TeamViewer O Single Sign-On (SSO) tem como objetivo reduzir os esforços de gerenciamento de usuários para grandes empresas, conectando o site TeamViewer a provedores de identidade e diretórios de usuários.

Este artigo se aplica aos clientes do site TeamViewer com uma licença TeamViewer Tensor.

Requisitos

Para usar o TeamViewer Single Sign-On, você precisa

  • TeamViewer versão 13.2.1080 ou mais recente.
  • Um provedor de identidade compatível com SAML 2.0 (IdP)*.
  • Uma conta TeamViewer para acessar o Management Console e adicionar domínios.
  • Acesso ao gerenciamento de DNS de seu domínio para verificar a propriedade do domínio.
  • Uma licença TeamViewer Tensor .

TeamViewer configuração

O Single Sign-On (SSO) é ativado em um nível de domínio para todas as contas TeamViewer que usam um endereço de e-mail com esse domínio. Uma vez ativado, todos os usuários que fizerem login em uma conta TeamViewer correspondente serão redirecionados para o provedor de identidade que foi configurado para o domínio.

Por motivos de segurança e para evitar abusos, é necessário verificar a propriedade do domínio antes que o recurso seja ativado.

Adicionar um novo domínio

Para ativar o SSO, faça login em Management Console, selecione Administração da empresa e, em seguida, a entrada de menu Single Sign-On. Clique em Add domain (Adicionar domínio) e digite o domínio para o qual você deseja ativar o SSO.

Você também precisa fornecer os metadados do seu provedor de identidade. Há três opções disponíveis para fazer isso:

  • via URL: Digite o URL de metadados do IdP no campo correspondente
  • via XML: Selecione e carregue seus metadados XML
  • Configuração manual: Insira manualmente todas as informações necessárias. Observe que a chave pública deve ser uma cadeia de caracteres codificada em Base64.

Quando isso for feito, clique em Continue.

Agora, selecione os endereços de e-mail ou grupos de usuários que deseja excluir do SSO e clique em Add domain (Adicionar domínio).

Como criar identificador personalizado

Depois que o domínio tiver sido adicionado, o identificador personalizado poderá ser gerado. Esse identificador personalizado não é armazenado pelo site TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Single Sign-On e será necessária uma nova configuração. Qualquer cadeia aleatória pode ser usada como identificador de cliente. Essa cadeia será necessária posteriormente para a configuração do IDP. Para gerar o identificador personalizado, clique em Generate (Gerar).

Como verificar a propriedade do domínio

Depois que um domínio for adicionado com êxito, você precisará verificar a propriedade do domínio.

O Single Sign-On não será ativado antes que a verificação do domínio seja concluída.

Para verificar o domínio, crie um novo registro TXT para o seu domínio com os valores mostrados na página de verificação.

📌Lembrete: O processo de verificação pode levar várias horas devido ao sistema DNS.

📌Lembrete: Dependendo do seu sistema de gerenciamento de domínio, a descrição dos campos de entrada pode variar.

Depois de criar o novo registro TXT, inicie o processo de verificação clicando no botão Iniciar verificação.

Observe que o processo de verificação pode levar várias horas devido ao sistema DNS.

💡Dica: O TeamViewer procurará o registro de verificação TXT por 24 horas após o início da verificação. Se não conseguirmos encontrar o registro TXT dentro de 24 horas, a verificação falhará e o status será atualizado de acordo. Nesse caso, você precisará reiniciar a verificação por meio dessa caixa de diálogo.

Configuração do provedor de identidade com o Okta

Esta seção descreve como configurar o Okta para ser usado como IdP para o serviço TeamViewer SSO.

💡Dica: Você precisa atribuir usuários ao aplicativo no Okta, dependendo das suas configurações.

Encontre a documentação do Okta aqui.

Configuração automática usando o aplicativo TeamViewer Okta

1. Faça login no Painel do administrador do Okta

2. Adicione o aplicativo TeamViewer

3. Selecione SAML 2.0

  • Copie e salve seu URL de metadados

4. Atribua usuários ao aplicativo

5. Ative o SAML usando seus metadados no Gerenciamento de domínio no MCO

Configuração manual usando a interface de usuário da Web do Okta

Vá para a interface de administração e adicione um novo aplicativo SAML. Especifique os seguintes valores na página Configurações de SAML:

Configurações Valor

URL de logon único

https://sso.teamviewer.com/saml/acs

Use esse link para Recipiente URL e Destino URL.
Permita que esse app solicite outro SSO URLs.

URI de público (ID da entidade SP)

Padrão RelayState

-

Nome ID Formato

Emailaddress

Nome de usuário do aplicativo

Email

Configurações avançadas Valor

Resposta

Assinado

Assinatura de Asserção

Assinado

Algoritmo de Assinatura

RSA-SHA256

Algoritmo de resumo

SHA256

Criptografia de afirmação

Criptografado

Algoritmo de criptografia

AES256-CBC

Algoritmo de Transporte Chave

RSA-OAEP

Certificado de criptografia

Carregue a chave pública do provedor de serviços TeamViewer SAML.
Consulte as Informações Técnicas para obter informações sobre como obter o certificado.

Ativar logout único

Não

Adicione as seguintes declarações de atributo (Formato do nome - Não especificado):

📌Lembrete: O "Customer Identifier" (Identificador do cliente) que foi definido inicialmente não deve ser alterado, caso contrário o SSO será interrompido. TeamViewer não está armazenando esse valor.

-Mapeamento mais complexo

📌Lembrete: O valor da declaração do atributo emailaddress pode incluir regras de mapeamento mais complexas. Portanto, o Okta fornece a você uma linguagem de expressão. Você pode ver a documentação oficial sobre ela aqui: https://developer.okta.com/reference/okta_expression_language/index

A Empresa A reservou dois domínios de endereço de e-mail para seus usuários - @a1.test e @a2.test. Os usuários do Okta têm o domínio @a1.test associado à sua conta.

TeamViewer O SSO deve ser ativado somente para os endereços de e-mail @a2.test.

O valor da instrução emailaddress pode ser parecido com o seguinte:

String.append(String.substringBefore(user.email, "@"), "@a2.test")

Isso faz com que a resposta SAML inclua o endereço de e-mail correto.

TeamViewer Configuração de cliente

TeamViewer é compatível com o Single Sign-On a partir da versão 13.2.1080.

As versões anteriores não são compatíveis com Single Sign-On e não podem redirecionar os usuários para o seu provedor de identidade durante o login. A configuração do cliente é opcional, mas permite alterar o navegador usado para o login de SSO do IdP.

O cliente TeamViewer usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar esse comportamento:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌Lembrete: É necessário reiniciar o cliente TeamViewer após criar ou alterar o registro.