TeamViewer O Single Sign-On (SSO) tem como objetivo reduzir os esforços de gerenciamento de usuários para grandes empresas, conectando o site TeamViewer a provedores de identidade e diretórios de usuários.
Este artigo se aplica aos clientes do site TeamViewer com uma licença TeamViewer Tensor.
Requisitos
Para usar o TeamViewer Single Sign-On, você precisa:
- TeamViewer versão 13.2.1080 ou mais recente
- Um provedor de identidade compatível com SAML 2.0 (IdP)*
- Uma conta TeamViewer para acessar o Management Console e adicionar domínios
- Acesso ao gerenciamento de DNS de seu domínio para verificar a propriedade do domínio
- Uma licença TeamViewer Tensor .
TeamViewer configuração
O Single Sign-On (SSO) é ativado em um nível de domínio para todas as contas TeamViewer que usam um endereço de e-mail com esse domínio. Uma vez ativado, todos os usuários que fizerem login em uma conta TeamViewer correspondente serão redirecionados para o provedor de identidade que foi configurado para o domínio.
Por motivos de segurança e para evitar abusos, é necessário verificar a propriedade do domínio antes que o recurso seja ativado.
Como adicionar um novo domínio
Para ativar o SSO, faça login em Management Console, selecione Administração da empresa e, em seguida, a entrada de menu Single Sign-On. Clique em Add domain (Adicionar domínio ) e digite o domínio para o qual você deseja ativar o SSO.
Você também precisa fornecer os metadados do seu provedor de identidade. Há três opções disponíveis para fazer isso:
- via URL: Digite o URL de metadados do IdP no campo correspondente
- via XML: Selecione e carregue seus metadados XML
- Configuração manual: Insira manualmente todas as informações necessárias. Observe que a chave pública deve ser uma cadeia de caracteres codificada em Base64.
Quando isso for feito, clique em Continue.
Agora, selecione os endereços de e-mail ou grupos de usuários que deseja excluir do SSO e clique em Add domain (Adicionar domínio).
Como criar identificador personalizado
Depois que o domínio tiver sido adicionado, o identificador personalizado poderá ser gerado. Esse identificador personalizado não é armazenado pelo site TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Single Sign-On e será necessária uma nova configuração. Qualquer cadeia aleatória pode ser usada como identificador de cliente. Essa cadeia será necessária posteriormente para a configuração do IDP. Para gerar o identificador personalizado, clique em Generate (Gerar).
Como verificar a propriedade do domínio
Depois que um domínio for adicionado com êxito, você precisará verificar a propriedade do domínio.
O Single Sign-On não será ativado antes que a verificação do domínio seja concluída.
Para verificar o domínio, crie um novo registro TXT para o seu domínio com os valores mostrados na página de verificação.
📌Lembrete: O processo de verificação pode levar várias horas devido ao sistema DNS.
📌Lembrete: Dependendo do seu sistema de gerenciamento de domínio, a descrição dos campos de entrada pode variar.
Depois de criar o novo registro TXT, inicie o processo de verificação clicando no botão Iniciar verificação.
Observe que o processo de verificação pode levar várias horas devido ao sistema DNS.
💡Dica: o TeamViewer procurará o registro de verificação TXT por 24 horas após o início da verificação. Se não conseguirmos encontrar o registro TXT dentro de 24 horas, a verificação falhará e o status será atualizado de acordo. Nesse caso, você precisará reiniciar a verificação por meio dessa caixa de diálogo.
Configuração do provedor de identidade com o G Suite
1. Abra o console do Google Admin: https://admin.google.com
2. Crie um atributo de usuário personalizado para manter o identificador de cliente TeamViewer:
- Navegue até Directory ➜ Users
- No canto superior direito, pressione o botão Manage custom attributes (Gerenciar atributos personalizados ).
- Pressione Add Custom Attribute (Adicionar atributo personalizado ) (canto superior direito)
- Digite um nome de categoria (por exemplo, Single Sign-On) e uma descrição opcional.
- Na seção de campos personalizados, digite um nome para o novo atributo personalizado, por exemplo, TeamViewer Customer Identifier.
- Selecione o tipo de informação a ser texto
- Selecione Visibilidade para ser visível para o administrador
- Escolha o número de valores a ser Single Value
- Pressione Add (Adicionar)
3. Navegue até Apps ➜ SAML Apps, clique em Add (+) no canto inferior direito.
4. Escolha Setup My Own Custom App (Configurar meu próprio aplicativo personalizado)
5. Pressione Next para confirmar a caixa de diálogo Informações do Google IdP. Todas as informações também podem ser acessadas novamente mais tarde.
6. Digite um nome para o aplicativo, por exemplo, "TeamViewer" (Descrição e logotipo também podem ser adicionados opcionalmente).
7. Em Service Provider Details (Detalhes do provedor de serviços), insira as seguintes informações:
- URL do ACS: https://sso.teamviewer.com/saml/acs
- ID da entidade: https://sso.teamviewer.com/saml/metadata
- ID do nome: "Informações básicas" ➜ "E-mail principal"
- Nome ID Formato: "UNSPECIFIED"
8. Na seção Attribute Mapping (Mapeamento de atributos), adicione os seguintes mapeamentos:
- Nome do atributo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressCategory:"Informações básicas"
- Atributo do usuário: "E-mail principal"
- Nome do atributo: http://sso.teamviewer.com/saml/claims/customeridentifierCategory: "Single Sign-On" (criado na etapa 1)
- Atributo de usuário: "TeamViewer Customer Identifier" (criado na etapa 1)
Observe que o atributo "TeamViewer Customer Identifier" deve ser definido para os usuários que desejam fazer login em TeamViewer por meio de Single Sign-On.
TeamViewer Configuração de cliente
TeamViewer é compatível com o Single Sign-On a partir da versão 13.2.1080.
As versões anteriores não são compatíveis com Single Sign-On e não podem redirecionar os usuários para o seu provedor de identidade durante o login. A configuração do cliente é opcional, mas permite alterar o navegador usado para o login de SSO do IdP.
O cliente TeamViewer usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar esse comportamento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌Lembrete: É necessário reiniciar o cliente TeamViewer após criar ou alterar o registro.