El objetivo del Inicio de Sesión Único de TeamViewer (SSO) es reducir los esfuerzos de gestión de usuarios de las grandes empresas conectando TeamViewer con los proveedores de identidad y los directorios de usuario

Notas:

  • El Inicio de Sesión Único de TeamViewer (SSO) se basa en el dominio, que configuraste. Esto significa que todas las cuentas de TeamViewer que existan en tu empresa o fuera de ella se remitirán al proveedor de identidades.
  • La dirección de correo electrónico del usuario de Microsoft Entra ID (antes Azure AD) debe coincidir con la dirección de correo electrónico de la cuenta correspondiente de TeamViewer.
  • La entrada TXT ha de aparecer públicamente. Puedes comprobarlo utilizando una herramienta de búsqueda de DNS TXT.

Este artículo se aplica a l@s clientes de TeamViewer con una licencia Enterprise/Tensor.

Requisitos

Para utilizar el Inicio de Sesión Único de TeamViewer (SSO), se necesita:

  • TeamViewer versión 13.2.1080 o más reciente.
  • Proveedor de identidad (IdP) compatible con SAML 2.0*.
  • Cuenta en TeamViewer para acceder a la Management Console y añadir dominios.
  • Acceso a la gestión de los DNS de tu dominio para verificar la propiedad del mismo.
  • Licencia de TeamViewer Tensor (Classic).

1. Crea tu identificador personalizado

TeamViewer no almacena este identificador personalizado pero lo utiliza para la configuración inicial del SSO. No debe cambiarse en ningún momento ya que esto romperá el Inicio de Sesión Único con lo que será necesaria una nueva configuración.

Se puede utilizar cualquier cadena aleatoria como identificador de cliente. Se recomienda no utilizar caracteres especiales en el identificador personalizado.

Notas:

  • Puedes utilizar, por ejemplo, un generador de contraseñas online o tu generador de contraseñas interno si tu empresa lo tiene.
  • Esta cadena es necesaria posteriormente para la configuración del IdP.

2. Configuración del proveedor de identidades Microsoft Entra ID

Para conectar TeamViewer con Microsoft Entra ID como proveedor de identidad, es necesario crear una aplicación para tu Microsoft Entra ID. A continuación, se describen los pasos para crear y configurar una aplicación empresarial:

1.) Abre un navegador y entra en "portal.azure.com" con una cuenta que tenga permisos de administrador global.

2.) Verás una pantalla de inicio. Selecciona allí el servicio Microsoft Service "Microsoft Entra ID".

3.) Después de haber seleccionado el servicio de Microsoft Microsoft Entra ID verás una visión general, por favor, selecciona en el lado izquierdo en la sección Gestionar (Manage) la opción Aplicaciones empresariales (Enterprise applications).

4.) Ahora se abrirá la vista general con todas las aplicaciones empresariales que tengas en tu Microsoft Entra ID.

5.) Haz clic en Todas las aplicaciones (All applications) (1).

6.) Haz clic en Nuevas aplicaciones (New application) (2).

7.) En la siguiente ventana, haz clic en Crear tu propia aplicación (Create your own application).

8.) Ahora puedes crear tu propia aplicación:

(1) Introduce un nombre para tu aplicación.

(2) Selecciona Integrar cualquier otra aplicación que no se encuentre en la galería (Non-gallery) (Integrate any other application you don´t find in the gallery (Non-gallery).

(3) Nota: Por favor, no selecciones la aplicación de TeamViewer sugerida por Microsoft.

(4) Haz clic en Crear (Create).

9.) Después de crear la aplicación, verás un resumen.

10.) Haz clic en la sección Gestionar (Manage), opción Inicio de Sesión Único (Single sign-on) y selecciona el método SAML.

11.) Ahora puedes editar (edit) la configuración de SAML.

(1) Introduce el ID de la entidad -> https://sso.teamviewer.com/saml/metadata.

(2) Nota: Elimina el URL predefinido de Microsoft.

(3) Introduce el URL de respuesta -> https://sso.teamviewer.com/saml/acs.

(4) Haz clic en Guardar (Save).

12.) Después de guardar, se te pregunta si deseas probar el Inicio de Sesión Único. Haz clic en No, probaré más tarde (No, I´ll test later).

13.) En la siguiente sección debes editar (edit) los Atributos y Reclamaciones (Attributes & Claims).

14.) Haz clic en Añadir nueva reclamación (Add new claim) para añadir una nueva reclamación.

(1) Introduce como Nombre (Name) el valor customeridentifier.

(2) Para el espacio de nombres (Namespace) añade el valor http://sso.teamviewer.com/saml/claims.

(3) En el atributo Fuente (Source attribute) introduce el identificador personalizado que has creado al principio.

(4) Haz clic en Guardar (Save).

15.) Verás la nueva reclamación añadida en la vista general.

16.) En el siguiente paso, descarga el archivo XML de metadatos o copia la URL de los metadatos.

(1) Necesitarás uno de ellos más adelante en la Management Console de TeamViewer.

17.) Antes de terminar la configuración de la Management Console de TeamViewer, por favor, añade grupos/usuarios a la aplicación.

Nota: Esto es necesario para que los usuarios puedan iniciar sesión con éxito en sus cuentas de TeamViewer y los grupos/usuarios se utilicen para la sincronización de AD SCIM más tarde.

(1) Pulsa en la aplicación sobre Usuarios y grupos (Users and groups).

(2) Haz clic en Añadir usuario/grupo (Add user/group).

3. Configuración de la Management Console (MCO) de TeamViewer

1.) Abre un navegador web e inicia sesión con tu cuenta autorizada de TeamViewer en el sitio web de la  Management Console de TeamViewer.

Nota: Los permisos de usuario de la cuenta TeamViewer deben ser los del Administrador de la empresa.

(1) Haz clic en Administración de la empresa (Company administration).

(2) Haz clic en Inicio de Sesión Único (Single Sign-On).

(3) Haz clic en Añadir primer dominio (Add first domain).

2.) En la siguiente ventana puedes introducir el dominio que desees utilizar para el Inicio de Sesión Único.

Nota: Repite este paso si deseas utilizar varios dominios para el Inicio de Sesión Único de TeamViewer. Utiliza el mismo archivo XML o URL XML para los diferentes dominios. El único requisito aquí es que los dominios estén vinculados al mismo Tenant de Microsoft Entra ID.

(1) Introduce tu dominio.

(2) Selecciona el tipo de configuración.

(3) Carga el archivo XML de metadatos.

(4) Activa opciones adicionales.

Nota para los subdominios: Esta característica permite no sólo incluir el dominio (ejemplo.com) para el inicio de sesión unica (SSO), sino también todos los subdominios (como sub.ejemplo.com).

Nota para desactivar los correos electrónicos de activación: Las cuentas SSO que se creen bajo este dominio recibirán o no correos electrónicos de activación dependiendo de esta opción. Las cuentas recién creadas no recibirán correos electrónicos de activación si esta opción está activada.

(5) Haz clic en Siguiente (Next).

3.) En la siguiente sección, puedes añadir cuentas a la lista de exclusión de Inicio de Sesión Único. Si no tienes nada que añadir, haz clic en Siguiente (Next).

Nota importante: Es muy recomendable añadir a todos los propietarios de dominios a la lista de exclusión para que puedan seguir iniciando sesión si el SSO necesita una nueva configuración. Las pruebas del inicio de sesión de SSO deben ejecutarse con una segunda cuenta.

Nota para las exclusiones de correo electrónico: Puedes especificar las direcciones de correo electrónico que se excluirán de la conexión con el proveedor de identidad. Estas cuentas pueden iniciar sesión en TeamViewer como de costumbre, sin la autenticación del proveedor de identidad. Se recomienda excluir al propietario de un dominio como alternativa, en caso de que la configuración no sea correcta o el proveedor de identidad no esté disponible.

4.) Este paso (Identificador Personalizado de Inicio de Sesión Único) puede omitirse con un clic en Siguiente (Next), ya que ha sido creado el Identificador Personalizado al principio.

4. Verificación del dominio

Nota 1: En esta pantalla verás la información para la gestión de tu servidor DNS. Necesitas la información del campo Nombre/Host (Name/Host) y la información del campo Valor/Datos (Value/Data).

Nota 2: Copia el campo Valor/Datos (Value/Data), necesitarás esta información más tarde.

1.) En la ventana de verificación del dominio, haz lo siguiente.

(1) Puedes hacer clic en Iniciar verificación (Start Verification).

(2.) Puedes hacer clic en Omitir (Skip).

Nota: Si sigues esta guía desde el principio hasta el final, haz clic en Omitir en esta ventana.

Nota: Puedes volver a la página de verificación en cualquier momento y ver los valores cuando el dominio no está verificado.

2.) Vuelve a la Management Console de TeamViewer.

Nota: Los permisos de usuario de la cuenta TeamViewer deben ser de Administrador de la empresa.

(1) Haz clic en Administración de la empresa (Company administration).

(2) Haz clic en Inicio de Sesión Único (Single Sign-On).

(3) Haz clic en el Lápiz para editar el dominio.

3.) Haz clic en Verificación del dominio (Domain Verification).

4.) Haz clic en símbolo de copiar para copiar para el valor.

5.) Haz clic en Iniciar Verificación (Start Verification) después de haber completado los pasos en tu Administración de Servidores DNS.

Nota: La entrada TXT tiene que ser visible en público. Puedes comprobar esto mediante el uso de una herramienta de búsqueda de DNS TXT. Google te ayudará en este caso.

Nota: TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la verificación. En caso de no encontrar el registro TXT en 24 horas, la verificación falla y el estado se actualiza en consecuencia. En este caso, deberas reiniciar la verificación a través de este cuadro de diálogo.

Nota: A continuación se muestra la gestión del servidor DNS para un dominio que es gestionado por Cloudflare. La gestión de tu servidor DNS puede ser diferente.

Una vez que hayas iniciado sesión en el panel de control de Cloudflare, selecciona el dominio.

(1) Haz clic en DNS y en Añadir registro (Add record).

(2) Selecciona como Tipo (Type) -> TXT.

(3) Introduce en el Nombre (Name) -> @.

(4) Introduce en el Contenido (Content) -> El valor de verificación SSO de TeamViewer del paso anterior.

(5) Haz clic en Guardar (Save).

Configuración del client de TeamViewer (opcional)

TeamViewer es compatible con el Inicio de Sesión Único a partir de la versión 13.2.1080.

Las versiones anteriores no son compatibles con Inicio de Sesión Único y no pueden redirigir a los usuarios a su proveedor de identidad durante el inicio de sesión. La configuración del cliente es opcional pero permite cambiar el navegador utilizado para el inicio de sesión SSO del IdP.

El client de TeamViewer utilizará por defecto un navegador integrado para la autenticación del proveedor de identidad. Si prefieres utilizar el navegador por defecto del sistema operativo, puedes cambiar este comportamiento:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

Nota: Es necesario reiniciar el client de TeamViewer después de haber configurado esta clave específica.