L'authentification unique (SSO) de TeamViewer vise à réduire les efforts de gestion des utilisateurs dans les grandes entreprises en connectant TeamViewer aux fournisseurs d'identité et aux annuaires d'utilisateurs.
Cet article s'applique aux clients de TeamViewer disposant d'une licence Enterprise/Tensor.
Prérequis
Pour utiliser l'authentification unique de TeamViewer, vous avez besoin de :
- TeamViewer version 13.2.1080 ou ultérieure
- Un fournisseur d'identité (IdP) compatible avec SAML 2.0*
- Un compte TeamViewer pour accéder à la Management Console et ajouter des domaines
- Accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
- Une licence TeamViewer Tensor
TeamViewer configuration
L'authentification unique est activé au niveau du domaine pour tous les comptes TeamViewer utilisant une adresse e-mail de ce domaine. Une fois activé, tous les utilisateurs qui se connectent à un compte TeamViewer correspondant sont redirigés vers le fournisseur d'identité qui a été configuré pour le domaine.
Pour des raisons de sécurité et pour éviter les abus, il est nécessaire de vérifier la propriété du domaine avant d'activer la fonction.
Ajouter un nouveau domaine
Pour activer l'authentification unique, connectez-vous à la Management Console, sélectionnez Administration de société, puis Authentification unique. Cliquez sur Ajouter un domaine et entrez le domaine pour lequel vous souhaitez activer le SSO.
Vous devez également fournir les métadonnées de votre fournisseur d'identité. Trois options sont disponibles pour ce faire :
- via URL : Entrez l'URL de vos métadonnées IdP dans le champ correspondant.
- via XML : Sélectionnez et téléchargez vos métadonnées XML
- Configuration manuelle : Saisissez manuellement toutes les informations nécessaires. Veuillez noter que la clé publique doit être une chaîne encodée en Base64.
Une fois que c'est fait, cliquez sur Continuer.
Sélectionnez ensuite les adresses e-mail ou les groupes d'utilisateurs que vous souhaitez exclure du SSO et cliquez sur Ajouter un domaine.
Créer un identifiant personnalisé
Une fois le domaine ajouté, l'identifiant personnalisé peut être généré. Cet identifiant personnalisé n'est pas stocké par TeamViewer mais est utilisé pour la configuration initiale du SSO. Il ne doit être modifié à aucun moment, car cela interromprait l'authentification unique et une nouvelle configuration serait nécessaire. N'importe quelle chaîne aléatoire peut être utilisée comme identifiant du client. Cette chaîne sera requise ultérieurement pour la configuration de l'IDP. Pour générer l'identifiant personnalisé, cliquez sur Générer.
Vérifier la propriété du domaine
Une fois qu'un domaine a été ajouté avec succès, vous devez vérifier la propriété du domaine.
L'authentification unique ne sera pas activée avant que la vérification du domaine ne soit terminée.
Pour vérifier le domaine, veuillez créer un nouvel enregistrement TXT pour votre domaine avec les valeurs indiquées sur la page de vérification.
📌 Note : Le processus de vérification peut prendre plusieurs heures en raison du système DNS.
📌Note : La description des champs de saisie peut varier en fonction de votre système de gestion de domaine.
Après avoir créé le nouvel enregistrement TXT, lancez le processus de vérification en cliquant sur le bouton Démarrer la vérification.
📌 Veuillez noter que le processus de vérification peut prendre plusieurs heures en raison du système DNS.
💡 Astuce : TeamViewer recherche l'enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne trouvons pas l'enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez relancer la vérification via cette boîte de dialogue.
Configuration du fournisseur d'identité avec Okta
Cette section décrit comment configurer Okta pour qu'il soit utilisé comme IdP pour le service SSO de TeamViewer.
💡 Astuce : Vous devez affecter des utilisateurs à l'application dans Okta, en fonction de vos paramètres.
Vous trouverez la documentation d'Okta ici.
Configuration automatique à l'aide de l'application Okta TeamViewer
1. Connectez-vous au tableau de bord de l'administrateur Okta.
2. Ajoutez l'application TeamViewer.
3. Sélectionnez SAML 2.0.
- Copiez et enregistrez l'URL de vos métadonnées.
4. Affectez des utilisateurs à l'application.
5. Activez SAML en utilisant vos métadonnées dans la gestion du domaine dans MCO.
Configuration manuelle à l'aide de l'interface utilisateur Web Okta
Allez dans l'interface d'administration et ajoutez une nouvelle application SAML. Spécifiez les valeurs suivantes sur la page Paramètres SAML :
Ajouter les mentions d'attribut suivantes (Format du nom - Non spécifié) :
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress - Valeur: user.email
- http://sso.teamviewer.com/saml/claims/customeridentifier : Cet attribut doit être spécifié par chaque client lors de la configuration initiale de TeamViewer SSO.
📌 Note : L'"identifiant client" défini initialement ne doit pas être modifié, sinon le SSO ne fonctionnera pas. TeamViewer ne stocke pas cette valeur.
-Cartographie plus complexe-
📌 Veuillez noter : La valeur de l'énoncé de l'attribut emailaddress peut inclure des règles de mappage plus complexes. Okta vous fournit donc un langage d'expression Vous pouvez consulter la documentation officielle à ce sujet ici : https://developer.okta.com/reference/okta_expression_language/index
L'entreprise A a réservé deux domaines d'adresses e-mail pour ses utilisateurs - @a1.test et @a2.test. Les utilisateurs d'Okta ont le domaine @a1.test associé à leur compte.
L'authentification unique de TeamViewer doit être activé uniquement pour les adresses électroniques @a2.test.
La valeur de l'instruction emailaddress pourrait ressembler à ce qui suit :
String.append(String.substringBefore(user.email, "@"), "@a2.test")
La réponse SAML contient alors l'adresse électronique correcte.
TeamViewer Configuration du client
TeamViewer est compatible avec le Single Sign-On à partir de la version 13.2.1080.
Les versions précédentes ne prennent pas en charge le Single Sign-On et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion. La configuration du client est facultative mais permet de changer le navigateur utilisé pour la connexion SSO de l'IdP.
Le client TeamViewer utilise par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement :
Windows :
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS :
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌 Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.