+34 91 7697 870
+34 91 7697 870

Base de Conocimiento

Back to support overview

El objetivo del Inicio de Sesión Único de TeamViewer (SSO en inglés) es reducir los esfuerzos de gestión de usuarios de las grandes empresas mediante la conexión de TeamViewer con los proveedores de identidad y los directorios de usuari

Este artículo concierne a l@s clientes de TeamViewer con una licencia TeamViewer Tensor.

Requisitos

Para utilizar Inicio de Sesión Único de TeamViewer, necesitas:

  • una versión de TeamViewer 13.2.1080 o superior
  • un proveedor de identidad compatible con SAML 2.0 (IdP)*
  • una cuenta de TeamViewer para acceder a la Management Console y añadir dominios
  • acceso a la gestión de DNS de tu dominio para verificar la propiedad del dominio
  • una licencia de TeamViewer Tensor (Classic)

Configuración de la Management Console (MCO)

El Inicio de Sesión Único (SSO) se activa a nivel de dominio para todas las cuentas de TeamViewer utilizando una dirección de correo electrónico con este dominio. Una vez activado, todos los usuarios que inician sesión en la cuenta de TeamViewer correspondiente se redirigen al proveedor de identidades que se ha configurado para el dominio.

Por razones de seguridad y para evitar abusos, es necesario verificar la propiedad del dominio antes de activar la función.

Añadir un nuevo dominio

Para activar SSO, inicia sesión en la Management Console y selecciona la entrada del menú Inicio de Sesión Único. Haz clic en añadir dominio e introduce el dominio para el que quieres activar el SSO.

También debes proporcionar los metadatos de tu proveedor de identidad. Hay tres opciones disponibles para hacerlo:

  • vía URL: introduce tu URL de metadatos IdP en el campo correspondiente
  • vía XML: selecciona y carga tus metadatos XML
  • Configuración manual: introduce manualmente toda la información necesaria. Ten en cuenta que la clave pública debe ser una cadena codificada Base64.

 

Crear un identificador personalizado

Una vez añadido el dominio, se puede generar el identificador personalizado. TeamViewer no almacena este identificador personalizado, pero se utiliza para la configuración inicial de SSO. No debe ser cambiado en ningún momento, ya que esto romperá el Inicio de Sesión Único y será necesario configurarlo de nuevo. Cualquier cadena aleatoria puede ser utilizada como identificador de cliente. Esta cadena se requiere posteriormente para la configuración del IdP.

Verificar la propiedad del dominio

En el momento en el que el dominio haya sido agregado correctamente, es necesario verificar la propiedad del dominio.

El Inicio de Sesión Único no se activará antes de que se complete la verificación del dominio.

Para verificar el dominio, crea un nuevo registro TXT para tu dominio con los valores mostrados en la página de verificación.

📌Nota: El proceso de verificación puede tardar varias horas debido al sistema DNS.

El cuadro de diálogo para añadir un registro TXT puede parecerse a:

 

📌Nota: Dependiendo de su sistema de gestión de dominio, la descripción de los campos de entrada puede variar.

Después de crear el nuevo registro TXT, inicia el proceso de verificación haciendo clic en el botón "Iniciar verificación".

📌Ten en cuenta que el proceso de verificación puede tardar varias horas debido al sistema DNS.

💡Sugerencia: TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la verificación. Si no podemos encontrar el registro TXT en 24 horas, la verificación falla y el estado se actualiza acorde. En este caso, reinicia la verificación a través de este cuadro de diálogo. 

💡Sugerencia2: Al añadir un dominio para el Inicio de Sesión Único, se recomienda añadir la cuenta de propietario a la lista de exclusión. La razón de esto es un escenario de fallback que mantiene el acceso a la configuración del dominio incluso si el IdP no está funcionando.

Ejemplo: La cuenta de TeamViewer "[email protected]" añade el dominio "example.com" para el Inicio de Sesión Único. Después de añadir el dominio, la dirección de correo electrónico "[email protected]" debe añadirse a la lista de exclusión. Esto es necesario para realizar cambios en la configuración de SSO, incluso cuando Single Sign-On no funciona debido a una configuración errónea.

💡Sugerencia3: Al añadir un dominio para Single Sign-On, se recomienda añadir propietarios adicionales al dominio SSO, ya que la propiedad SSO no se hereda dentro de tu empresa. 

Ejemplo: Después de que la cuenta de TeamViewer "[email protected]" añade el dominio "example.com" para el Inicio de Sesión Único, añade varios administradores de empresa (por ejemplo, "[email protected]") como propietarios del dominio, para que también puedan gestionar el dominio y su configuración SSO.

1) Abre la consola de administración de Google: https://admin.google.com

2) Crea un atributo de usuario personalizado para mantener el identificador de cliente de TeamViewer: 

  • Dirígete a directorio > usuarios.
  • En la esquina superior derecha, haz clic en el botón administrar atributos personalizados.
  • Haz clic sobre agregar atributo personalizado (esquina superior derecha)
  • Introduce un nombre de categoría (por ej. "Inicio de Sesión Único") y una descripción opcional.
  • En la sección de campos personalizados, introduce un nombre para el nuevo atributo personalizado, por ejemplo, identificador de cliente de TeamViewer.
  • Selecciona texto en tipo de información.
  • En visibilidad elige visible para administrador.
  • En valores individuales establece número de valores.
  • Haz clic sobre "añadir".

3) Navega a aplicaciones > aplicaciones SAMLañadir (+) en la esquina inferior derecha..

4) Elige configurar mi propia aplicación personalizada

5) Selecciona siguiente para confirmar el cuadro de diálogo información de IdP de Google. Toda la información también se puede acceder de nuevo más tarde.

6) Introduce un nombre para la aplicación, por ejemplo "TeamViewer" (también se puede añadir la descripción y logotipo).

7) En los "datos del proveedor de servicios", introduce la siguiente información: 

8) En la sección "asignación de atributos", añade las siguientes asignaciones: (GSuite_AddApp_AttributeMapping.png

  • Nombre del atributo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Categoría: "Basic Information"
  • Atributo del usuario: "Primary Email"
  • Nombre del atributo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • Categoría: "Single Sign-On" (created in step 1)
  • Atributo del usuario: "TeamViewer Customer Identifier" (created in step 1)

    📌Ten en cuenta que el atributo "identificador de cliente TeamViewer" debe estar configurado para los usuarios que deseen iniciar sesión en TeamViewer a través del Inicio de Sesión Único.

     

     

    Configuración del client de TeamViewer

     

    TeamViewer es compatible con el Inicio de Sesión Único a partir de la versión 13.2.1080.

     

    Las versiones anteriores no admiten el Inicio de Sesión Único y no pueden redirigir a los usuarios a su proveedor de identidad durante el inicio de sesión. La configuración del client es opcional, pero permite cambiar el navegador utilizado para el inicio de sesión único del IdP.

     

    El client de TeamViewer utilizará un navegador integrado para la autenticación del proveedor de identidad de forma predeterminada. Si prefieres utilizar el navegador predeterminado del sistema operativo, puedes cambiar este comportamiento a través de la siguiente clave de registro.

     

    Windows:

    HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

    macOS:

    defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

    📌Nota: El client de TeamViewer tiene que ser reiniciado después de crear o cambiar el registro.