O TeamViewer Single Sign-On (SSO) também conhecido por logon único visa reduzir os esforços de gerenciamento de usuários para grandes empresas, conectando o TeamViewer com provedores de identidade e diretórios de usuários.

📌Lembretes:

  • O Logon único do TeamViewer é baseado no domínio que você configurou. Isso significa que todas as contas do TeamViewer existentes em sua empresa ou fora dela serão encaminhadas ao provedor de identidade.
  • O endereço de e-mail do usuário do Microsoft Entra ID  deve corresponder ao endereço de e-mail da conta do TeamViewer correspondente.
  • A entrada TXT deve ser visível em público. Você pode verificar isso usando uma ferramenta de pesquisa DNS TXT.

Este artigo se aplica a clientes do TeamViewer (Classic) com uma  licença Enterprise/Tensor.

Requisitos

Para usar o Logon único do TeamViewer, você precisa

  • um TeamViewer versão 13.2.1080 ou mais recente
  • um provedor de identidade compatível com SAML 2.0 (IdP) *
  • uma conta TeamViewer para acessar o Management Console e adicionar domínios
  • acesso ao gerenciamento de DNS do seu domínio para verificar a propriedade do domínio
  • uma licença do TeamViewer Tensor (Classic).

1. Crie seu identificador personalizado

Esse identificador personalizado não é armazenado pelo TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Single Sign-On e será necessária uma nova configuração. 

Qualquer string aleatória pode ser usada como identificador de cliente. Recomenda-se não usar caracteres especiais no identificador personalizado.

📌Lembretes:

  • Você pode usar, por exemplo, um gerador de senhas online ou seu gerador de senhas interno, se sua empresa tiver um.
  • Esta string é posteriormente necessária para a configuração do IdP.

2. Configuração do provedor de identidade Microsoft Entra ID

Para conectar o TeamViewer ao Microsoft Entra ID como provedor de identidade, é necessário criar um aplicativo para seu Microsoft Entra ID. As etapas para criar e configurar um aplicativo corporativo estão descritas abaixo:

1. Abra um navegador e faça login em "portal.azure.com" com uma conta que tenha permissões de administrador global.

2. Você verá uma tela inicial. Selecione lá o Serviço do Azure "Azure Active Directory"

3. Depois de selecionar o Azure Service Azure Active Directory, você verá uma visão geral, selecione no lado esquerdo na seção Gerenciar a opção  Aplicativos corporativos

4. Agora, a visão geral com todos os aplicativos corporativos que você possui no Azure AD será aberta.

5. Clique  em Todos os aplicativos (1)  seguido por

6. Clique  em Novo Aplicativo (2)

7. Na próxima janela, clique em  Criar seu próprio aplicativo

8. Agora você pode criar seu próprio aplicativo:

  • Digite um nome para seu aplicativo
  • Selecione  Integrar qualquer outro aplicativo que você não encontre na galeria (Sem galeria)
    • 📌Lembrete: Não selecione o aplicativo TeamViewer sugerido do Azure.
  • Clique em  Criar

9. Depois de criar o aplicativo, você verá a visão geral deste aplicativo.

10. Clique na  seção Gerenciar  a opção Logon  único  e selecione o   Método SAML

11. Agora você pode  editar  a configuração SAML

12. Depois de salvar a primeira etapa, você recebe a pergunta se deseja testar o Logon único. Clique em Não, testarei mais tarde

13. Na próxima seção você deve editar os Atributos e Reivindicações

14. Clique em Adicionar nova reclamação para adicionar uma nova reclamação

  • Insira como  Nome  o valor  customeridentifier
  • Para o Namespace, o valor http://sso.teamviewer.com/saml/claims
  • No atributo Origem, insira o identificador personalizado, que você criou no início
  • Clique em Salvar

15. Você verá a nova reivindicação adicionada na Visão geral

16. Na próxima etapa, você baixa o  Arquivo XML de Metadados  ou copia a  URL de Metadados

  • Você precisa de um deles para as etapas a seguir no TeamViewer Management Console.

17. Antes de concluir a configuração do TeamViewer Management Console, adicione Grupos/Usuários ao aplicativo.

📌Lembrete: Isso é necessário para que os usuários possam entrar com sucesso em suas contas do TeamViewer e os grupos/usuários serão usados ​​para o AD SCIM Sync posteriormente.

  • Clique no Aplicativo em Usuários e grupos
  • Clique em Adicionar usuário/grupo

3. Configuração do TeamViewer Management Console (MCO)

1. Abra um navegador da web e assine com sua conta TeamViewer licenciada no TeamViewer Management Console .

📌Lembrete: As permissões de usuário da conta TeamViewer devem ser de administrador da empresa

  • Clique em Administração da empresa
  • Clique em Logon único
  • Clique em Adicionar primeiro domínio "

2. Na próxima janela, você pode inserir o domínio que deseja usar para Single Sign-On.

📌Lembrete: Repita esta etapa se quiser usar vários domínios para o TeamViewer logon único. Use o mesmo arquivo XML ou URL XML para os diferentes domínios. O único requisito aqui é que os domínios estejam vinculados ao mesmo Microsoft Entra ID Tenant.

  • Digite seu domínio
  • Selecione o Tipo de Configuração
  • Carregue o arquivo XML de metadados
  • Ativar opções adicionais

📌Lembrete para Subdomínios: Este recurso permite não apenas incluir o domínio (example.com) para o login SSO, mas também todos os subdomínios (como sub.example.com)

📌Lembrete para Desativar Emails de Ativação: As contas SSO criadas sob este domínio receberão ou não emails de ativação dependendo desta opção. Contas recém-criadas não receberão e-mails de ativação se esta opção estiver habilitada

  • Clique em Avançar

3. Na próxima seção, você pode adicionar contas à Lista de Exclusão de Logon Único. Se você não tiver algo para adicionar, clique em  Avançar.

🚨Importante: é altamente recomendável adicionar todos os proprietários de domínio à lista de exclusão para que eles ainda possam fazer login se o SSO precisar de uma nova configuração. Testes de login SSO devem ser executados com uma segunda conta.

📌Lembrete para exclusões de e-mail: você pode especificar endereços de e-mail que serão excluídos do Identity Provider Connection. Essas contas podem entrar no TeamViewer normalmente sem autenticação do provedor de identidade. Recomenda-se excluir o proprietário de um domínio como fallback, caso a configuração não esteja correta ou o provedor de identidade não esteja disponível.

4. Esta etapa (Identificador personalizado de Logon único) pode ser ignorada com o Clique em  Avançar, pois você já criou o Identificador personalizado no início

4. Verificação de domínio

📌Lembretes:

  • Você verá nesta tela as informações para o gerenciamento do seu servidor DNS. Você precisa das informações do campo  Nome/Host  e as informações do campo  Valor/Dados.
  • Copie do campo  Valor/Dados , você precisará dessas informações posteriormente.

1. Na janela de verificação de domínio, faça o seguinte:

  • Você pode clicar em  Iniciar verificação.
  • Você pode clicar em  Ignorar.

📌Lembretes:

  • Se você seguir este guia do início ao fim, clique em Pular  nesta janela.
  • Você pode voltar à página de verificação a qualquer momento e ver os valores quando o domínio não for verificado.

2. Volte para o  TeamViewer Management Console.

📌Lembrete: As permissões de usuário da conta TeamViewer devem ser "Administrador da empresa"

  • Clique  em Administração da empresa
  • Clique  em Logon único
  • Clique na  caneta  para editar o domínio

3. Clique  em Verificação de Domínio

4. Clique  em Copiar para o Valor

5. Clique em Iniciar verificação  depois de concluir as etapas em seu gerenciamento de servidor DNS

📌Lembretes:

  • A entrada TXT deve ser visível em público. Você pode verificar isso usando uma  ferramenta de pesquisa DNS TXT. O Google irá ajudá-lo neste caso.
  • O TeamViewer procurará o registro de verificação TXT por 24 horas após iniciar a verificação. Caso não possamos encontrar o registro TXT em 24 horas, a verificação falha e o status é atualizado de acordo. Você precisa reiniciar a verificação por meio desta caixa de diálogo neste caso. 

📌Lembrete: A seguir mostra o gerenciamento do servidor DNS para um domínio que é gerenciado pela Cloudflare. Seu gerenciamento de servidor DNS pode parecer diferente!

Depois de fazer login no Cloudflare Dashboard, selecione o domínio.

  • Clique em DNS e clique em  Adicionar registro
  • Selecione como  Tipo  ➜  TXT
  • Digite para o  Nome  ➜  @
  • Enter for  Content  ➜  The TeamViewer SSO Verification Value  da etapa acima
  • Clique  em Salvar

Configuração do aplicativo TeamViewer

O TeamViewer é compatível com Single Sign-On a partir da versão 13.2.1080.

As versões anteriores não são compatíveis com o Single Sign-On e não podem redirecionar os usuários para seu provedor de identidade durante o login. A configuração do aplicativo é opcional, mas permite alterar o navegador utilizado para o login SSO do IdP.

O aplicativo TeamViewer usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar este comportamento:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌Lembrete: Você precisará reiniciar o aplicativo TeamViewer após criar ou alterar o registro.