TeamViewerシングルサインオン(SSO)は、TeamViewerをアイデンティティプロバイダおよびユーザーディレクトリに接続することによって、大企業のユーザー管理作業の効率を上げる事を目的としています。
この記事は、TeamViewer Tensor (Classic)を利用するEnterprise/Tensorライセンスをお持ちのお客様に適用されます。
必要条件
TeamViewerシングルサインオンを使用するには、以下が必要です。
- TeamViewerバージョン 13.2.1080 またはそれ以降
- SAML 2.0互換IDプロバイダー(IdP)*
- マネージメントコンソールにアクセスしてドメインを追加するためのTeamViewerアカウント
- ドメインの所有権を確認するためのドメインのDNS管理へのアクセス
- TeamViewer Tensor ライセンス
TeamViewerの設定
シングルサインオン(SSO)は、このドメインのメールアドレスを使用して、すべてのTeamViewerアカウントに対してドメインレベルで有効になります。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、そのドメイン用に構成されているIDプロバイダーにリダイレクトされます。
セキュリティ上の理由から、また悪用を防ぐために、機能を有効にする前にドメインの所有権を確認する必要があります。
新しいドメインの追加
SSOを有効にするには、マネージメントコンソールにログインしてシングルサインオンメニューエントリを選択します。 ドメインの追加をクリックして、SSOを有効にするドメインを入力します。
また、アイデンティティプロバイダのメタデータも提供する必要があります。それには3つの方法があります。
- URL経由:
- IdPメタデータのURLを対応する欄に入力します
- XMLを介して:
- メタデータXMLを選択してアップロードします。
- 手動設定
- 必要な情報をすべて手動で入力してください。公開鍵はBase64でエンコードされた文字列にしてください。
カスタム識別子の作成
ドメインを追加した後、カスタム識別子を生成できます。このカスタム識別子はTeamViewerによって保存されませんが、SSOの初期設定に使用されます。シングルサインオンが無効になり、新しい設定が必要になるため、どの時点でも変更しないでください。任意のランダムな文字列を顧客IDとして使用できます。この文字列は、IdPの設定に後で必要になります。
ドメイン所有権の確認
ドメインが正常に追加されたら、ドメインの所有権を確認する必要があります。
ドメインの検証が完了するまで、シングルサインオンは有効になりません。
ドメインを確認するには、確認ページに表示されている値でドメイン用の新しいTXTレコードを作成してください。
注意:検証プロセスはDNSシステムが原因で数時間かかる場合があります。
TXTレコードを追加するダイアログは、次のようになります。
注意: ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。
新しいTXTレコードを作成したら、[Start Verification]ボタンをクリックして検証プロセスを開始します。
注意: DNSシステムのため、検証プロセスには数時間かかることがあります。
ヒント: TeamViewerは、検証開始後24時間でTXT検証レコードを探します。 24時間以内にTXTレコードが見つからない場合、検証は失敗し、それに応じてステータスが更新されます。この場合、このダイアログで確認を再開する必要があります。
ヒント2: シングルサインオン用のドメインを追加するときは、所有アカウントを除外リストに追加することをお勧めします。その理由は、IdPが機能していなくてもドメイン設定へのアクセスを維持するというフォールバックシナリオです。
例:TeamViewerアカウント「[email protected]」は、シングルサインオン用のドメイン「example.com」を追加します。ドメインを追加したら、メールアドレス「[email protected]」を除外リストに追加する必要があります。これは、誤った設定によりシングル サインオンが機能しない場合でも、SSO 設定を変更するために必要です。
ヒント 3: シングル サインオン用のドメインを追加する場合、SSO 所有権は社内で継承されないため、SSO ドメインに追加の所有者を追加することをお勧めします。
例: TeamViewer アカウント「[email protected]」がシングル サインオン用のドメイン「example.com」を追加した後、複数の会社の管理者 (「[email protected]」など) をドメイン所有者として追加し、ドメインとその SSO 設定も管理できるようにします。
Google Workspace を使用したID プロバイダの設定
1. Google Admin consoleを開きます。https://admin.google.com
2. TeamViewer顧客IDを保持するためのカスタムユーザー属性を作成します。
- ディレクトリ>ユーザーに移動します。
- 右上隅にあるカスタム属性の管理ボタンを押します。
- カスタム属性の追加(右上隅)を押します。
- カテゴリ名(例: "シングルサインオン")とオプションの説明を入力します。
- カスタムフィールドセクションに、新しいカスタム属性の名前(例: TeamViewer Customer Identifier)を入力します。
- 情報タイプをテキストに選択します。
- 表示設定を管理者に表示に選択します。
- 値の数を単一値に選択します。
- 追加を選択します。
3. アプリ> SAMLアプリに移動し、右下隅の追加(+)をクリックします。
4. カスタムアプリケーションの設定を選択します。
5. 次へをクリックしてGoogle IdP情報ダイアログを確認します。すべての情報は後でまたアクセスすることができます。
6.アプリケーションの名前を入力します: 例: 「TeamViewer」) (説明とロゴもオプションで追加できます)。
7. サービスプロバイダの詳細で、以下の情報を入力します。
- ACSのURL:https://sso.teamviewer.com/saml/acs
- エンティティID:https://sso.teamviewer.com/saml/metadata
- 名前ID: .「基本情報」> 「プライマリメール」
- 名前IDの形式: "UNSPECIFIED"
8.「属性マッピング」セクションで、以下のマッピングを追加します。
- 属性名:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- カテゴリ: 「基本情報」
- ユーザ属性: 「プライマリメール」
- 属性名:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
- カテゴリ: 「シングルサインオン」(手順 1で作成)
- ユーザー属性: 「TeamViewer顧客ID」(手順 1で作成)
シングル サインオン経由で TeamViewer にログインするユーザーには、「TeamViewer 顧客 ID」属性を設定する必要があることに注意してください。
9. 特定のユーザーに対してシングル サインオン (SSO) を有効にするには、次の手順に従います:
- ユーザーを選択し、ユーザー情報を開きます。
- カスタム属性で、手順 2 で作成した属性を選択します。
- TeamViewer 内で SSO ドメイン設定プロセス中に生成された顧客識別子を入力します。
- 保存をクリックします。
TeamViewerクライアント構成
TeamViewerは、バージョン13.2.1080からシングルサインオンと互換性があります。
以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザーをIDプロバイダーにリダイレクトすることはできません。クライアント構成はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。
TeamViewerクライアントは、デフォルトでアイデンティティプロバイダの認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用したい場合は、次のレジストリキーを使用してこの動作を変更することができます:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
注意: レジストリを作成または変更した後は、TeamViewerクライアントを再起動する必要があります。