Mit SCIM (System for Cross-domain Identity Management) ist es möglich, Benutzer und Microsoft Entra Groups von Microsoft Entra ID (früher Azure AD) nach TeamViewer zu synchronisieren.
📌 Hinweis: Dies erfordert ein Microsoft Entra Premium Lizenz-Abo.
Es ermöglicht Administratoren, Benutzer innerhalb der Microsoft Entra ID zu erstellen, zu aktualisieren und zu deaktivieren und ihre TeamViewer Konten automatisch innerhalb von 1h (dem aktuellen Microsoft Entra Update-Intervall) zu aktualisieren.
Dieser Artikel richtet sich an alle mit einer Enterprise/Tensor Lizenz.
Voraussetzung
Um diese Funktion nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen:
- Sie haben eine gültige Tensor Lizenz für TeamViewer
- Sie haben ein Microsoft Entra Premium Lizenz-Abonnement
- Folgen Sie der nachstehenden Anleitung, um SCIM einzurichten
- Es wird empfohlen, SCIM Sync mit dem Single Sign-On Microsoft Entra Setup zu kombinieren.
TeamViewer Skript-Token erstellen
- Melden Sie sich bei TeamViewer unter https://web.teamviewer.com/ an.
- Gehen Sie in die Admin-Einstellungen.
- Klicken Sie im Abschnitt Authentifizierung auf Apps & Token.
- Klicken Sie auf Profileinstellungen.
- Klicken Sie auf Apps oder Token erstellen.
- Klicken Sie auf Skript-Token erstellen.
- Geben Sie einen Namen für Ihr API-Token ein und wählen Sie die folgenden Optionen für das Token.
Kontoverwaltung
- Online-Status anzeigen
- Kontodaten anzeigen
- E-Mail-Adresse anzeigen
- Lizenz anzeigen
Benutzerverwaltung
- Benutzer erstellen
- Benutzer bearbeiten
- Benutzer anzeigen
Benutzergruppen
- Benutzergruppen erstellen
- Benutzergruppen löschen
- Benutzergruppen bearbeiten
- Benutzergruppen lesen
Um Ihr Skript-Token zu erstellen, klicken Sie auf Speichern.
Nachdem das Token erstellt wurde, sehen Sie das Token in der Übersicht. Klicken Sie auf das Menü mit den drei Punkten (⋮), um das API-Token anzuzeigen. Kopieren Sie das Token; Sie benötigen es später in der Microsoft Entra ID.
SCIM-Bereitstellung in Microsoft Entra ID einrichten
📌 Hinweise:
- Es wird empfohlen, die SCIM-Bereitstellung mit dem Single Sign-On für Microsoft Entra
- Wenn Sie die Anwendung für Single Sign-On bereits erstellt haben, können Sie dieselbe Anwendung auch für das SCIM Provisioning verwenden.
- Die folgenden Schritte gehen davon aus, dass Sie bereits eine Unternehmensanwendung erstellt haben. Falls nicht, lesen Sie bitte den Artikel Single Sign-On für Microsoft Entra ID, denn dort wird beschrieben, wie Sie eine Unternehmensanwendung erstellen.
1. Gehen Sie zu Ihrer erstellten Enterprise Application und wählen Sie Provisioning
2. Es wird ein neues Fenster angezeigt. Bitte klicken Sie auf Get started.
(1) Wählen Sie den Bereitstellungsmodus Automatic.
(2) Geben Sie die Tenant-URL ein: https://webapi.teamviewer.com/scim/v2
(3) Geben Sie als Secret Token das API Token ein, das Sie bereits erstellt haben.
(4) Klicken Sie auf Test connection.
(5) Wenn die Testverbindung erfolgreich war, können Sie auf Save.
3. Jetzt können Sie die Zuordnungen für Ihre Bereitstellung bearbeiten.
Bearbeiten Sie zunächst die Provision Microsoft Entra ID Groups
(1) Wenn Sie die Microsoft Entra ID-Gruppen für die TeamViewer Benutzergruppen verwenden möchten, aktivieren Sie sie bitte.
(2) Aktivieren Sie alle Optionen für Target Object Actions.
(3) Vergewissern Sie sich, dass Sie nur das Microsoft Entra ID Attribute wie im Screenshot gezeigt eingestellt haben. Löschen Sie alle anderen Einträge, falls Sie diese sehen.
(4) Klicken Sie auf Save.
4.) Im nächsten Schritt bearbeiten Sie die Provision Microsoft Entra ID Users
(1) Bitte prüfen Sie, ob die Benutzer-Synchronisation aktiviert ist.
(2) Entfernen Sie die Option "Delete", da die SCIM-API keine Benutzer in TeamViewer (Classic) Management Console löschen kann.
(3) Vergewissern Sie sich, dass Sie nur das "Azure Active Directory-Attribute" wie auf dem Screenshot angezeigt eingestellt haben. Löschen Sie alle anderen Einträge, falls Sie sie sehen
5.) Aktivieren Sie die Option Show advanced options und klicken Sie auf nach Edit attribute list for customappsso.
6.) Erstellen Sie in der Attributliste einen neuen String
7.) Geben Sie den Wert urn :ietf:params:scim:schemas:extension:teamviewer:1.0:SsoUser:ssoCustomerId
8.) Klicken Sie auf Save und bestätigen Sie die Änderungen mit Ja
9.) Zurück im Azure Active Directory Attribut, bearbeiten Sie das Attribut preferredLanguage
10.) Wenn Sie das Attribut preferredLanguage bearbeiten
(1) Ändern Sie Apply this mapping von Always
(2) zu Only during object creation
(3) Bestätigen Sie die Änderung mit OK
11.) Wieder im Azure Active Directory Attribute
(1) Klicken Sie auf Add New Mapping
(1) Ändern Sie den Mapping-Typ in Constant.
(2) Geben Sie für Constant Value den Custom Identifier ein, den Sie bereits aus dem Single Sign-On für Microsoft Entra ID verwenden.
📌 Hinweis: Wenn Sie nicht denselben benutzerdefinierten Bezeichner verwenden, funktioniert die Benutzersynchronisierung nicht korrekt.
(3) Wählen Sie für das Target attribute das zuvor erstellte benutzerdefinierte Attribut urn :ietf:params:scim:schemas:extension:teamviewer:1.0:SsoUser:ssoCustomerId
(4) Ändern Sie Apply this mapping von Always auf Only during object creation.
(5) Bestätigen Sie die Änderung mit OK.
(1) Klicken Sie in der Navigationsleiste auf Provisioning.
(2) Schalten Sie den Bereitstellungsstatus von Off auf On.
(1) Klicken Sie in der Anwendung auf Users and groups.
(2) Klicken Sie auf Add user/group.
📌 Hinweis: Sie müssen eine Microsoft Entra ID-Gruppe zuweisen, wenn Sie die ausgewählte Microsoft Entra ID-Gruppe für die TeamViewer Benutzergruppen verwenden möchten.
