L'authentification unique TeamViewer (SSO) vise à réduire les efforts de gestion des utilisateurs des grandes entreprises en connectant TeamViewer aux fournisseurs d’identité et aux annuaires d’utilisateurs.
Cet article s’applique aux clients TeamViewer disposant d’une licence Tensor.
Prérequis
Pour utiliser l’authentification unique TeamViewer (SSO), vous avez besoin :
-
d'une version 13.2.1080 ou ultérieure de TeamViewer
- d'un fournisseur d’identité (IdP) compatible SAML 2.0*
- d'un compte TeamViewer pour accéder à la Management Console et ajouter des domaines
- d'un accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
-
d'une licence TeamViewer Tensor
Guide de configuration SSO
Suivez les étapes ci-dessous pour configurer votre SSO pour Okta.
Ajouter un nouveau domaine
1. Ouvrez l’application Okta.
2. Allez dans Applications puis sélectionnez Applications.
3. Cliquez sur le bouton Create app Integration (Créer une intégration d’application).
4. Sélectionnez SAML 2.0 et donnez un nom à votre application, puis cliquez sur Next (Suivant).
5. Dans les paramètres SAML, remplissez les champs à l’aide des informations ci-dessous :
6. Cliquez maintenant sur Show Advanced Settings (Afficher les paramètres avancés).
7. Remplacez l'Assertion Encryption (Chiffrement d’assertion) par Encrypted (Chiffré).
8. Ensuite, vous devez récupérer la clé publique TeamViewer pour la télécharger dans le champ Encryption Certificate (Certificat de cryptage).
Note : Ce fichier doit être au format Base64.
Obtenez la clé publique TeamViewer :
La clé publique du certificat utilisé pour signer les demandes SAML et pour le chiffrement des réponses SAML peut être obtenue en exécutant la commande PowerShell suivante :
« -----BEGIN PUBLIC KEY-----'n"+ ' ((Select-xml ' -content ((Invoke-WebRequest ' https://sso.teamviewer.com/saml/metadata.xml). content) ' -xpath « //*[nom-local()='X509Certificat'] »). Nœud[0].' #text') + ' "'n-----ENDPUBLIC KEY----- » ' | Out-File -FilePath « sso.teamviewer.com -saml.cer » -Encodage ascii
La commande télécharge les métadonnées, extrait la clé publique et l’écrit dans le fichier sso.teamviewer.com - saml.cer au format ascii.
Une fois l’opération terminée, vous devez convertir ce fichier en Base64.cer.
Convertir le fichier sso.teamviewer.com - saml.cer
Pour convertir le fichier sso.teamviewer.com - saml.cer en Base64, veuillez suivre les étapes ci-dessous :
1. Faites un clic droit et sélectionnez Open (Ouvrir).
2. Cliquez sur Details Tab 3 (l’onglet Détails 3) puis sélectionnez Copy to File (Copier dans un fichier).
3. Cliquez sur Next (Suivant).
4. Sélectionnez Base-64 encoded X.509.
5. Cliquez sur Next (Suivant).
6. Saisissez le File Name (Nom du fichier).
7. Cliquez sur Next (Suivant).
8. Cliquez sur Finish (Terminer).
Le résultat devrait ressembler à ceci :
Avant de pouvoir ajouter les deux Attribute Statements (Instructions d’attribut) requises, vous devez cliquer sur Next (Suivant) pour obtenir la clé publique d’Okta et d’autres informations requises pour renseigner les informations dans les paramètres SSO de la TeamViewer Management Console. Vous reviendrez ici par la suite pour terminer.
1. Sélectionnez I’m an Okta customer, adding an internal app (Je suis un client Okta, ajoutant une application interne).
2. Sélectionnez This is an internal (Ceci est en interne) puis cliquez sur Finish (Terminer).
3. Cliquez sur View SAML setup instructions (Afficher les instructions de configuration SAML).
4. Connectez-vous à la TeamViewer Management Console et :
a) Sélectionnez Company Administration (Administration de société).
b) Sélectionnez Single Sign-On (Authentification unique).
c) Cliquez sur le signe + ou sur Add First Domain (Ajouter un premier domaine).
d) Saisissez le domaine pour lequel vous souhaitez activer l’authentification unique.
e) Changer la configuration en Manuel.
f) Copiez les informations de (1) et collez-les dans le champ Single Sign-On URL (URL d’authentification unique).
g) Copiez les informations de (2) et collez-les dans le champ Entity ID (ID d’entité).
h) Copiez les informations de (3) et collez-les dans le champ Public Key (Clé publique), à l’exclusion de la première et de la dernière ligne.
i) Cochez la case Disable activation emails for the given domain (Désactiver les e-mails d’activation pour le domaine donné).
j) Cliquez sur Next (Suivant).
k) Saisissez les adresses e-mail que vous souhaitez exclure de l’authentification unique (SSO).
l) Cliquez à nouveau sur Next (Suivant).
Les résultats devraient ressembler à ceci :
Ensuite, vous devez générer votre identifiant client.
Une fois le domaine ajouté, l’identifiant personnalisé peut être généré. Cet identifiant personnalisé n’est pas stocké par TeamViewer mais est utilisé pour la configuration initiale de l’authentification unique. Il ne doit pas être modifié à aucun moment, car cela interromprait l’authentification unique et une nouvelle configuration serait nécessaire. N’importe quelle chaîne aléatoire peut être utilisée comme identificateur client. Cette chaîne est requise ultérieurement pour la configuration de l’IdP.
Veillez à bien enregistrer ceci, car vous en aurez besoin plus tard.
Vérifier la propriété du domaine
Une fois qu’un domaine a été ajouté avec succès, vous devez vérifier la propriété du domaine.
L’authentification unique ne sera pas activée avant la fin de la vérification du domaine.
Pour vérifier le domaine, veuillez créer un nouvel enregistrement TXT pour votre domaine avec les valeurs indiquées sur la page de vérification.
Note : Le processus de vérification peut prendre plusieurs heures en raison du système DNS.
La boîte de dialogue permettant d’ajouter un enregistrement TXT peut ressembler à ce qui suit :
Notes :
- En fonction de votre système de gestion de domaine, la description des champs de saisie peut varier.
- Après avoir créé le nouvel enregistrement TXT, démarrez le processus de vérification en cliquant sur le bouton Start Verification (Démarrer la vérification), puis sur Finish (Terminer).
- Le processus de vérification peut prendre plusieurs heures en raison du système DNS, mais il prend généralement une minute environ.
Astuce : TeamViewer recherchera l’enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne pouvons pas trouver l’enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez redémarrer la vérification via cette boîte de dialogue.
1. Sélectionnez l’onglet Général et modifiez vos paramètres SAML.
2. Cliquez sur Next (Suivant).
3. Allez dans la section Attribute Setatements (Instructions d’attributs) et saisissez les deux attributs suivants :
- Format du nom
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddreß
Valeur : user.email
- Unspecified (Non spécifié)
http://sso.teamviewer.com/saml/claims/customeridentifier
Cet attribut doit être spécifié par chaque client lors de la configuration initiale de TeamViewer SSO.
Important : L’identifiant du client qui a été défini initialement ne doit pas changer ; sinon, l’authentification unique sera interrompue. TeamViewer ne stocke pas cette valeur.
Vos résultats devraient ressembler à ceci :
4. Cliquez sur Next (Suivant), puis sur Finish (Terminer).
TeamViewer Client Configuration
TeamViewer est compatible avec l’authentification unique à partir de la version 13.2.1080.
Les versions précédentes ne prennent pas en charge l’authentification unique et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d’identité lors de la connexion. La configuration du client est facultative mais permet de modifier le navigateur utilisé pour la connexion SSO de l’IdP.
Par défaut, le client TeamViewer utilisera un navigateur intégré pour l’authentification du fournisseur d’identité. Si vous préférez utiliser le navigateur par défaut du système d’exploitation, vous pouvez modifier ce comportement :
Windows :
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS :
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.
1. Ouvrez la TeamViewer Management Console et connectez-vous avec votre compte TeamViewer sous licence.
3. Cliquez sur le nom de votre profil et sélectionnez Éditer le profil.
4. Cliquez sur Apps (Applications), puis sur Create a script token (Créer un jeton de script).
5. Saisissez un nom pour votre jeton d’API puis sélectionnez les options suivantes pour le jeton.
6. Cliquez sur Create (Créer) pour recevoir votre jeton API.
7. Une fois le jeton créé, vous verrez le jeton dans la vue d’ensemble. Développez pour afficher le jeton d’API. Copiez le jeton et collez-le dans l’application Okta à côté d’Authorization (Autorisation).
8. Copiez ce jeton et revenez à votre application Okta.