Le Single Sign-On (SSO ou authentification unique) de TeamViewer vise à réduire les efforts de gestion des utilisateurs pour les grandes entreprises en connectant TeamViewer aux fournisseurs d'identité et aux répertoires d'utilisateurs.
Cet article s'applique aux clients TeamViewer possédant une licence Enterprise/Tensor.
Prérequis
Pour utiliser l'authentification unique de TeamViewer, vous devez disposer de :
- une version de TeamViewer 13.2.1080 (ou ultérieure)
- un fournisseur d'identité (IdP) compatible SAML 2.0*
- un compte TeamViewer pour accéder à la Management Console et ajouter des domaines
- l'accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
- une licence TeamViewer Tensor.
Configuration TeamViewer
L'authentification unique (SSO) est activée au niveau du domaine pour tous les comptes TeamViewer utilisant une adresse email avec ce domaine. Une fois activé, tous les utilisateurs qui se connectent à un compte TeamViewer correspondant sont redirigés vers le fournisseur d'identité qui a été configuré pour le domaine.
Pour des raisons de sécurité et pour éviter les abus, il est nécessaire de vérifier la propriété du domaine avant d'activer la fonction.
Ajouter un nouveau domaine
Pour activer le SSO, identifiez-vous sur TeamViewer et sélectionnez le menu Authentification Unique. Cliquez sur Ajouter un premier domaine puis saisissez le domaine pour lequel vous souhaitez activer l'authentification unique.
Vous devez également fournir les métadonnées de votre fournisseur d'identité. Trois options sont disponibles pour ce faire :
- via l'URL : Saisissez l'URL des métadonnées de votre fournisseur d'identité dans le champ correspondant.
- via XML : Sélectionnez et importez vos métadonnées XML.
- Configuration manuelle : Saisissez manuellement toutes les informations nécessaires. Veuillez noter que la clé publique doit être une chaîne codée en Base64.
Créer un identifiant personnalisé
Après l'ajout du domaine, l'identifiant personnalisé peut être généré. Cet identifiant personnalisé n'est pas stocké par TeamViewer, mais est utilisé pour la configuration initiale du SSO. Il ne doit être modifié à aucun moment, car cela briserait l'authentification unique et une nouvelle configuration serait nécessaire. Toute chaîne aléatoire peut être utilisée comme identifiant du client. Cette chaîne est ensuite requise pour la configuration du fournisseur d'identité.
Vérifier la propriété du domaine
Une fois qu'un domaine a été ajouté avec succès, vous devez vérifier la propriété du domaine. L'authentification unique ne sera pas activée avant que la vérification du domaine ne soit terminée.
Pour vérifier le domaine, veuillez créer un nouvel enregistrement TXT pour votre domaine avec les valeurs indiquées sur la page de vérification.
Note : Le processus de vérification peut prendre plusieurs heures en raison du système DNS.
La fenêtre permettant d'ajouter un enregistrement TXT peut ressembler à celui-ci :
Note : La description des champs de saisie peut varier en fonction de votre système de gestion des domaines.
Après avoir créé le nouvel enregistrement TXT, lancez le processus de vérification en cliquant sur le bouton "Démarrer la vérification".
Astuces :
- TeamViewer recherchera l'enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne trouvons pas l'enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez relancer la vérification par le biais de cette boîte de dialogue.
- Lorsque vous ajoutez un domaine pour l'authentification unique, il est recommandé d'ajouter le compte propriétaire à la liste d'exclusion. La raison en est un scénario de repli selon lequel vous conservez l'accès à la configuration du domaine même si l'IdP ne fonctionne pas.
- Exemple : Le compte TeamViewer "[email protected]" ajoute le domaine "example.com" pour l'identification unique. Après avoir ajouté le domaine, l'adresse électronique "[email protected]" doit être ajoutée à la liste d'exclusion. Cela est nécessaire pour apporter des modifications à la configuration du SSO, même lorsque l'identification unique ne fonctionne pas en raison d'une mauvaise configuration.
- Lorsque vous ajoutez un domaine pour l'authentification unique, il est recommandé d'ajouter des propriétaires supplémentaires au domaine du SSO, car la propriété du SSO n'est pas héritée au sein de votre entreprise.
- Exemple : Après que le compte TeamViewer "[email protected]" ait ajouté le domaine "example.com" pour l'authentification unique, il ajoute plusieurs administrateurs de l'entreprise (par exemple "[email protected]") comme propriétaires du domaine, afin qu'ils puissent également gérer le domaine et ses paramètres SSO.
Configuration du fournisseur d'identification avec Google Workspace
1. Ouvrez la console d'administration de Google : https://admin.google.com
2. Créer un attribut utilisateur personnalisé pour contenir le TeamViewer Customer Identifier (identifiant client TeamViewer) :
- Allez dans Directory > Users.
- En haut à droite, cliquez sur le bouton Manage custom attributes.
- Cliquez sur Add Custom Attribute (dans le coin supérieur droit).
- Entrez un nom de catégorie (par exemple "Single Sign-On") et une description, si nécessaire.
- Dans la section des champs personnalisés, saisissez un nom pour le nouvel attribut personnalisé, par exemple TeamViewer Customer Identifier.
- Choisissez Info Type sur Text.
- Choisissez Visibility sur Visible to admin.
- Choisissez No. of values sur Single Value.
- cliquez sur Add.
3. Allez dans Apps > SAML Apps, cliquez sur Add (+) dans le coin inférieur droit.
4. Choisissez Setup My Own Custom App.
5. Cliquez sur Next pour confirmer la fenêtre Google IdP Information. Toutes les informations peuvent de nouveau être consultées ultérieurement.
6. Saisissez un nom pour l'application, par exemple "TeamViewer" (la description et le logo peuvent également être ajoutés).
7. Sur la page "Service Provider Details", saisissez les informations suivantes :
- ACS URL : https://sso.teamviewer.com/saml/acs
- Entity ID : https://sso.teamviewer.com/saml/metadata
- Name ID : "Basic Information" > "Primary Email"
- Name ID Format : "UNSPECIFIED"
8. Dans la section "Attribute Mapping", ajoutez les mappages suivants :
- Attribute Name : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Category : "Basic Information"
- User Attribute : "Primary Email"
- Attribute Name : http://sso.teamviewer.com/saml/claims/customeridentifier
- Category : "Single Sign-On" (créé à l'étape 1)
- User Attribute : "TeamViewer Customer Identifier" (créé à l'étape 1)
Veuillez noter que l'attribut "TeamViewer Customer Identifier" doit être défini pour les utilisateurs qui veulent se connecter à TeamViewer via l'authentification unique.
9. Pour activer l'authentification unique (SSO) pour un utilisateur spécifique, procédez comme suit :
- Sélectionnez l'utilisateur et ouvrez Informations sur l'utilisateur.
- Sous Attributs personnalisés, sélectionnez l'attribut créé à l'étape 2.
- Saisissez l'identifiant client généré lors du processus de configuration du domaine SSO dans TeamViewer.
- Cliquez sur Enregistrer.
Configuration du client TeamViewer
TeamViewer est compatible avec l'authentification unique à partir de la version 13.2.1080.
Les versions précédentes ne supportent pas l'authentification unique et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion. La configuration du client est facultative, mais permet de changer le navigateur utilisé pour la connexion au SSO de l'IdP.
Le client TeamViewer utilisera par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement via la clé de registre suivante :
Windows :
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS :
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.