Avec SCIM (System for Cross-domain Identity Management), les utilisateurs d’Okta peuvent être synchronisés avec TeamViewer. Il permet aux administrateurs de créer, de mettre à jour et de supprimer des utilisateurs dans Okta et de mettre à jour automatiquement leurs comptes TeamViewer en quelques secondes.
Cet article s’applique aux clients TeamViewer disposant d’une licence Tensor.
Prérequis
Pour pouvoir utiliser cette fonctionnalité, vous devez remplir les conditions suivantes :
- Une licence Tensor valide pour TeamViewer
- L'authentification unique TeamViewer (SSO) via Okta a été configuré avec succès
Veuillez vous reporter aux instructions de configuration fournies dans l’article Authentification unique pour Okta et assurez-vous que dans l’onglet Connexion, le format du nom d’utilisateur de l’application est défini sur la valeur E-mail.
Guide d’intégration SCIM
Suivez les étapes ci-dessous pour configurer SCIM.
1. Ouvrez votre application OKTA.
2. Allez dans l’onglet General (Général).
3. Cliquez sur Edit (Éditer) dans les paramètres de l’application.
4. Activez SCIM à côté de la section Provisioning (Provisionnement), puis cliquez sur Save (Enregistrer).
5. Sous l’onglet Provisioning (Provisionnement), cliquez sur Edit (Éditer) puis entrez les informations suivantes dans les champs :
6. Sélectionnez Push New Users (Envoyer les nouveaux utilisateurs), Push Profile Updates (Envoyer les mises à jour du profil) et Push Groups (Envoyer les groupes).
7. Changez Authentication Mode (Mode d’authentification) en HTTP Header.
8. Entrez votre jeton SCRIPT que vous avez créé ci-dessus dans la Management Console TeamViewer à côté de Authorization (Autorisation).
9. Une fois terminé, vous pouvez cliquer sur Test Connector Configuration (Tester la configuration du connecteur), puis sur Save (Enregistrer).
Votre configuration terminée doit ressembler à ceci :
10. Éditez à nouveau votre Provisioning (provisionnement) puis cochez la case Create Users (Créer des utilisateurs), Update User Attributes (Mettre à jour les attributs de l’utilisateur), Deactivate Users (Désactiver les utilisateurs) et Sync Password checkbox (Synchroniser le mot de passe), puis cliquez sur Save (Enregistrer).
1. Allez dans l’onglet Push Groups (Envoyer les groupes).
2. Attribuez les groupes que vous souhaitez envoyer à TeamViewer.
Après avoir suivi les étapes ci-dessus, les paramètres SCIM doivent être adaptés pour inclure l’identifiant du client.
1. Allez dans Applications.
2. Ouvrez l’application appropriée.
3. Basculez l’onglet vers Provisioning (Provisionnement) et faites défiler jusqu’à Attribute Mapping (Mappage d’attributs).
4. Cliquez sur Go to Profile Editor (Aller à l’éditeur du profil).
5. Cliquez sur + Add Attribute (Ajouter un attribut).
6. Définissez les variables suivantes où le nom externe et l’espace de noms externes ne doivent pas être modifiés :
7. Ouvrez Mappings pour cette application.
8. Passez à Okta User to App (Utilisateur Okta vers application).
9. Définissez l’identifiant client utilisé également pour l’authentification unique en tant que valeur statique.
10. Appliquez les mises à jour maintenant.
11. Sous l’application donnée, cliquez sur Provisioning (Provisionnement), et l’attribut nouvellement créé devrait être visible.
12. Éditez l’attribut pour appliquer la valeur uniquement sur Create (Créer).
Les utilisateurs nouvellement provisionnés doivent désormais pouvoir se connecter directement via leur compte Okta.
Problèmes connus et limitations
Le provisionnement dans TeamViewer est basé sur les membres de votre entreprise TeamViewer. Cependant, les adresses e-mail des utilisateurs doivent être uniques pour tous les comptes TeamViewer.
La création de nouveaux utilisateurs via Okta Provisioning peut échouer si l’adresse e-mail est déjà enregistrée dans TeamViewer par un autre utilisateur, même si cet utilisateur ne fait pas partie de votre société TeamViewer.
En plus du point ci-dessus, la suppression d’un utilisateur d’une société TeamViewer ne supprimera pas le compte utilisateur. Par conséquent, l’intégration Provisioning peut ne pas recréer l’utilisateur, car le compte avec l’adresse e-mail correspondante existe toujours.
La mise à jour du nom d’utilisateur/de l’adresse e-mail de l’utilisateur n’est pas prise en charge par l’intégration de provisionnement TeamViewer.