L'authentification unique (SSO) de TeamViewer vise à réduire les efforts de gestion des utilisateurs dans les grandes entreprises en connectant TeamViewer aux fournisseurs d'identité et aux annuaires d'utilisateurs.
📌 Notes :
- L'authentification unique de TeamViewer est basé sur le domaine que vous avez configuré. Cela signifie que tous les comptes TeamViewer dans votre entreprise ou en dehors de votre entreprise seront transmis au fournisseur d'identité.
- L'adresse e-mail de l'utilisateur Microsoft Entra ID (anciennement Azure AD) doit correspondre à l'adresse e-mail du compte TeamViewer correspondant.
- L'entrée TXT doit être visible publiquement. Vous pouvez le vérifier en utilisant un outil de recherche DNS TXT.
Cet article s'applique aux clients de TeamViewer disposant d'une licence Enterprise/Tensor.
Prérequis
Pour utiliser l'authentification unique de TeamViewer, vous avez besoin de :
- TeamViewer version 13.2.1080 ou ultérieure
- Un fournisseur d'identité (IdP) compatible avec SAML 2.0*
- Un compte TeamViewer pour accéder à la Management Console et ajouter des domaines
- Accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
- Une licence TeamViewer Tensor
1. Créez votre identifiant personnalisé
Cet identifiant personnalisé n'est pas stocké par TeamViewer mais est utilisé pour la configuration initiale de l'authentification unique. Il ne doit être modifié à aucun moment, car cela interromprait l'authentification unique et une nouvelle configuration serait nécessaire.
Toute chaîne aléatoire peut être utilisée comme identifiant de client. Il est recommandé de ne pas utiliser de caractères spéciaux dans l'identifiant personnalisé.
📌 Notes :
- Vous pouvez utiliser par exemple un générateur de mot de passe en ligne ou votre générateur de mot de passe interne si votre entreprise en possède un.
- Cette chaîne est requise ultérieurement pour la configuration de l'IdP.
2. Configuration du fournisseur d'identité Microsoft Entra ID
Pour connecter TeamViewer avec Microsoft Entra ID comme fournisseur d'identité, il est nécessaire de créer une application pour votre Microsoft Entra ID. Les étapes de création et de configuration d'une application d'entreprise sont décrites ci-dessous :
1. Ouvrez un navigateur et connectez-vous à "portal.azure.com" avec un compte disposant des droits d'administrateur global.
2. Vous verrez un écran d'accueil. Sélectionnez le service Azure "Azure Active Directory".
3. Après avoir sélectionné le service Azure Azure Active Directory, vous verrez une vue d'ensemble, veuillez sélectionner sur le côté gauche dans la section Gérer l'option Applications d'entreprise.
4. La vue d'ensemble de toutes les applications d'entreprise que vous avez dans Azure AD s'ouvre.
5. Cliquez sur Toutes les applications (1)
6. Cliquez sur Nouvelle demande (2)
7. Dans la fenêtre suivante, cliquez sur Créer votre propre application.
8. Vous pouvez maintenant créer votre propre application :
(1) Saisissez un nom pour votre application.
(2) Sélectionnez Intégrer toute autre application que vous ne trouvez pas dans la galerie (Non-gallery).
(3) 📌 Note : Ne sélectionnez pas l'application TeamViewer proposée par Azure.
(4) Cliquez sur Créer.
9. Après avoir créé l'application, vous verrez l'aperçu de cette application.
10. Cliquez sous la section Gérer, l'option Connexion unique, et sélectionnez la méthode SAML.
11. Vous pouvez maintenant modifier la configuration SAML.
(1) Saisissez l'ID de l'entité ➜ https://sso.teamviewer.com/saml/metadata
(2) 📌 Note : Supprimer l'URL prédéfinie de Microsoft
(3) Saisissez l'URL de réponse ➜ https://sso.teamviewer.com/saml/acs
(4) Cliquez sur Enregistrer
12. Après avoir sauvegardé la première étape, on vous demande si vous voulez tester l'authentification unique. Cliquez sur Non, je testerai plus tard.
13. Dans la section suivante, vous devez modifier les attributs et les revendications.
14. Cliquez sur Ajouter une nouvelle demande pour ajouter une nouvelle demande.
(1) Saisir comme Nom la valeur customeridentifier.
(2) Pour l'espace de noms , la valeur http://sso.teamviewer.com/saml/claims
(3) Dans l'attribut Source, saisissez l'identifiant personnalisé que vous avez créé au début.
(4) Cliquez sur Enregistrer.
15. Vous verrez la nouvelle créance ajoutée dans la vue d'ensemble.
16. Dans l'étape suivante, vous téléchargez le fichier XML des métadonnées ou vous copiez l'URL des métadonnées.
(1) Vous avez besoin de l'un d'entre eux pour les étapes suivantes du site TeamViewer Management Console.
17. Avant de terminer l'installation de TeamViewer Management Console , veuillez ajouter des groupes / utilisateurs à l'application.
📌 Note : Ceci est nécessaire pour que les utilisateurs puissent se connecter à leurs comptes TeamViewer et que les groupes/utilisateurs soient utilisés pour la synchronisation AD SCIM plus tard.
(1) Cliquez dans l'application sur Utilisateurs et groupes.
(2) Cliquez sur Ajouter un utilisateur/groupe.
3. TeamViewer configuration
1. Ouvrez un navigateur web et connectez-vous à l'application web avec votre compte TeamViewer sous licence à l'adresse https://web.teamviewer.com/
📌 Note : Les droits d'utilisateur du compte TeamViewer doivent être Administrateur de l'entreprise.
(1) Cliquez sur Paramètres d'administration.
(2) Cliquez sur Authentification unique.
(3) Cliquez sur Ajouter un domaine.
2. Dans la fenêtre suivante, vous pouvez saisir le domaine que vous souhaitez utiliser pour le Single Sign-On.
📌 Note: Répétez cette étape si vous voulez utiliser plusieurs domaines pour TeamViewer Single Sign-On. Utilisez le même fichier XML ou la même URL XML pour les différents domaines. La seule exigence ici est que les domaines soient liés au même locataire Microsoft Entra ID.
(1) Entrez votre domaine.
(2) Sélectionnez le type de configuration.
(3) Télécharger le fichier XML des métadonnées.
(4) Activer des options supplémentaires.
📌 Note pour les sous-domaines : Cette fonctionnalité permet non seulement d'inclure le domaine (example.com) pour la connexion SSO, mais aussi tous les sous-domaines (tels que sub.example.com).
📌 Note pour Activer les e-mails d'activation : Les comptes SSO créés sous ce domaine recevront ou non des e-mails d'activation en fonction de cette option. Les comptes nouvellement créés recevront des e-mails d'activation si cette option est activée.
(5) Cliquez sur Continuer.
3. Dans la section suivante, vous pouvez ajouter des comptes à la liste d'exclusion de l'authentification unique. Si vous n'avez rien à ajouter, cliquez sur Ajouter un domaine.
🚨 Note importante : Il est fortement recommandé d'ajouter tous les propriétaires de domaine à la liste d'exclusion afin qu'ils puissent toujours se connecter si le SSO nécessite une nouvelle configuration. Les tests de la connexion SSO doivent être exécutés avec un deuxième compte.
📌 Note sur les exclusions d'e-mails : Vous pouvez spécifier des adresses e-mail qui seront exclues de la connexion au fournisseur d'identité. Ces comptes peuvent se connecter à TeamViewer comme d'habitude sans authentification du fournisseur d'identité. Il est recommandé d'exclure le propriétaire d'un domaine comme solution de repli, au cas où la configuration n'est pas correcte ou que le fournisseur d'identité n'est pas disponible.
4. Cette étape (Single Sign-On Custom Identifier) peut être sautée en cliquant sur Continue car vous avez déjà créé l'identifiant personnalisé au début.
4. Vérification du domaine
📌 Notes :
- Vous verrez sur cet écran les informations pour la gestion de votre serveur DNS. Vous avez besoin des informations du champ Nom / Host et des informations du champ Valeur / Données.
- Copier à partir du champ Valeur / Données, vous aurez besoin de cette information plus tard.
1. Dans la fenêtre de vérification du domaine, procédez comme suit :
(1) Vous pouvez cliquer sur Démarrer la vérification.
(2) Vous pouvez cliquer sur Sauter.
📌 Notes :
- Si vous suivez ce guide du début à la fin, vous cliquez sur Passer dans cette fenêtre.
- Vous pouvez revenir à tout moment sur la page de vérification et voir les valeurs lorsque le domaine n'est pas vérifié.
2. Retournez à l'application web à l'adresse https://web.teamviewer.com/
📌 Note : Les autorisations de l'utilisateur du compte TeamViewer doivent être "Administrateur de l'entreprise".
(1) Cliquez sur Paramètres d'administration.
(2) Cliquez sur Authentification unique.
(3) Cliquez sur l'icône des trois points (⋮) pour modifier le domaine.
(4) Cliquez sur Modifier.
3. Cliquez sur Vérification du domaine.
4. Cliquez sur Copier pour la valeur.
5. Cliquez sur Démarrer la vérification après avoir terminé les étapes de la gestion du serveur DNS.
📌 Notes :
- L'entrée TXT doit être visible publiquement. Vous pouvez le vérifier en utilisant un outil de recherche DNS TXT. Google vous aidera dans ce cas.
- TeamViewer recherchera l'enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne trouvons pas l'enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez relancer la vérification via cette boîte de dialogue.
📌 Note : Ce qui suit montre la gestion du serveur DNS pour un domaine, qui est géré par Cloudflare. Votre gestion de serveur DNS peut être différente !
Après vous être connecté au tableau de bord Cloudflare, sélectionnez le domaine.
(1) Cliquez sur DNS et sur Ajouter un enregistrement
(2) Sélectionner comme Type ➜ TXT
(3) Entrer le nom ➜ @
(4) Saisir pour le contenu ➜ La valeur de vérification SSO de TeamViewer de l'étape précédente
(5) Cliquez sur Enregistrer
TeamViewer Configuration du client
TeamViewer est compatible avec le Single Sign-On à partir de la version 13.2.1080.
Les versions précédentes ne prennent pas en charge le Single Sign-On et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion. La configuration du client est facultative mais permet de changer le navigateur utilisé pour la connexion SSO de l'IdP.
Le client TeamViewer utilise par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement :
Windows :
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS :
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌 Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.