TeamViewer Tensor con Inicio de sesión único (SSO) ofrece al departamento de TI un mayor control sobre el aprovisionamiento de cuentas de usuario empresariales para TeamViewer Tensor remote access y asistencia. Al limitar el acceso a los usuarios con correos electrónicos de la empresa, TeamViewer Tensor con SSO te permite evitar que usuarios no autorizados lleguen a utilizar tu plataforma empresarial remote access.
- Centraliza el control de contraseñas a través de tu proveedor de servicios de identidad SSO, para que el departamento de TI no tenga que gestionar las contraseñas, reduciendo así las solicitudes de restablecimiento de contraseñas.
- Aplica automáticamente las políticas de contraseñas de la empresa y las reglas de autenticación de identidades a cada usuario autorizado de TeamViewer Tensor.
- Da de baja a los empleados de forma eficaz, sin preocuparte por accesos no autorizados a través de TeamViewer.
- Mejora la experiencia del usuario final permitiendo a los empleados iniciar sesión en TeamViewer Tensor con las mismas credenciales de Inicio de sesión único SSO que ya utilizan para sus aplicaciones empresariales, sin necesidad de iniciar sesión por separado en TeamViewer Tensor con otra contraseña que recordar.
Este artículo se aplica a l@s clientes de TeamViewer con una licencia Enterprise/Tensor.
Requisitos
Para utilizar TeamViewer Inicio de sesión único, necesitas
- TeamViewer versión 13.2.1080 o posterior
- un proveedor de identidad (IdP)* compatible con SAML 2.0
- una cuenta TeamViewer para acceder a Management Console y añadir dominios
- acceso a la gestión DNS de su dominio para verificar la titularidad del mismo
- una licencia TeamViewer Tensor.
* Actualmente, solo admitimos Centrify, Okta, Azure, OneLogin, ADFS y G Suite, pero estamos trabajando para admitir más IdP en el futuro. Los IdP anteriores han sido probados, y los pasos detallados para configurar uno de estos IdP se pueden encontrar en estos documentos y otras páginas enlazadas sobre SSO y los IdP respectivos.
📌Nota: Si utilizas un IdP diferente, utiliza la información técnica para configurar tu IdP manualmente.
💡Sugerencia: Al añadir un dominio para Inicio de sesión único, se recomienda añadir la cuenta propietaria a la lista de exclusión. La razón de esto es un escenario de reserva que mantiene el acceso a la configuración del dominio, incluso si el IdP no está funcionando.
Ejemplo: La cuenta TeamViewer "[email protected]" añade el dominio "example.com" para el inicio de sesión único. Después de añadir el dominio, la dirección de correo electrónico "[email protected]" debe añadirse a la lista de exclusión. Esto es necesario para realizar cambios en la configuración de SSO, incluso cuando Inicio de sesión único no funciona debido a una configuración incorrecta.
💡Sugerencia2: Al agregar un dominio de inicio de sesión único, se recomienda agregar propietarios adicionales al dominio de SSO, ya que la propiedad de SSO no se hereda dentro de su empresa.
Ejemplo: Después de que la cuenta de TeamViewer "[email protected]" añada el dominio "ejemplo.com" para el inicio de sesión único, añade varios administradores de la empresa (por ejemplo, "[email protected]") como propietarios del dominio para que también puedan gestionar el dominio y tu configuración de SSO.
El inicio de sesión único (SSO) se activa a nivel de dominio para todas las cuentas de TeamViewer que utilicen una dirección de correo electrónico con este dominio. Una vez activado, todos los usuarios que inician sesión en una cuenta TeamViewer correspondiente son redirigidos al proveedor de identidad que se ha configurado para el dominio. Este paso es necesario independientemente del IdP que se utilice.
Por razones de seguridad y para evitar abusos, es necesario verificar la propiedad del dominio antes de activar la función.
Añadir un nuevo dominio
Para activar el SSO, inicia sesión en Management Console, selecciona Administración de la empresa y, a continuación, la entrada de menú Inicio de sesión único. Haz clic en Añadir dominio e introduce el dominio para el que desea activar el SSO.
También debes proporcionar los metadatos de tu proveedor de identidad. Hay tres opciones disponibles para hacerlo:
- mediante URL: introduce la URL de metadatos de su IdP en el campo correspondiente
- vía XML: selecciona y carga sus metadatos XML
- Configuración manual: introduce manualmente toda la información necesaria. Ten en cuenta que la clave pública debe ser una cadena codificada en Base64.
Una vez hecho esto, haz clic en Continuar.
Ahora, selecciona las direcciones de correo electrónico o los grupos de usuarios que deseas excluir del SSO y haz clic en Añadir dominio.
Crear identificador personalizado
Una vez añadido el dominio, se puede generar el identificador personalizado. Este identificador personalizado no se almacena en TeamViewer, sino que se utiliza para la configuración inicial de SSO. No debe ser cambiado en ningún momento ya que esto romperá el Inicio de sesión único, y será necesaria una nueva configuración. Como identificador de cliente se puede utilizar cualquier cadena aleatoria. Esta cadena será necesaria posteriormente para la configuración del IDP. Para generar el identificador personalizado, haz clic en Generar.
Verificar la propiedad del dominio
Una vez añadido correctamente un dominio, debes verificar la propiedad del mismo.
El inicio de sesión único no se activará antes de que se complete la verificación del dominio.
Para verificar el dominio, crea un nuevo registro TXT para tu dominio con los valores que se muestran en la página de verificación.
📌Nota: El proceso de verificación puede tardar varias horas debido al sistema DNS.
📌Nota: Dependiendo de tu sistema de gestión de dominios, la descripción de los campos de entrada puede variar.
Tras crear el nuevo registro TXT, inicia el proceso de verificación pulsando el botón Iniciar verificación.
📌Ten en cuenta que el proceso de verificación puede tardar varias horas debido al sistema DNS.
💡Sugerencia: TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la verificación. Si no podemos encontrar el registro TXT en 24 horas, la verificación falla y el estado se actualiza en consecuencia. En este caso, deberás reiniciar la verificación a través de este cuadro de diálogo.
Configuración del proveedor de identidad
Cada proveedor de identidad requiere su propia configuración, que se trata en artículos específicos de la base de conocimientos:
Configuración del client de TeamViewer
TeamViewer es compatible con Inicio de sesión único a partir de la versión 13.2.1080.
Las versiones anteriores no soportan Inicio de sesión único y no pueden redirigir a los usuarios a tu proveedor de identidad durante el inicio de sesión. La configuración del client es opcional, pero permite cambiar el navegador utilizado para el inicio de sesión SSO del IdP.
El client de TeamViewer utilizará por defecto un navegador integrado para la autenticación del proveedor de identidad. Si prefieres utilizar el navegador predeterminado del sistema operativo, puedes cambiar este comportamiento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌Nota: Después de crear o cambiar el registro, es necesario reiniciar el client de TeamViewer.
Información técnica
En esta sección se enumeran los detalles técnicos del proveedor de servicios (SP) SAML de TeamViewer. Estos datos podrían ser relevantes para añadir otros IdP distintos de los descritos anteriormente.
Metadatos del proveedor de servicios SAML:
Para copiar/pegar:
SP Metadata URL: https://sso.teamviewer.com/saml/metadata.xml
Entidad ID: https://sso.teamviewer.com/saml/metadata
Audiencia: https://sso.teamviewer.com/saml/metadata
URL del servicio de atención al cliente de Assertion: https://sso.teamviewer.com/saml/acs
URL del servicio de consumo de aserciones: https://sso.teamviewer.com/saml/acs
Enlaces de servicio al consumidor
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec
Algoritmo de firma de la solicitud SAML: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
TeamViewer admite SHA-256 como algoritmo de firma. Requerimos que la aserción SAML esté firmada mientras se firma la respuesta SAML, lo cual es opcional pero recomendable.
NameID: Sin especificar
Reclamaciones de respuesta SAML requeridas:
Se debe asignar a un identificador de usuario único dentro del ámbito del IdP (y, por tanto, dentro del ámbito de la empresa correspondiente).
Por ejemplo, puede ser el GUID del objeto de Active Directory para ADFS o la dirección de correo electrónico para Okta.
Este atributo debe asignarse a la dirección de correo electrónico del usuario que desea iniciar sesión. La dirección de correo electrónico debe ser la misma que la configurada para la cuenta TeamViewer. La asignación/comparación se realiza sin tener en cuenta mayúsculas y minúsculas.
Este atributo debe devolver un identificador específico del cliente. El atributo debe llamarse "customeridentifier".
TeamViewer requiere un identificador de cliente como reclamo personalizado en la respuesta SAML para la configuración inicial de las cuentas Inicio de sesión único.
TeamViewer no almacena el identificador del cliente. Si se cambia más tarde, se romperá el inicio de sesión único y será necesaria una nueva configuración.
Se puede utilizar cualquier cadena aleatoria como identificador de cliente.
Certificado de firma y cifrado (clave pública)
La clave pública del certificado que se utiliza para firmar las solicitudes SAML y para el cifrado de las respuestas SAML se puede obtener ejecutando el siguiente comando de PowerShell:
"-----BEGIN PUBLIC KEY-----`n" + ` ((Select-Xml ` -Content ((Invoke-WebRequest ` https://sso.teamviewer.com/saml/metadata.xml).Content) ` -xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + ` "`n-----END PUBLIC KEY-----" ` | Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii
El comando descarga los metadatos, extrae la clave pública y la escribe en un archivo.