Le Single Sign-On (SSO ou authentification unique) de TeamViewer Tensor (Classic) permet au service informatique de mieux contrôler le paramétrage des comptes utilisateurs d'entreprise pour l'accès et l'assistance à distance de TeamViewer Tensor (Classic).

En limitant l'accès aux utilisateurs disposant uniquement d'une adresse e-mail d'entreprise, TeamViewer Tensor (Classic) avec SSO vous permet d'empêcher des utilisateurs non autorisés d'utiliser la plate-forme d'accès à distance de votre entreprise.

  • Centralisez le contrôle des mots de passe par l'intermédiaire de votre fournisseur de services d'identité SSO, de sorte que le service informatique n'ait pas à gérer les mots de passe, ce qui réduit les demandes de réinitialisation de mot de passe.
  • Appliquez automatiquement les stratégies de mot de passe et les règles d'authentification d'identité de l'entreprise à chaque utilisateur autorisé de TeamViewer Tensor (Classic).
  • Mettez fin à la collaboration des employés de manière efficace, sans s'inquiéter d'un accès non autorisé par une "porte dérobée" via TeamViewer.
  • Améliorez l'expérience de l'utilisateur final en permettant aux employés de se connecter à TeamViewer Tensor (Classic) avec les mêmes identifiants de connexion SSO qu'ils utilisent déjà pour vos applications d'entreprise : pas de connexion TeamViewer Tensor (Classic) séparée avec un autre mot de passe à retenir.

Cet article s'applique aux clients de TeamViewer possédant une licence Tensor.

Prérequis

Pour utiliser l'authentification unique de TeamViewer, vous devez disposer de :

  • une version de TeamViewer 13.2.1080 ou ultérieure
  • un fournisseur d'identité (IdP) compatible SAML 2.0*
  • un compte TeamViewer pour accéder à la Management Console et ajouter des domaines
  • l'accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
  • une licence TeamViewer Tensor (Classic)

*Actuellement, nous ne soutenons que Centrify, Okta, Azure, OneLogin, ADFS et G Suite, mais nous travaillons à soutenir davantage d'IdP à l'avenir. Les IdP ci-dessus ont été testés et les étapes détaillées pour mettre en place un de ces IdP peuvent être trouvées dans ce document et sur d'autres pages liées à la SSO et aux IdP respectifs.

📌 Note : Si vous utilisez un autre IdP, veuillez utiliser les informations techniques pour configurer votre IdP manuellement.

💡 Astuce : Lorsque vous ajoutez un domaine pour l'authentification unique, il est recommandé d'ajouter le compte propriétaire à la liste d'exclusion. La raison en est un scénario de repli selon lequel vous conservez l'accès à la configuration du domaine même si l'IdP ne fonctionne pas.

Exemple : Le compte TeamViewer "[email protected]" ajoute le domaine "exemple.com" pour l'identification unique. Après avoir ajouté le domaine, l'adresse électronique "[email protected]" doit être ajoutée à la liste d'exclusion. Cela est nécessaire pour apporter des modifications à la configuration du SSO, même lorsque l'identification unique ne fonctionne pas en raison d'une mauvaise configuration.

💡 Astuce 2 : Lors de l'ajout d'un domaine pour l'authentification unique, il est recommandé d'ajouter des propriétaires supplémentaires au domaine du SSO, puisque la propriété du SSO n'est pas héritée au sein de votre entreprise.

Exemple : Après que le compte TeamViewer "[email protected]" ait ajouté le domaine "exemple.com" pour l'authentification unique, il ajoute plusieurs administrateurs de l'entreprise (ex. "[email protected]") comme propriétaires du domaine, afin qu'ils puissent également gérer le domaine et ses paramètres SSO.

L'authentification unique (SSO) est activée au niveau du domaine pour tous les comptes TeamViewer utilisant une adresse électronique avec ce domaine. Une fois activé, tous les utilisateurs qui se connectent à un compte TeamViewer correspondant sont redirigés vers le fournisseur d'identité qui a été configuré pour le domaine.

Pour des raisons de sécurité et pour éviter les abus, il est nécessaire de vérifier la propriété du domaine avant d'activer la fonction.

Ajouter un nouveau domaine

Pour activer le SSO, connectez-vous à la Management Console et sélectionnez l'onglet Administration de société dans le menu de gauche puis Authentification unique. Cliquez sur Ajouter un domaine et saisissez le domaine pour lequel vous souhaitez activer l'authentification unique.

Vous devez également fournir les métadonnées de votre fournisseur d'identité. Trois options sont disponibles pour ce faire :

  • via l'URL : entrez l'URL de vos métadonnées IdP dans le champ correspondant
  • via XML : sélectionnez et téléchargez vos métadonnées XML
  • Configuration manuelle : saisissez manuellement toutes les informations nécessaires. Veuillez noter que la clé publique doit être une chaîne codée en Base64.

Créer un identifiant personnalisé

Après l'ajout du domaine, l'identifiant personnalisé peut être généré. Cet identifiant personnalisé n'est pas stocké par TeamViewer, mais est utilisé pour la configuration initiale du SSO. Il ne doit être modifié à aucun moment, car cela briserait l'authentification unique et une nouvelle configuration serait nécessaire. Toute chaîne aléatoire peut être utilisée comme identifiant du client. Cette chaîne est ensuite requise pour la configuration de l'IdP.

 

Vérifier la propriété du domaine

Une fois qu'un domaine a été ajouté avec succès, vous devez vérifier la propriété du domaine. L'authentification unique ne sera pas activée avant que la vérification du domaine ne soit terminée.

Pour vérifier le domaine, veuillez créer un nouvel enregistrement TXT pour votre domaine avec les valeurs indiquées sur la page de vérification.

📌Note : Le processus de vérification peut prendre plusieurs heures en raison du système DNS.

La fenêtre permettant d'ajouter un enregistrement TXT peut ressembler à celui-ci :

📌 Note : La description des champs de saisie peut varier en fonction de votre système de gestion des domaines.

Après avoir créé le nouvel enregistrement TXT, lancez le processus de vérification en cliquant sur le bouton "Démarrer la vérification".

💡 Astuce : TeamViewer recherchera l'enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne trouvons pas l'enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez relancer la vérification par le biais de cette boîte de dialogue.

Configuration du client TeamViewer

TeamViewer est compatible avec l'authentification unique depuis la version 13.2.1080.

Les versions précédentes ne supportent pas l'authentification unique et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion. La configuration du client est optionnelle, mais permet de changer le navigateur utilisé pour la connexion au SSO de l'IdP.

Le client TeamViewer utilisera par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement via la clé de registre suivante :

  • Windows :
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
  • macOS :
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌 Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.

Informations techniques

Cette section énumère les détails techniques du fournisseur de services TeamViewer SAML (SP). Ces données peuvent être utiles pour ajouter d'autres IdP que ceux décrits ci-dessus.

SAML Service Provider Metadata:

SP Metadata URL

Entity ID

Audience

Assertion Customer Service URL

Assertion Consumer Service URL

Assertion Consumer Service Bindings

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec

SAML Request Signature Algorithm

http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
TeamViewer supports SHA-256 as signature algorithm. We require the SAML assertion to be signed, while signing the SAML response is optional but recommended.

NameID

Unspecified

Demandes de réponse SAML requises :

Celui-ci doit être mis en correspondance avec un identifiant unique d'utilisateur dans le cadre de l'IdP (et donc dans le cadre de l'entreprise correspondante).

Il peut s'agir, par exemple, de l'objet Active Directory GUID pour ADFS ou de l'adresse électronique pour Okta

Cet attribut doit être associé à l'adresse électronique de l'utilisateur qui veut se connecter. L'adresse électronique doit être la même que celle configurée pour le compte TeamViewer. Le mappage et la comparaison se font en tenant compte des majuscules/minuscules.

Cet attribut doit renvoyer un identifiant spécifique au client.

TeamViewer a besoin d'un identifiant client comme demande personnalisée dans la réponse SAML pour la configuration initiale des comptes à signature unique.

L'identificateur de client n'est pas stocké par TeamViewer. Le modifier par la suite brisera le Single Sign-On et une nouvelle configuration sera nécessaire.

Toute chaîne aléatoire peut être utilisée comme identifiant du client.

Signature et certificat de cryptage (clé publique)

La clé publique du certificat qui est utilisée pour signer les demandes SAML et pour le cryptage des réponses SAML peut être obtenue en exécutant la commande PowerShell suivante :

"-----BEGIN PUBLIC KEY-----`n" + `
((Select-Xml `
-Contenu ((Invoke-WebRequest `
https://sso.teamviewer.com/saml/metadata.xml).Content) `
-xpath "//*[nom-local()='X509Certificat']").Node[0]. '#text') + `
"`n-----END PUBLIC KEY-----" `
| Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encodage ascii

La commande télécharge les métadonnées, extrait la clé publique et l'écrit dans un fichier.