Base de Conhecimento

Back to support overview

O Logon único do TeamViewer (SSO) visa reduzir os esforços de gerenciamento de usuários em grandes empresas, conectando o TeamViewer a provedores de identidade e diretórios de usuários.

Este artigo se aplica aos clientes do TeamViewer (Classic) com uma licença Enterprise/Tensor.

Requisitos

Para usar o Logon único TeamViewer, você precisa

  • do TeamViewer versão 13.2.1080 ou mais recente
  • um provedor de identidade compatível com SAML 2.0 (IdP)*
  • uma conta TeamViewer para acessar o Console de Gerenciamento e adicionar domínios
  • acesso ao gerenciamento de DNS de seu domínio para verificar a propriedade do domínio
  • ou do TeamViewer Tensor (Classic).

Configuração do Console de Gerenciamento do TeamViewer (MCO)

O Logon único (SSO) é ativado em um nível de domínio para todas as contas TeamViewer usando um endereço de e-mail com este domínio. Uma vez ativado, todos os usuários que se conectarem a uma conta TeamViewer correspondente serão redirecionados para o provedor de identidade que foi configurado para o domínio.

Por motivos de segurança e para evitar abusos, é necessário verificar a propriedade do domínio antes que o recurso seja ativado.

Adicionar um novo domínio

Para ativar o Logon único, faça login no console de gerenciamento e selecione a entrada do menu Logon único. Clique em Adicionar domínio e insira o domínio para o qual deseja ativar a Conexão Única.

Você também precisará informar os metadados do seu provedor de identidade. Existem três opções disponíveis para fazer isso:

  • via URL: insira seu URL de metadados IdP no campo correspondente
  • via XML: selecione e envie seu XML de metadados
  • Configuração manual: informe manualmente todas as informações necessárias. Observe que a chave pública deve ser uma string codificada em Base64.

Crie um identificador personalizado

Depois que o domínio for adicionado, o

identificador personalizado pode ser gerado. Este identificador personalizado não é armazenado pelo TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Logon único e uma nova configuração será necessária. Qualquer string aleatória pode ser usada como identificador de cliente. Esta string é necessária posteriormente para a configuração do IdP.

Verificar a propriedade do domínio

Depois que um domínio tiver sido adicionado com sucesso, você precisa verificar a propriedade do domínio. o Logon único não será ativada antes que a verificação do domínio seja concluída.

Para verificar o domínio, crie um novo registro TXT para o seu domínio com os valores mostrados na página de verificação.

📌Lembrete: O processo de verificação pode levar várias horas por causa do sistema DNS.

A caixa de diálogo para adicionar um registro TXT pode ser semelhante a:

📌Lembrete:

  • Dependendo do seu sistema de gerenciamento de domínio, a descrição dos campos de entrada pode variar.
    • Após criar o novo registro TXT, inicie o processo de verificação clicando no botão “Iniciar Verificação”.
  • O processo de verificação pode levar várias horas por causa do sistema DNS.

💡Dicas:

  • O TeamViewer procurará o registro de verificação TXT por 24 horas após o início da verificação. Caso não encontremos o registro TXT dentro de 24 horas, a verificação falhará e o status será atualizado de acordo. Você precisa reiniciar a verificação através desta caixa de diálogo neste caso. 
  • Ao adicionar um domínio para o Logon único, é recomendável adicionar a conta proprietária à lista de exclusão. O motivo para isso é um cenário de fallback em que você mantém o acesso à configuração do domínio mesmo se o IdP não estiver funcionando. 
    • Exemplo: A conta TeamViewer "[email protected]" adiciona o domínio „example.com“ para Logon único. Após adicionar o domínio, o endereço de e-mail "[email protected]" deve ser adicionado à lista de exclusão. Isso é necessário para fazer alterações na configuração do Logon único, mesmo quando o Logon único não funcionar devido a uma configuração incorreta.
  • Ao adicionar um domínio paro Logon único, é recomendável adicionar proprietários adicionais ao domínio de Logon único, uma vez que a propriedade do Logon único não é herdada dentro de sua empresa. 
    • Exemplo: Depois que a conta TeamViewer "[email protected]" adicionar o domínio „example.com“ para Logon único, ele adiciona vários administradores da empresa (por exemplo, "[email protected]") como proprietários de domínio, para que também possam gerenciar o domínio e suas configurações de Logon único.

Configuração do provedor de identidade com Okta

Esta seção descreve como configurar o Okta para ser usado como IdP para o serviço de SSO do TeamViewer.

💡Dica: Você precisa atribuir usuários ao aplicativo no Okta, dependendo de suas configurações.

Encontre a documentação do Okta aqui.

Configuração automática usando o aplicativo TeamViewer Okta

1. Faça login no painel do administrador do Okta

2. Adicione o aplicativo TeamViewer

3. Selecione SAML 2.0

  • Copie e salve seu URL de metadados

4. Atribua usuários ao aplicativo

5. Ative o SAML usando seus metadados no Gerenciamento de Domínio no MCO

Configuração manual usando a interface do usuário web do Okta

Vá até a interface de administração e adicione um novo aplicativo SAML. Especifique os seguintes valores na página Configurações de SAML:

Configurações Valor

URL de logon único

https://sso.teamviewer.com/saml/acs

Use esse link para Recipiente URL e Destino URL.
Permita que esse app solicite outro SSO URLs.

URI de público (ID da entidade SP)

Padrão RelayState

-

Nome ID Formato

Emailaddress

Nome de usuário do aplicativo

Email
Configurações avançadas Valor

Resposta

Assinado

Assinatura de Asserção

Assinado

Algoritmo de Assinatura

RSA-SHA256

Algoritmo de resumo

SHA256

Criptografia de afirmação

Criptografado

Algoritmo de criptografia

AES256-CBC

Algoritmo de Transporte Chave

RSA-OAEP

Certificado de criptografia

Carregue a chave pública do provedor de serviços TeamViewer SAML.
Consulte as Informações Técnicas para obter informações sobre como obter o certificado.

Ativar logout único

Não

Adicione as seguintes instruções de atributo (Formato do Nome - Não Especificado):

📌Lembre-se de que: O "Identificador do cliente" definido inicialmente não deve ser alterado, caso contrário, a SSO será interrompida. O TeamViewer não está guardando este valor. 

-Mais mapeamento complexo-

📌Lembre-se de que: O valor da instrução de atributo emailaddress pode incluir regras de mapeamento mais complexas. O Okta, portanto, fornece a você uma linguagem de expressão. Você pode ver a documentação oficial dela aqui: https://developer.okta.com/reference/okta_expression_language/index

A Empresa A reservou dois domínios de endereço de e-mail para seus usuários - @a1.test e @a2.test. Os usuários do Okta possuem o domínio @a1.test associado à conta deles.

A SSO do TeamViewer deve ser ativada apenas para os endereços de e-mail @a2.test.

O valor da instrução emailaddress pode se parecer com o seguinte:

String.append(String.substringBefore(user.email, "@), @a2.test")

Isso faz com que a resposta SAML inclua o endereço de e-mail correto.

Configuração do aplicativo TeamViewer

O TeamViewer é compatível com Single Sign-On a partir da versão 13.2.1080.

As versões anteriores não são compatíveis com o Single Sign-On e não podem redirecionar os usuários para seu provedor de identidade durante o login. A configuração do aplicativo é opcional, mas permite alterar o navegador utilizado para o login SSO do IdP.

O aplicativo TeamViewer usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar este comportamento:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌Lembrete: Você precisará reiniciar o aplicativo TeamViewer após criar ou alterar o registro.