O TeamViewer Single Sign-On (SSO), também conhecido por logon único do TeamViewer, visa reduzir os esforços de gerenciamento de usuários em grandes empresas, conectando o TeamViewer a provedores de identidade e diretórios de usuários.
Este artigo se aplica aos clientes da TeamViewer com uma licença Tensor.
Requisitos
Para usar o Logon único TeamViewer, você precisa
- do TeamViewer versão 13.2.1080 ou mais recente
- um provedor de identidade compatível com SAML 2.0 (IdP)*
- uma conta TeamViewer para acessar o Management Console e adicionar domínios
- acesso ao gerenciamento de DNS de seu domínio para verificar a propriedade do domínio
- uma licença TeamViewer Tensor
Configuração do TeamViewer
O logon único (SSO) é ativado em um nível de domínio para todas as contas TeamViewer usando um endereço de e-mail com este domínio. Uma vez ativado, todos os usuários que se conectarem a uma conta TeamViewer correspondente serão redirecionados para o provedor de identidade que foi configurado para o domínio.
Por motivos de segurança e para evitar abusos, é necessário verificar a propriedade do domínio antes que o recurso seja ativado.
Adicione um novo domínio
Para ativar o SSO, faça login no TeamViewer e selecione a entrada de menu Single Sign-On. Clique em Adicionar domínio e insira o domínio para o qual você deseja ativar o SSO.
Você também precisa fornecer os metadados do seu provedor de identidade. Há três opções disponíveis para fazer isso:
- via URL:
- Insira o URL dos metadados do seu IdP no campo correspondente
- via XML:
- Selecione e carregue seu XML de metadados
- Configuração manual:
- Insira manualmente todas as informações necessárias. Observe que a chave pública deve ser uma string codificada em Base64.
Crie um identificador personalizado
Depois que o domínio for adicionado, o identificador personalizado pode ser gerado. Este identificador personalizado não é armazenado pelo TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Logon único e uma nova configuração será necessária. Qualquer string aleatória pode ser usada como identificador de cliente. Esta string é necessária posteriormente para a configuração do IdP.
Verifique a propriedade do domínio
Depois que um domínio tiver sido adicionado com sucesso, você precisa verificar a propriedade do domínio. o Logon único não será ativada antes que a verificação do domínio seja concluída.
Para verificar o domínio, crie um novo registro TXT para o seu domínio com os valores mostrados na página de verificação.
Observação: O processo de verificação pode levar várias horas por causa do sistema DNS.
A caixa de diálogo para adicionar um registro TXT pode ser semelhante a:
Observações:
- Dependendo do seu sistema de gerenciamento de domínio, a descrição dos campos de entrada pode variar.
- Após criar o novo registro TXT, inicie o processo de verificação clicando no botão “Iniciar Verificação”.
- O processo de verificação pode levar várias horas por causa do sistema DNS.
Dicas:
- O TeamViewer procurará o registro de verificação TXT por 24 horas após o início da verificação. Caso não encontremos o registro TXT dentro de 24 horas, a verificação falhará e o status será atualizado de acordo. Você precisa reiniciar a verificação através desta caixa de diálogo neste caso.
- Ao adicionar um domínio para o Logon único, é recomendável adicionar a conta proprietária à lista de exclusão. O motivo para isso é um cenário de fallback em que você mantém o acesso à configuração do domínio mesmo se o IdP não estiver funcionando.
- Exemplo: A conta TeamViewer "[email protected]" adiciona o domínio „example.com“ para Logon único. Após adicionar o domínio, o endereço de e-mail "[email protected]" deve ser adicionado à lista de exclusão. Isso é necessário para fazer alterações na configuração do Logon único, mesmo quando o Logon único não funcionar devido a uma configuração incorreta.
- Ao adicionar um domínio paro Logon único, é recomendável adicionar proprietários adicionais ao domínio de Logon único, uma vez que a propriedade do Logon único não é herdada dentro de sua empresa.
- Exemplo: Depois que a conta TeamViewer "[email protected]" adicionar o domínio „example.com“ para Logon único, ele adiciona vários administradores da empresa (por exemplo, "[email protected]") como proprietários de domínio, para que também possam gerenciar o domínio e suas configurações de Logon único.
Configuração do provedor de identidade com o Google Workspace
1. Abra o console do Google para administradores: https://admin.google.com
2. Crie um atributo de usuário personalizado para armazenar o identificador do TeamViewer:
- Navegue até Diretório ➜ Usuários
- No canto superior direito, pressione o botão Gerenciar atributos personalizados.
- Pressione Adicionar atributo personalizado (canto superior direito)
- Insira um nome de categoria (por exemplo, "Logon Único") e uma descrição opcional.
- Na seção de campos personalizados, insira um nome para o novo atributo personalizado, por exemplo Identificador de TeamViewer clients.
- Escolha o tipo de informação como Texto
- Escolha a Visibilidade para ser Visível para o administrador
- Escolha o número de valores para um Valor único
- Clique em Adicionar
3. Acesse Aplicativos ➜ Aplicativos SAML, clique em Adicionar (+) no canto inferior direito.
4. Escolha Configurar meu próprio aplicativo personalizado
5. Pressione Avançar para confirmar a caixa de diálogo Informações do IdP do Google. Todas as informações também podem ser acessadas novamente mais tarde.
6. Insira um nome para o aplicativo, por exemplo "TeamViewer" (a descrição e logotipo também podem ser adicionados opcionalmente).
7. Em Detalhes do provedor de serviços, insira as seguintes informações:
- URL ACS: https://sso.teamviewer.com/saml/acs
- ID da entidade: https://sso.teamviewer.com/saml/metadata
- ID do nome: "Informações básicas" ➜ "E-mail principal"
- Formato da ID do nome: "NÃO ESPECIFICADO"
8. Na seção Mapeamento de Atributos, adicione os seguintes mapeamentos:
- Nome do atributo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Categoria: "Informação básica"
- Atributo do usuário: "E-mail primário"
- Nome do atributo: http://sso.teamviewer.com/saml/claims/customeridentifier
- Categoria: "Logon único" (criado na etapa 1)
- Atributo do usuário: "Identificador do Cliente TeamViewer" (criado na etapa 1)
Observação: O atributo Identificador de cliente TeamViewer deve ser definido para os usuários que desejarem entrar no TeamViewer com o logon único.
9. Para habilitar o Single Sign-On (SSO) para um usuário específico, siga estas etapas:
- Selecione o usuário e abra Informações do usuário.
- Em Atributos personalizados, selecione o atributo criado na etapa 2.
- Insira o Identificador do Cliente gerado durante o processo de configuração do domínio SSO no TeamViewer.
- Clique em Salvar.
Configuração do aplicativo TeamViewer
O TeamViewer é compatível com Single Sign-On a partir da versão 13.2.1080.
As versões anteriores não são compatíveis com o Single Sign-On e não podem redirecionar os usuários para seu provedor de identidade durante o logon. A configuração do aplicativo é opcional, mas permite alterar o navegador utilizado para o logon SSO do IdP.
O aplicativo TeamViewer usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar este comportamento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Observação: Você precisará reiniciar o aplicativo TeamViewer após criar ou alterar o registro.