Mit SCIM (System for Cross-domain Identity Management) ist es möglich, Benutzer und Microsoft Entra Gruppen aus Microsoft Entra ID (ehemals Azure AD) mit TeamViewer zu synchronisieren.
📌 Hinweis: Dies erfordert ein Microsoft Entra Premium Lizenz Abonnement.
Es ermöglicht Administratoren, Benutzer innerhalb der Microsoft Entra ID zu erstellen, zu aktualisieren und zu löschen und ihre TeamViewer Konten innerhalb von 1h (dem aktuellen Microsoft Entra-Update-Intervall) automatisch zu aktualisieren.
Dieser Artikel richtet sich an alle mit einer Tensor Lizenz.
Voraussetzung
Um diese Funktion nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen:
- eine gültige Tensor Lizenz für TeamViewer
- ein Microsoft Entra Premium Lizenz Abonnement
- der nachstehenden Anleitung zu folgen, um SCIM einzurichten
- Es wird empfohlen, SCIM Sync mit dem Single Sign-On Microsoft Entra Setup zu kombinieren
TeamViewer Script Token erstellen
1.) Öffnen Sie einen Browser und öffnen Sie die TeamViewer (Classic) Management Console.
(A) Melden Sie sich mit Ihrem lizenzierten TeamViewer Konto an.
(B) Wählen Sie Profil bearbeiten.
2.) Wählen Sie anschließend Apps (1) und dann Sktipt-Token erstellen (2).
3.) Geben Sie einen Namen für Ihr API-Token ein und wählen Sie die folgenden Optionen für das Token.
4.) Klicken Sie auf Create, um Ihr API-Token zu erhalten.
5.) Nachdem das Token erstellt wurde, sehen Sie das Token in der Übersicht. Klappen Sie das Token auf, um das API-Token zu sehen. Kopieren Sie das Token, Sie benötigen es später in der Microsoft Entra ID.
SCIM-Bereitstellung in Microsoft Entra ID einrichten
📌 Hinweis: Es wird empfohlen, die SCIM-Bereitstellung mit dem Single Sign-On für Microsoft Entra ID zu kombinieren.
📌 Hinweis: Wenn Sie die Anwendung für Single Sign-On bereits erstellt haben, können Sie die gleiche Anwendung auch für die SCIM-Bereitstellung verwenden.
📌 Hinweis: Die folgenden Schritte setzen voraus, dass Sie bereits eine Enterprise Anwendung erstellt haben. Falls nicht, lesen Sie bitte den Artikel Single Sign-On für Microsoft Entra ID, denn dort wird beschrieben, wie Sie eine Enterprise Anwendung erstellen.
1.) Gehen Sie zu Ihrer erstellten Enterprise Anwendung und wählen Sie Provisioning.
2.) Sie sehen ein neues Fenster. Bitte klicken Sie auf Get started.
(1) Wählen Sie Automatic für den Provisioning Mode.
(2) Geben Sie die Tenant URL https://webapi.teamviewer.com/scim/v2 ein.
(3) Geben Sie als Secret Token das API-Token ein, das Sie bereits erstellt haben.
(4) Klicken Sie auf Test Connection.
(5) Wenn die Testverbindung erfolgreich war, können Sie mit Save bestätigen.
3.) Jetzt können Sie die Zuordnungen für Ihre Bereitstellung bearbeiten.
Bearbeiten Sie zunächst die Provision Microsoft Entra ID Groups.
(1) Wenn Sie die Microsoft Entra ID Gruppen für die TeamViewer Benutzergruppen nutzen möchten, aktivieren Sie diese bitte.
(2) Aktivieren Sie alle Optionen für Target Object Actions.
(3) Vergewissern Sie sich, dass Sie nur das Microsoft Entra ID Attribute, wie auf dem Screenshot gezeigt, gesetzt haben. Löschen Sie alle anderen Einträge, falls Sie welche sehen.
(4) Klicken Sie abschließend auf Save.
4.) Im nächsten Schritt bearbeiten Sie die Provision Microsoft Entra ID Users.
(1) Prüfen Sie, ob die Benutzersynchronisation aktiviert ist.
(2) Entfernen Sie die Option Delete, da die SCIM API keine Benutzer in der TeamViewer (Classic) Management Console löschen kann.
(3) Vergewissern Sie sich, dass Sie nur das Microsoft Entra ID Attribute, wie auf dem Screenshot gezeigt, gesetzt haben. Löschen Sie alle anderen Einträge, falls Sie welche sehen.
5.) Aktivieren Sie die Option Show advanced options und klicken Sie auf Edit attribute list for customappsso.
6.) Erstellen Sie in der Attributliste einen neuen String.
7.) Geben Sie den Wert urn:ietf:params:scim:schemas:extension:teamviewer:1.0:SsoUser:ssoCustomerIdein.
8.) Klicken Sie auf Save und bestätigen Sie die Änderungen mit Yes.
9.) Zurück im Microsoft Entra ID Attribute, bearbeiten Sie das Attribut preferredLanguage.
10.) Wenn Sie das Attribut preferredLanguage bearbeiten:
(1) Ändern Sie Apply this mapping von Always.
(2) auf Only during object creation.
(3) Bestätigen Sie die Änderung mit OK.
11.) Wieder im Microsoft Entra ID Attribute.
(1) Klicken Sie auf Add New Mapping.
(1) Ändern Sie den Mapping-Typ auf Constant.
(2) Geben Sie als Constant Value den Custom Identifier ein, den Sie bereits im Single Sign-On für Microsoft Entra ID verwenden.
📌 Hinweis: Wenn Sie nicht denselben Custom Identifier verwenden, wird die Benutzersynchronisierung nicht korrekt funktionieren.
(3) Wählen Sie für das Target attribute das zuvor erstellte benutzerdefinierte Attribut urn:ietf:params:scim:schemas:extension:teamviewer:1.0:SsoUser:ssoCustomerId
(4) Ändern Sie Apply this mapping von Always auf Only during object creation.
(5) Bestätigen Sie Ihre Änderungen mit OK.
(1) Klicken Sie in der Navigationsleiste auf Provisioning.
(2) Schalten Sie den Bereitstellungsstatus von Off auf On.
(1) Klicken Sie in der Anwendung auf Users and groups.
(2) Klicken Sie auf Add user/group.
📌 Hinweis: Sie müssen eine Microsoft Entra ID Gruppe zuweisen, wenn Sie die ausgewählte Microsoft Entra ID Gruppe für die TeamViewer Benutzergruppen verwenden möchten.
