir effectué les étapes de votre gestion du serveur DNS.

📌 Notes :

  • L'entrée TXT doit être visible en public. Vous pouvez le vérifier en utilisant un outil de recherche DNS TXT. Google vous aidera dans ce cas.
  • TeamViewer recherche l'enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne trouvons pas l'enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez relancer la vérification via cette boîte de dialogue.

📌 Note : ce qui suit montre la gestion du serveur DNS pour un domaine qui est géré par Cloudflare. Votre gestion de serveur DNS peut être différente !

Après vous être connecté au tableau de bord Cloudflare, sélectionnez le domaine.

a. Cliquez sur DNS et cliquez sur Add record.

b. Sélectionnez comme TypeTXT.

c. Entrez pour le Nom@.

d. Entrez pour le Content ➜ La valeur de vérification du SSO de TeamViewer de l'étape ci-dessus.

e. Cliquez sur Save.

Configuration du client TeamViewer (facultatif)

TeamViewer est compatible avec l'authentification unique à partir de la version 13.2.1080. Les versions précédentes ne supportent pas le Single Sign-On et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion. La configuration du client est optionnelle mais permet de changer le navigateur utilisé pour le login SSO de l'IdP.

Le client TeamViewer utilisera par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement via la clé de registre suivante :

  • Windows :
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
  • macOS :
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌 Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.