TeamViewer Single Sign-On (SSO) vise à réduire les efforts de gestion des utilisateurs pour les grandes entreprises en connectant TeamViewer avec les fournisseurs d'identité et les annuaires d'utilisateurs.
📌 Notes :
Cet article s'applique aux clients de TeamViewer disposant d'une licence Tensor.
Pour utiliser TeamViewer Single Sign-On, vous avez besoin de
Cet identifiant personnalisé n'est pas stocké par TeamViewer mais est utilisé pour la configuration initiale du SSO. Il ne doit être modifié à aucun moment, car cela interromprait l'authentification unique et une nouvelle configuration serait nécessaire.
Toute chaîne aléatoire peut être utilisée comme identifiant client. Il est recommandé de ne pas utiliser de caractères spéciaux dans l'identifiant personnalisé.
📌 Notes :
Pour connecter TeamViewer avec Microsoft Entra ID comme fournisseur d'identité, il est nécessaire de créer une application pour votre Microsoft Entra ID. Les étapes de création et de configuration d'une application d'entreprise sont décrites ci-dessous :
1. Ouvrez un navigateur et connectez-vous à "portal.azure.com" avec un compte ayant des droits de Global Admin.
2. Vous verrez un écran d'accueil. Sélectionnez-y le service Azure "Azure Active Directory".
3. Après avoir sélectionné le service Azure de l'Azure Active Directory, vous verrez un aperçu, veuillez sélectionner sur le côté gauche sous la section Gérer l'option Enterprise applications.
4. Maintenant, l'aperçu de toutes les applications d'entreprise que vous avez dans votre Azure AD s'ouvrira.
5. Cliquez sur All application (1) puis sur
6. Cliquez sur New Application (2).
7. Dans la fenêtre suivante, veuillez cliquer sur Create your own application.
8. Vous pouvez maintenant créer votre propre application :
a. Entrez un nom pour votre application.
b. Sélectionnez Integrate any other application you don't find in the gallery (Non-gallery).
c. 📌 Note : Veuillez ne pas sélectionner l'application TeamViewer suggérée par Azure.
d. Cliquez sur Create.
9. Après avoir créé l'application, vous verrez l'aperçu de cette application.
10. Cliquez sous Manage Section l'option Single sign-on et sélectionnez la méthode SAML.
11. Vous pouvez maintenant modifier la configuration SAML.
a. Entrez le Entity ID ➜ https://sso.teamviewer.com/saml/metadata
b. 📌 Note : Supprimez le Predefined URL de Microsoft.
c. Entrez le Reply URL ➜ https://sso.teamviewer.com/saml/acs
d. Cliquez sur Save.
12. Après avoir enregistré la première étape, on vous demande si vous voulez tester l'authentification unique. Cliquez sur No, I'll test later.
13. Dans la section suivante, vous devez modifier les Attributes & Claims.
14. Cliquez sur Add new claim pour ajouter une nouvelle demande.
a. Entrez comme Nom la valeur customeridentifier.
b. Pour le Namespace, la valeur http://sso.teamviewer.com/saml/claims
c. Dans le Source attribute, entrez l'identifiant personnalisé que vous avez créé au début.
d. Cliquez sur Save.
15. Vous verrez la nouvelle demande ajoutée dans la vue d'ensemble.
16. À l'étape suivante, vous téléchargez le Metadata XML File ou copiez le Metadata URL.
a. Vous avez besoin de l'un d'entre eux pour les étapes suivantes du site TeamViewer Management Console.
b. Avant de terminer la configuration de TeamViewer Management Console, veuillez ajouter des groupes / utilisateurs à l'application.
📌 Note : cette opération est nécessaire pour que les utilisateurs puissent se connecter à leur compte TeamViewer et que les groupes/utilisateurs soient utilisés ultérieurement pour la synchronisation AD SCIM.
a. Cliquez dans l'application sur Users and groups.
b. Cliquez sur Add user/group.
1. Ouvrez un navigateur Web et connectez-vous avec votre compte TeamViewer sous licence à l'adresse TeamViewer Management Console.
📌 Note : Les droits d'utilisation du compte TeamViewer doivent être ceux d'un administrateur de société.
a. Cliquez sur Administration de société.
b. Cliquez sur Single Sign-On.
c. Cliquez sur Ajouter le premier domaine.
2. Dans la fenêtre suivante, vous pouvez saisir le domaine que vous souhaitez utiliser pour l'authentification unique.
📌 Note : Répétez cette étape si vous souhaitez utiliser plusieurs domaines pour TeamViewer Single Sign-On. Utilisez le même fichier XML ou la même URL XML pour les différents domaines. La seule exigence ici, les domaines sont liés au même locataire Microsoft Entra ID.
a. Entrez votre domaine.
b. Sélectionnez le type de configuration.
c. Uploadez le Metadata XML File.
d. Activer des Options supplémentaires.
📌 Note pour les sous-domaines : Cette fonction permet non seulement d'inclure le domaine (exemple.com) pour la connexion SSO, mais aussi tous les sous-domaines (tels que sub.exemple.com).
📌 Note concernant l'option Désactiver les e-mails d'activation : Les comptes SSO qui sont créés sous ce domaine recevront ou non des courriels d'activation en fonction de cette option. Les comptes nouvellement créés ne recevront pas d'e-mails d'activation si cette option est activée.
e. Cliquez sur Next.
3. Dans la section suivante, vous pouvez ajouter des comptes à la liste d'exclusion de l'authentification unique. Si vous n'avez rien à ajouter, cliquez sur Next.
🚨Note importante : il est fortement recommandé d'ajouter tous les propriétaires de domaine à la liste d'exclusion afin qu'ils puissent toujours se connecter si le SSO nécessite une nouvelle configuration. Les tests de la connexion SSO doivent être exécutés avec un deuxième compte.
📌 Note sur les exclusions d'e-mails : Vous pouvez spécifier les adresses électroniques qui seront exclues de la connexion du fournisseur d'identité. Ces comptes peuvent se connecter à TeamViewer comme d'habitude sans authentification du fournisseur d'identité. Il est recommandé d'exclure le propriétaire d'un domaine comme solution de repli, au cas où la configuration n'est pas correcte ou que le fournisseur d'identité n'est pas disponible.
4. Cette étape (Identifiant personnalisé de l'authentification unique) peut être sautée en cliquant sur Suivant car vous avez déjà créé l'identifiant personnalisé au début.
📌 Notes :
1. Dans la fenêtre de vérification du domaine, procédez comme suit
a. Vous pouvez cliquer sur Start Verification.
b. Vous pouvez cliquer sur Skip.
📌 Notes :
2. Retournez sur TeamViewer Management Console.
📌 Note : Les autorisations de l'utilisateur du compte TeamViewer doivent être "Administrateur de la société".
a. Cliquez sur Administration de la société.
b. Cliquez sur Single Sign-On.
c. Cliquez sur le crayon pour modifier le domaine.
3. Cliquez sur Domain Verification.
4. Cliquez sur Copier pour la valeur.
5. Cliquez sur Démarrer la vérification après avoir effectué les étapes de votre gestion du serveur DNS.
📌 Notes :
📌 Note : ce qui suit montre la gestion du serveur DNS pour un domaine qui est géré par Cloudflare. Votre gestion de serveur DNS peut être différente !
Après vous être connecté au tableau de bord Cloudflare, sélectionnez le domaine.
a. Cliquez sur DNS et cliquez sur Add record.
b. Sélectionnez comme Type ➜ TXT.
c. Entrez pour le Nom ➜ @.
d. Entrez pour le Content ➜ La valeur de vérification du SSO de TeamViewer de l'étape ci-dessus.
e. Cliquez sur Save.
TeamViewer est compatible avec l'authentification unique à partir de la version 13.2.1080. Les versions précédentes ne supportent pas le Single Sign-On et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion. La configuration du client est optionnelle mais permet de changer le navigateur utilisé pour le login SSO de l'IdP.
Le client TeamViewer utilisera par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement via la clé de registre suivante :
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌 Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.