ナレッジベース

TeamViewer Tensor (Classic)のSingle Sign-On（シングルサインオン/ SSO）は、TeamViewer Tensor (Classic)のリモートアクセスとそのサポートに関する企業ユーザーアカウントの構成を、IT部門がよりコントロールできるようにします。TeamViewer Tensor (Classic)のSingle Sign-Onは、企業のメールアドレスを持つユーザーのみにアクセスを制限することで、権限のないユーザーが企業のリモートアクセスプラットフォームを使用することを防ぐことができます。

• SSOアイデンティティサービスプロバイダを通じてパスワードコントロールを一元化することで、IT部門がパスワードを管理する必要がなくなり、パスワードリセットのリクエストを減らすことができます。
• 企業のパスワードポリシーと認証ルールを、権限を持つすべてのTeamViewer Tensor (Classic)ユーザーに自動的に適用します。
• TeamViewerを介した不正なバックドアアクセスを心配することなく、効率的に従業員をオフボーディングすることができます。
• 従業員がTeamViewer Tensor (Classic)にログインする際、企業アプリケーションですでに使用している認証情報と同じSSOログイン情報を使用できるようにすることで、エンドユーザーエクスペリエンスを向上させます - 別のパスワードでTeamViewer Tensor (Classic)にログインする必要はありません。

必要事項

TeamViewer シングルサインオンを使用するには、以下が必要です。

• TeamViewerバージョン13.2.1080以上
• SAML 2.0互換のIDプロバイダ (IdP)*
• Management Consoleにアクセスし、ドメインを追加するTeamViewerアカウントがあること
• ドメインのDNS管理にアクセスでき、ドメインの所有権があること
• TeamViewer Tensorライセンス

* 現在、Centrify、Okta、Azure、OneLogin、ADFS、および G Suite のみをサポートしていますが、将来的にはさらに多くの IdP をサポートするよう取り組んでいます。 上記の IdP はテスト済みであり、これらの IdP のいずれかをセットアップするための詳細な手順は、これらのドキュメントおよび SSO とそれぞれの IdP に関する他のリンク先ページに記載されています。

📌注意: 別のIdPを使用する場合は、技術情報を使用してIdPを手動で設定してください。

💡ヒント: シングルサインオン用のドメインを追加する場合は、所有アカウントを除外リストに追加することをお勧めします。この理由は、IdPが機能していない場合でも、ドメイン構成へのアクセスを維持するというフォールバックシナリオであるからです。

例：TeamViewerアカウント "[email protected]"は、シングルサインオン用のドメイン "example.com"を追加します。ドメインを追加した後、除外リストにメールアドレス "[email protected]"を追加する必要があります。 これは、構成の誤りによりシングル サインオンが機能しない場合でも、SSOの設定を変更するために必要です。

💡ヒント2：シングルサインオン用のドメインを追加する場合、SSOの所有権は社内で継承されないため、SSOドメインに所有者を追加することをお勧めします。

例：TeamViewerアカウント「[email protected]」がシングルサインオン用のドメイン「example.com」を追加した後、ドメイン所有者として複数の会社管理者（「[email protected]」など）を追加します。ドメインとそのSSO設定を管理します。

シングルサインオン（SSO）は、このドメインのメールアドレスを使用して、すべてのTeamViewerアカウントのドメインレベルで有効化されます。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、ドメイン用に構成されたIDプロバイダーにリダイレクトされます。この手順は、使用するIdPに関係なく必要です。

セキュリティ上の理由と悪用を防ぐために、機能を有効にする前にドメインの所有権を確認する必要があります。

新しいドメインの追加

SSOを有効化するには、Management Consoleにログインし、会社の管理をクリック後シングルサインオンメニューを選択します。 ドメインの追加をクリックして、SSOを有効化するドメインを入力します。

また、IDプロバイダーのメタデータを提供する必要があります。これを行うには、次の 3つのオプションが用意されています：

• URL経由：IdPメタデータURLを対応するフィールドに入力します。
• XML経由：メタデータXMLを選択してアップロードします。
• 手動構成：必要なすべての情報を手動で入力します。公開鍵はBase64エンコードされた文字列である必要がありますのでご注意ください。

IDプロバイダーの設定

各IDプロバイダーには独自の構成が必要です。これについては、以下コミュニティ記事で詳細を説明しています。

• Active Directoryフェデレーション-サービス（ADFS）：

Active Directoryフェデレーションサービス（ADFS）を使用したシングルサインオン(SSO) 

• Azure Active Directory

Azure Active Directoryを使用したシングルサインオン(SSO) 

• Centrify

Centrifyを使用したシングルサインオン(SSO) 

• G Suite

G Suiteを使用したシングルサインオン(SSO) 

• Okta

Oktaを使用したシングルサインオン(SSO) 

• OneLogin

OneLoginを使用したシングルサインオン(SSO) 

必要なSAML応答クレーム：

• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

IdPのスコープ内（したがって、対応する会社のスコープ内）の一意のユーザー識別子にマップする必要があります。

たとえば、これはADFSのActiveDirectoryオブジェクトGUIDまたはOktaのメールアドレスにすることができます。

• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

この属性は、サインインするユーザーのメールアドレスにマップする必要があります。メールアドレスは、TeamViewerアカウントに設定されているものと同じである必要があります。マッピング/比較は、大文字と小文字を区別する方法で行われます。

• http://sso.teamviewer.com/saml/claims/customeridentifier

この属性は、顧客固有の識別子を返す必要があります。

TeamViewerは、シングルサインオンアカウントの初期構成のSAML応答のカスタムクレームとして顧客識別子を必要とします。

顧客IDはTeamViewerによって保存されません。後で変更すると、シングルサインオンが中断され、新しいセットアップが必要になります。

任意のランダムな文字列を顧客識別子として使用できます。

署名と暗号化証明書（公開鍵）

SAML要求の署名およびSAML応答の暗号化に使用される証明書の公開鍵は、次のPowerShellコマンドを実行することで取得できます。

"-----BEGIN PUBLIC KEY-----`n" + `
((Select-Xml `
-Content ((Invoke-WebRequest `
https://sso.teamviewer.com/saml/metadata.xml).Content) `
-xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + `
"`n-----END PUBLIC KEY-----" `
| Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii

このコマンドは、メタデータをダウンロードし、公開鍵を抽出してファイルに書き込みます。