TeamViewerシングルサインオン(SSO)は、TeamViewerをアイデンティティプロバイダおよびユーザーディレクトリに接続することによって、大企業のユーザー管理作業の効率を向上させることを目的としています。

この記事は、TeamViewer Tensor (Classic)を利用するEnterprise/Tensorライセンスをお持ちのお客様に適用されます。

必要条件

TeamViewerシングルサインオンを使用するには、次のものが必要です。

  • TeamViewerバージョン2.1080以降
  • SAML 2.0互換IDプロバイダー(IdP)*
  • マネージメントコンソールにアクセスしてドメインを追加するためのTeamViewerアカウント
  • ドメインの所有権を確認するためのドメインのDNS管理へのアクセス
  • TeamViewer Tensor ライセンス

TeamViewerマネージメントコンソール(MCO)の設定

シングルサインオン(SSO)は、このドメインのメールアドレスを使用して、すべてのTeamViewerアカウントに対してドメインレベルで有効になります。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、そのドメイン用に構成されているIDプロバイダーにリダイレクトされます。

セキュリティ上の理由から悪用を防ぐために、機能をアクティブにする前にドメインの所有権を確認する必要があります。

新しいドメインの追加

SSOを有効にするには、マネージメントコンソールにログインしてシングルサインオンメニューエントリを選択します。 ドメインの追加をクリックして、SSOを有効にするドメインを入力します。

また、アイデンティティプロバイダのメタデータも提供する必要があります。それには3つの方法があります。

  • URL経由:IdPメタデータURLを対応する欄に入力します。
  • XML経由:メタデータXMLを選択してアップロードします。
  • 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64でエンコードされた文字列である事をご確認ください。

カスタム識別子の作成

ドメインを追加した後、カスタム識別子を生成できます。このカスタム識別子はTeamViewerによって保存されませんが、SSOの初期設定に使用されます。シングルサインオンが無効になり、新しい設定が必要になるため、どの時点でも変更しないでください。任意のランダムな文字列を顧客IDとして使用できます。この文字列は、IdPの設定に後で必要になります。

ドメインの所有権の確認

ドメインが正常に追加されたら、ドメインの所有権を確認する必要があります。ドメインの検証が完了するまで、シングルサインオンは有効になりません。

ドメインを確認するには、確認ページに表示されている値でドメイン用の新しいTXTレコードを作成してください。

📌注意: 検証プロセスはDNSシステムが原因で数時間かかる場合があります。

TXTレコードを追加するダイアログは、次のようになります。

📌注意: ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。

DNSシステムのため、検証プロセスには数時間かかることがあります。

新しいTXTレコードを作成したら、[Start Verification]ボタンをクリックして検証プロセスを開始します。

💡ヒント: TeamViewerは、検証開始後24時間でTXT検証レコードを探します。 24時間以内にTXTレコードが見つからない場合、検証は失敗し、それに応じてステータスが更新されます。この場合、このダイアログで確認を再開する必要があります。

💡ヒント: シングルサインオン用のドメインを追加するときは、所有アカウントを除外リストに追加することをお勧めします。その理由は、IdPが機能していなくてもドメイン設定へのアクセスを維持するというフォールバックシナリオです。

例:TeamViewerアカウント「[email protected]」は、シングルサインオン用のドメイン「example.com」を追加します。ドメインを追加したら、メールアドレス「[email protected]」を除外リストに追加する必要があります。

 💡ヒント: シングルサインオン用のドメインを追加する場合、SSOの所有権は社内で継承されないため、SSOドメインに追加の所有者を追加することをお勧めします。

例: TeamViewerアカウント「[email protected]」がシングルサインオン用にドメイン「example.com」を追加した後、ドメイン所有者として複数の会社管理者(例:「[email protected]」)を追加し、ドメインとそのSSO設定を管理できるようにしました。

OneLogin用のアイデンティティプロバイダの設定

💡ヒント: 設定に応じて、OneLoginでユーザーをアプリケーションに割り当てる必要があります。

TeamViewer OneLoginアプリを使用した自動設定

  1. OneLogin管理者ダッシュボードにログインします。
  2. TeamViewerアプリケーションを追加します。
  3. アプリ設定の[パラメータ]タブに移動します。
  4. 「顧客ID」フィールドに値を入力します。
  5. 変更を保存します。
  6. アプリケーションにユーザーを割り当てます。
  7. MCOのドメイン管理のメタデータを使用してSAMLを有効にします。

TeamViewerクライアント構成

TeamViewerは、バージョン13.2.1080からシングルサインオンと互換性があります。

以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザーをIDプロバイダーにリダイレクトすることはできません。クライアント構成はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。

TeamViewerクライアントは、デフォルトでアイデンティティプロバイダの認証に埋め込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用したい場合は、次のレジストリキーを使用してこの動作を変更することができます:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

 📌注意: レジストリを作成または変更した後は、TeamViewerクライアントを再起動する必要があります。