O TeamViewer Tensor (Classic) com Logon único, ou Single Sign-On, oferece à TI mais controle sobre o provisionamento de contas de usuários corporativos para acesso e suporte remotos do TeamViewer Tensor (Classic). Ao limitar o acesso apenas a usuários com e-mails corporativos, o TeamViewer Tensor (Classic) com SSO permite impedir que usuários não autorizados usem sua plataforma de acesso remoto empresarial.

  • Centralize o controle de senha por meio de seu provedor de serviços de identidade SSO, para que a TI não precise gerenciar senhas, reduzindo as solicitações de redefinição de senha.
  • Aplique automaticamente políticas de senha corporativa e regras de autenticação de identidade a todos os usuários autorizados do TeamViewer Tensor (Classic).
  • Efetue o desligamento de funcionários, sem se preocupar com acesso não autorizado por backdoor por meio do TeamViewer.
  • Melhore a experiência do usuário final permitindo que os funcionários façam login no TeamViewer Tensor (Classic) com as mesmas credenciais de login SSO que já estão usando para seus aplicativos corporativos —  sem login separado do TeamViewer Tensor (Classic) com outra senha para lembrar .

Este artigo se aplica aos clientes TeamViewer (Classic) com uma licença Enterprise/Tensor.

Requisitos

Para usar o Logon único TeamViewer, você precisa:

  • do TeamViewer versão 13.2.1080 ou mais recente;
  • um provedor de identidade compatível com SAML 2.0 (IdP)*;
  • uma Management Console e adicionar domínios;
  • acesso ao gerenciamento de DNS de seu domínio para verificar a propriedade do domínio;
  • e de uma assinatura do TeamViewer Tensor (Classic).

* Atualmente, oferecemos suporte apenas para Centrify, Okta, Azure, OneLogin, ADFS e G Suite, mas estamos trabalhando para oferecer suporte a mais IdPs no futuro. Os IdPs acima foram testados e as etapas detalhadas para configurar um desses IdP podem ser encontradas neste documento e em outras páginas associadas sobre SSO e os respectivos IdPs. 

📌Lembrete: Se você usar um IdP diferente, use as informações técnicas para configurar seu IdP manualmente.

💡Dicas:

  • Ao adicionar um domínio para o Logon único, é recomendável adicionar a conta proprietária à lista de exclusão. O motivo para isso é um cenário de fallback em que você mantém o acesso à configuração do domínio mesmo se o IdP não estiver funcionando. 
    • Exemplo: A conta TeamViewer "[email protected]" adiciona o domínio „example.com“ para Logon único. Após adicionar o domínio, o endereço de e-mail "[email protected]" deve ser adicionado à lista de exclusão. Isso é necessário para fazer alterações na configuração do Logon único, mesmo quando o Logon único não funcionar devido a uma configuração incorreta.
  • Ao adicionar um domínio paro Logon único, é recomendável adicionar proprietários adicionais ao domínio de Logon único, uma vez que a propriedade do Logon único não é herdada dentro de sua empresa. 
    • Exemplo: Depois que a conta TeamViewer "[email protected]" adicionar o domínio „example.com“ para Logon único, ele adiciona vários administradores da empresa (por exemplo, "[email protected]") como proprietários de domínio, para que também possam gerenciar o domínio e suas configurações de Logon único.

O Logon único (SSO) é ativado em um nível de domínio para todas as contas TeamViewer usando um endereço de e-mail com este domínio. Uma vez ativado, todos os usuários que se conectarem a uma conta TeamViewer correspondente serão redirecionados para o provedor de identidade que foi configurado para o domínio. Esta etapa é necessária independentemente de qual IdP é usado.

Por motivos de segurança e para evitar abusos, é necessário verificar a propriedade do domínio antes que o recurso seja ativado.

Adicionar um novo domínio

Para ativar o SSO, faça login no Management Console, selecione Administração da empresa e, em seguida, a entrada do menu Logon único. Clique em Adicionar domínio  e insira o domínio para o qual deseja ativar o SSO.

Você também precisará informar os metadados do seu provedor de identidade. Existem três opções disponíveis para fazer isso:

  • via URL: insira seu URL de metadados IdP no campo correspondente
  • via XML: selecione e envie seu XML de metadados
  • Configuração manual: informe manualmente todas as informações necessárias. Observe que a chave pública deve ser uma string codificada em Base64.

Criar um identificador personalizado

Depois que o domínio for adicionado, o identificador personalizado pode ser gerado. Este identificador personalizado não é armazenado pelo TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Logon único e uma nova configuração será necessária. Qualquer string aleatória pode ser usada como identificador de cliente. Esta string é necessária posteriormente para a configuração do IdP.

Verificar a propriedade do domínio

Depois que um domínio tiver sido adicionado com sucesso, você precisa verificar a propriedade do domínio.

o Logon único não será ativada antes que a verificação do domínio seja concluída.

Para verificar o domínio, crie um novo registro TXT para o seu domínio com os valores mostrados na página de verificação.

📌Lembrete: O processo de verificação pode levar várias horas por causa do sistema DNS.

A caixa de diálogo para adicionar um registro TXT pode ser semelhante a:

📌Lembrete: Dependendo do seu sistema de gerenciamento de domínio, a descrição dos campos de entrada pode variar.

Após criar o novo registro TXT, inicie o processo de verificação clicando no botão Iniciar Verificação

📌Lembre- se de que: O processo de verificação pode levar várias horas por causa do sistema DNS.

💡Dica: O TeamViewer procurará o registro de verificação TXT por 24 horas após o início da verificação. Caso não encontremos o registro TXT dentro de 24 horas, a verificação falhará e o status será atualizado de acordo. Você precisa reiniciar a verificação através desta caixa de diálogo neste caso. 

 

Configuração do provedor de identidade

Cada provedor de identidade requer sua própria configuração, a qual é abordada em artigos dedicados da base de conhecimento:

  • Serviços de Federação do Active Directory (ADFS):

📄 Logon Único com Serviços de Federação do Active Directory (ADFS)

  • Azure Active Directory

📄 Azure Active Directory - Logon único

  • Centrify

📄 Logon único com Centrify

  • G Suite

📄 Logon único com G Suite

  • Okta

📄 Logon único com Okta

  • OneLogin

📄 Logon único com OneLogin

Configuração do aplicativo TeamViewer

O TeamViewer é compatível com Single Sign-On a partir da versão 13.2.1080.

As versões anteriores não são compatíveis com o Single Sign-On e não podem redirecionar os usuários para seu provedor de identidade durante o login. A configuração do aplicativo é opcional, mas permite alterar o navegador utilizado para o login SSO do IdP.

O aplicativo TeamViewer usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar este comportamento:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌Lembrete: Você precisará reiniciar o aplicativo TeamViewer após criar ou alterar o registro.

Informações técnicas

Esta seção lista os detalhes técnicos do TeamViewer SAML Service Provider (SP). Esses dados podem ser relevantes para adicionar outros IdPs além dos descritos acima.

Metadados do provedor de serviços SAML:

SP Metadata URL

ID da entidade

Audiência

URL de atendimento ao cliente de afirmação

Afirmação de ligações de serviços ao consumidor

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec

Algoritmo de assinatura de solicitação SAML

http://www.w3.org/2001/04/xmldsig-more#rsa-sha256

TeamViewer suporta SHA-256 como algoritmo de assinatura. Exigimos que a declaração SAML seja assinada, enquanto a assinatura da resposta SAML é opcional, mas recomendada.

NameID

Não especificado.

 Reivindicações de resposta SAML exigidas:

IDeve ser mapeado para um identificador de usuário exclusivo dentro do escopo do IdP (e, portanto, dentro do escopo da empresa correspondente).

Por exemplo, pode ser o GUID de objeto do Active Directory para ADFS ou o endereço de e-mail do Okta

Este atributo deve ser mapeado para o endereço de e-mail do usuário que deseja fazer login. O endereço de e-mail deve ser o mesmo configurado na conta TeamViewer. O mapeamento/comparação é feito com diferenciação de maiúsculas e minúsculas.

Este atributo deve retornar um identificador específico do cliente.

O TeamViewer requer um identificador de cliente como declaração personalizada na resposta SAML para a configuração inicial de contas de Logon único.

O identificador do cliente não é armazenado pelo TeamViewer. Sua alteração posterior interromperá o logon único, e uma nova configuração será necessária.

Qualquer string aleatória pode ser usada como identificador de cliente.

Certificado de assinatura e criptografia (chave pública)

A chave pública do certificado que é usado para assinar solicitações SAML e para a criptografia de respostas SAML pode ser obtida executando o seguinte comando PowerShell:

"-----BEGIN PUBLIC KEY-----`n" + `
((Select-Xml `
-Content ((Invoke-WebRequest `
https://sso.teamviewer.com/saml/metadata.xml).Content) `
-xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + `
"`n-----END PUBLIC KEY-----" `
| Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii

O comando baixa os metadados, extrai a chave pública e grava em um arquivo.