TeamViewer Single Sign-On (SSO) zielt darauf ab, den Aufwand für die Benutzerverwaltung großer Unternehmen zu reduzieren, indem TeamViewer mit Identitätsanbietern und Benutzerverzeichnissen verbunden wird.
Dieser Artikel richtet sich an alle mit einer Tensor-Lizenz .
Anforderungen
Um TeamViewer Single Sign-On (SSO) zu verwenden, benötigen Sie:
- eine TeamViewer Version 13.2.1080 oder neuer
- ein SAML 2.0-kompatibler Identity Provider (IdP)*
- ein TeamViewer-Konto für den Zugriff auf die Management Console und das Hinzufügen von Domains
- Zugriff auf die DNS-Verwaltung Ihrer Domain, um die Domain-Inhaberschaft zu verifizieren
- eine TeamViewer Tensor-Lizenz
Leitfaden zur SSO-Konfiguration
Führen Sie die folgenden Schritte aus, um Ihre SSO-Konfiguration für Okta einzurichten.
Hinzufügen einer neuen Domäne
1. Öffnen Sie die Okta-App.
2. Gehen Sie zu Applications und wählen Sie Applications.
3. Klicken Sie auf den Button Create App-Integration.
4. Wählen Sie SAML 2.0 aus, geben Sie Ihrer App einen Namen und klicken Sie dann auf Next.
5. Füllen Sie in den SAML-Einstellungen die Felder mit den folgenden Informationen aus:
6. Klicken Sie nun auf Show Advanced Settings.
7. Ändern Sie die Assertion Encryption in Encrypted.
8. Als nächstes müssen Sie den öffentlichen TeamViewer-Schlüssel abrufen, um ihn in das Feld Encryption Certificate hochzuladen.
Anmerkung: Diese Datei muss im Base64-Format vorliegen.
Holen Sie sich den TeamViewer public key:
Der public key des Zertifikats, der zum Signieren von SAML-Anfragen und für die Verschlüsselung von SAML-Antworten verwendet wird, kann durch Ausführen des folgenden PowerShell-Befehls abgerufen werden:
"-----BEGIN PUBLIC KEY-----'n"+ ' ((Select-XML ' -Content ((Invoke-WebRequest ' https://sso.teamviewer.com/saml/metadata.xml). Inhalt) ' -xpath "//*[local-name()='X509Certificate']"). Knoten[0].' #text') + ' "'n-----END PUBLIC KEY-----" ' | Out-File -FilePath "sso.teamviewer.com -saml.cer" -Encoding ascii
Der Befehl lädt die Metadaten herunter, extrahiert den public key und schreibt ihn in der Datei sso.teamviewer.com - saml.cer im ASCII-Format.
Nach Abschluss müssen Sie diese Datei in einen Base64-.cer Dateityp konvertieren.
Konvertieren der Datei sso.teamviewer.com - saml.cer
Um die Datei sso.teamviewer.com - saml.cer in Base64 zu konvertieren, gehen Sie wie folgt vor:
1. Klicken Sie mit der rechten Maustaste und wählen Sie Öffnen.
2. Klicken Sie auf Registerkarte Details und wählen Sie In Datei Kopieren.
3. Klicken Sie auf Weiter.
4. Wählen Sie Base-64-codiertes X.509 aus.
5. Klicken Sie auf Weiter.
6. Geben Sie den Dateinamen ein.
7. Klicken Sie auf Weiter.
8. Klicken Sie auf Fertigstellen.
Das Ergebnis sollte wie folgt aussehen:
Bevor Sie die beiden erforderlichen Attribute Statements hinzufügen können, müssen Sie auf Weiter klicken, um den public key für Okta und andere Informationen abzurufen, die zum Ausfüllen der Informationen in den SSO-Einstellungen in der TeamViewer Management Console erforderlich sind. Sie werden danach wieder hierher zurückkehren, um zu vervollständigen.
1. Wählen Sie I'm an OKTA Customer aus und fügen Sie eine interne App hinzu.
2. Wählen Sie This is internal und klicken Sie auf Complete.
3. Klicken Sie auf View SAML setup instructions.
4. Melden Sie sich bei der TeamViewer Management Console an und:
ein) Wählen Sie Firmenverwaltung
b) Wählen Sie Single Sign-On
c) Klicken Sie auf das + -Zeichen oder auf Erste Domain hinzufügen
d) Geben Sie Ihre Domain ein, für die Sie SSO aktivieren möchten
e) Ändern Sie die Konfiguration auf Manuell
f) Kopieren Sie die Informationen aus (1) und fügen Sie sie in das Feld Single Sign-On-URL ein.
g) Kopieren Sie die Informationen aus (2) und fügen Sie sie in das Feld Entitäts-ID ein
h) Kopieren Sie die Informationen aus (3) und fügen Sie sie in das Feld "public key" ein, wobei die erste und letzte Zeile ausgeschlossen sind
Ich) Aktivieren Sie das Kontrollkästchen Aktivierungs-E-Mails für die angegebene Domain deaktivieren
j) Klicken Sie auf Weiter
k) Geben Sie alle E-Mail-SSO-Ausschlüsse ein, die Sie von SSO ausschließen möchten
l) Klicken Sie erneut auf Weiter
Die Ergebnisse sollten in etwa so aussehen:
Als Nächstes müssen Sie Ihren customer identifier erstellen.
Nachdem die Domäne hinzugefügt wurde, kann die customer identifier generiert werden. Diese benutzerdefinierte Kennung wird nicht von TeamViewer gespeichert, sondern für die Erstkonfiguration von SSO verwendet. Es darf zu keinem Zeitpunkt geändert werden, da dies das Single Sign-On unterbricht und ein neues Setup erforderlich ist. Jede beliebige Zeichenfolge kann als Kundenkennung verwendet werden. Diese Zeichenfolge wird später für die Konfiguration des IdP benötigt.
Speichern Sie diese unbedingt, da Sie sie später wieder benötigen.
Überprüfen der Domäneninhaberschaft
Nachdem eine Domäne erfolgreich hinzugefügt wurde, müssen Sie den Domänenbesitz überprüfen.
Single Sign-On wird erst aktiviert, wenn die Domain-Verifizierung abgeschlossen ist.
Um die Domain zu verifizieren, erstellen Sie bitte einen neuen TXT-Eintrag für Ihre Domain mit den auf der Verifizierungsseite angezeigten Werten.
Anmerkung: Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern.
Das Dialogfeld zum Hinzufügen eines TXT-Eintrags könnte in etwa wie folgt aussehen:
Notizen:
- Abhängig von Ihrem Domain-Management-System kann die Beschreibung der Eingabefelder variieren.
- Nachdem Sie den neuen TXT-Eintrag erstellt haben, starten Sie den Verifizierungsprozess, indem Sie auf die Schaltfläche Verifizierung starten und dann auf Fertig stellen.
- Der Verifizierungsprozess kann aufgrund des DNS-Systems mehrere Stunden dauern, dauert jedoch in der Regel etwa eine Minute.
Hinweis: TeamViewer sucht 24 Stunden lang nach dem Start der Verifizierung nach dem TXT-Verifizierungsdatensatz. Falls wir den TXT-Eintrag innerhalb von 24 Stunden nicht finden können, schlägt die Verifizierung fehl und der Status wird entsprechend aktualisiert. In diesem Fall müssen Sie die Überprüfung über dieses Dialogfeld neu starten.
1. Wählen Sie die Registerkarte General und bearbeiten Sie Ihre SAML-Einstellungen.
2. Klicken Sie auf Continue.
3. Gehen Sie zum Abschnitt Attribute Statements und geben Sie die folgenden zwei Attribute ein:
- Name Format
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddreß
Wert: user.email
- Unspecified
http://sso.teamviewer.com/saml/claims/customeridentifier
Dieses Attribut muss von jedem Kunden bei der erstmaligen Einrichtung von TeamViewer SSO angegeben werden.
Wichtig: Der Customer Identifier, die ursprünglich festgelegt wurde, darf sich nicht ändern. Andernfalls wird SSO unterbrochen. TeamViewer speichert diesen Wert nicht.
Ihre Ergebnisse sollten wie folgt aussehen:
4. Klicken Sie auf Continue und dann auf Finish.
TeamViewer Client Konfiguration
TeamViewer ist ab Version 13.2.1080 mit Single Sign-On kompatibel.
Frühere Versionen unterstützen Single Sign-On nicht und können Benutzer während der Anmeldung nicht zu Ihrem Identitätsanbieter umleiten. Die Client-Konfiguration ist optional , erlaubt es aber, den verwendeten Browser für die SSO-Anmeldung des IdP zu ändern.
Der TeamViewer-Client verwendet standardmäßig einen eingebetteten Browser für die Authentifizierung des Identitätsanbieters. Wenn Sie lieber den Standardbrowser des Betriebssystems verwenden möchten, können Sie dieses Verhalten ändern:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Hinweis: Sie müssen den TeamViewer Client neu starten, nachdem Sie die Registrierung erstellt oder geändert haben.
1. Öffnen Sie die TeamViewer Management Console und melden Sie sich mit Ihrem lizenzierten TeamViewer Konto an.
3. Klicken Sie auf Ihren Profilnamen und wählen Sie Profil bearbeiten.
4. Klicken Sie auf Apps und dann auf Script Token Erstellen.
5. Geben Sie einen Namen für Ihr API-Token ein und wählen Sie die folgenden Optionen für das Token aus.
6. Klicken Sie auf Erstellen , um Ihr API-Token zu erhalten.
7. Nachdem das Token erstellt wurde, sehen Sie das Token in der Übersicht. Erweitern Sie die Ansicht, um das API-Token anzuzeigen. Kopieren Sie das Token und fügen Sie es in die Okta-App neben Autorisierung ein.
8. Kopieren Sie dieses Token und kehren Sie zu Ihrer Okta-App zurück.