Base de connaissance

Back to support overview

Avec le Single Sign-On (Authentification unique ou SSO), TeamViewer Tensor permet au service informatique de mieux contrôler le paramétrage des comptes utilisateurs de l'entreprise pour le support et l'assistance à distance TeamViewer Tensor. En limitant l'accès aux utilisateurs disposant uniquement d'une adresse e-mail professionnelle, TeamViewer Tensor avec SSO vous permet d'empêcher les utilisateurs non autorisés d'utiliser votre plateforme d'entreprise de contrôle à distance.

  • Centraliser le contrôle des mots de passe par l'intermédiaire de votre fournisseur de services d'identité SSO, afin que le service informatique n'ait pas à gérer les mots de passe, ce qui réduit les demandes de réinitialisation de mot de passe.
  • Appliquer automatiquement les stratégies de mot de passe de l'entreprise et les règles d'authentification d'identité à chaque utilisateur autorisé de TeamViewer Tensor.
  • Mettre fin au contrat des employés de manière efficace, sans s'inquiéter d'un accès non autorisé par une porte dérobée via TeamViewer.
  • Améliorez l'expérience de l'utilisateur final en permettant aux employés de se connecter à TeamViewer Tensor avec les mêmes identifiants de connexion SSO qu'ils utilisent déjà pour vos applications professionnelles - pas de connexion TeamViewer Tensor séparée avec un autre mot de passe à retenir.

Cet article s'applique aux clients de TeamViewer disposant d'une licence Enterprise/Tensor.

Prérequis

Pour utiliser l'Authentification unique de TeamViewer, vous avez besoin de :

  • TeamViewer version 13.2.1080 ou ultérieure
  • Un fournisseur d'identité (IdP) compatible avec SAML 2.0*
  • Un compte TeamViewer pour accéder à Management Console et ajouter des domaines
  • Un accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
  • Une licence TeamViewer Tensor

* Actuellement, nous ne prenons en charge que Centrify, Okta, Microsoft Entra ID, OneLogin, ADFS et Google Workspace, mais nous travaillons à la prise en charge d'autres IdP à l'avenir. Les IdP ci-dessus ont été testés, et les étapes détaillées pour configurer l'un de ces IdP peuvent être trouvées dans ces documents et d'autres pages liées sur le SSO et les IdP respectifs.

Note : Si vous utilisez un autre IdP, veuillez utiliser les informations techniques pour configurer votre IdP manuellement.

Astuce : Lors de l'ajout d'un domaine pour l'authentification unique, il est recommandé d'ajouter le compte propriétaire à la liste d'exclusion. La raison en est un scénario de repli qui vous permet de conserver l'accès à la configuration du domaine même si l'IdP ne fonctionne pas.

Exemple : Le compte TeamViewer "[email protected]" ajoute le domaine "exemple.com" pour le Single Sign-On. Après avoir ajouté le domaine, l'adresse e-mail "[email protected]" doit être ajoutée à la liste d'exclusion. Cette opération est nécessaire pour apporter des modifications à la configuration SSO, même lorsque l'authentification unique ne fonctionne pas en raison d'une mauvaise configuration.

Astuce 2 : Lors de l'ajout d'un domaine d'authentification unique, il est recommandé d'ajouter des propriétaires supplémentaires au domaine SSO car la propriété SSO n'est pas héritée au sein de votre entreprise.

Exemple : Après que le compte TeamViewer "[email protected]" ait ajouté le domaine "exemple.com" pour l'authentification unique, il ajoute plusieurs administrateurs d'entreprise (par exemple "[email protected]") en tant que propriétaires de domaine afin qu'ils puissent également gérer le domaine et ses paramètres SSO.

L'authentification unique est activée au niveau du domaine pour tous les comptes TeamViewer utilisant une adresse e-mail de ce domaine. Une fois activé, tous les utilisateurs qui se connectent à un compte TeamViewer correspondant sont redirigés vers le fournisseur d'identité qui a été configuré pour le domaine. Cette étape est requise indépendamment du fournisseur d'identité utilisé.

Pour des raisons de sécurité et pour éviter les abus, il est nécessaire de vérifier la propriété du domaine avant d'activer la fonction.

Ajouter un nouveau domaine

Pour activer l'authentification unique, connectez-vous à la Management Console, sélectionnez Administration de société, puis Authentification unique. Cliquez sur Ajouter un premier domaine et entrez le domaine pour lequel vous souhaitez activer le SSO.

Vous devez également fournir les métadonnées de votre fournisseur d'identité. Trois options sont disponibles pour ce faire :

  • via URL : Entrez l'URL de vos métadonnées IdP dans le champ correspondant.
  • via XML : Sélectionnez et téléchargez vos métadonnées XML.
  • Configuration manuelle : Saisissez manuellement toutes les informations nécessaires. Veuillez noter que la clé publique doit être une chaîne encodée en Base64.

Une fois que c'est fait, cliquez sur Continuer.

Sélectionnez ensuite les adresses e-mail ou les groupes d'utilisateurs que vous souhaitez exclure du SSO et cliquez sur Ajouter un domaine.

Créer un identifiant personnalisé

Une fois le domaine ajouté, l'identifiant personnalisé peut être généré. Cet identifiant personnalisé n'est pas stocké par TeamViewer mais est utilisé pour la configuration initiale de l'authentification unique. Il ne doit être modifié à aucun moment, car cela interromprait l'authentification unique et une nouvelle configuration serait nécessaire. N'importe quelle chaîne aléatoire peut être utilisée comme identifiant du client. Cette chaîne sera requise ultérieurement pour la configuration de l'IDP. Pour générer l'identifiant personnalisé, cliquez sur Générer.

Vérifier la propriété du domaine

Une fois qu'un domaine a été ajouté avec succès, vous devez vérifier la propriété du domaine.

L'authentification unique ne sera pas activée avant que la vérification du domaine ne soit terminée.

Pour vérifier le domaine, veuillez créer un nouvel enregistrement TXT pour votre domaine avec les valeurs indiquées sur la page de vérification.

Note : Le processus de vérification peut prendre plusieurs heures en raison du système DNS.

Note : La description des champs de saisie peut varier en fonction de votre système de gestion de domaine.

Après avoir créé le nouvel enregistrement TXT, lancez le processus de vérification en cliquant sur le bouton Démarrer la vérification.

Veuillez noter que le processus de vérification peut prendre plusieurs heures en raison du système DNS.

Astuce : TeamViewer recherche l'enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne trouvons pas l'enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez relancer la vérification via cette boîte de dialogue.

Configuration du fournisseur d'identité

Chaque fournisseur d'identité nécessite sa propre configuration, qui fait l'objet d'articles spécifiques dans notre Base de connaissance :

TeamViewer Configuration du client

TeamViewer est compatible avec l'authentification unique à partir de la version 13.2.1080.Les versions précédentes ne prennent pas en charge l'authentification unique et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion.

Désactivation du navigateur intégré pour l'authentification unique (SSO)

La configuration du client est facultative mais permet de changer le navigateur utilisé pour la connexion SSO de l'IdP.

Le client TeamViewer utilise par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement :

Windows :

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS :

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

Linux :

sudo systemctl stop teamviewerd && echo '[bool ] SsoUseEmbeddedBrowser = 0' >> ~/.config/teamviewer/client.conf && sudo systemctl start teamviewerd


Note : Après avoir créé ou modifié le registre, vous devez redémarrer le client TeamViewer.

Verrouillage de domaine : Blocage des inscriptions via les domaines SSO

La fonctionnalité de verrouillage de domaine permet aux administrateurs d'empêcher les nouveaux utilisateurs de créer leur propre compte TeamViewer à l'aide d'un domaine de messagerie associé au SSO. À la place, les utilisateurs qui tentent de s'inscrire avec ces domaines verront s'afficher un message personnalisé configuré par l'administrateur.

Ce message peut inclure des instructions guidant les utilisateurs vers la configuration Tensor officielle de l'entreprise, telles qu'un lien pour demander une licence via le portail intranet de l'entreprise.

Informations techniques

Cette section énumère les détails techniques du fournisseur de services SAML (SP) TeamViewer. Ces données peuvent être utiles pour ajouter d'autres IdP que ceux décrits ci-dessus.

Métadonnées du fournisseur de services SAML :

SP Metadata URL

https://sso.teamviewer.com/saml/metadata.xml

Entity ID

https://sso.teamviewer.com/saml/metadata

Audience

https://sso.teamviewer.com/saml/metadata

Assertion Customer Service URL

https://sso.teamviewer.com/saml/acs

Assertion Consumer Service Bindings

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec

SAML Request Signature Algorithm

http://www.w3.org/2001/04/xmldsig-more#rsa-sha256

TeamViewer prend en charge l'algorithme de signature SHA-256. Nous exigeons que l'assertion SAML soit signée, tandis que la signature de la réponse SAML est facultative mais recommandée.

NameID

Non spécifié

Réclamations requises pour la réponse SAML :

Cet identifiant doit être associé à un identifiant d'utilisateur unique dans le champ d'application de l'IdP (et, par conséquent, dans le champ d'application de l'entreprise correspondante).

Par exemple, il peut s'agir du GUID de l'objet Active Directory pour ADFS ou de l'adresse e-mail pour Okta.

Cet attribut doit être associé à l'adresse e-mail de l'utilisateur qui souhaite se connecter. L'adresse e-mail doit être la même que celle configurée pour le compte TeamViewer. La correspondance/comparaison est effectuée sans tenir compte des majuscules et des minuscules.

Cet attribut doit renvoyer un identifiant propre au client. L'attribut doit être nommé "customeridentifier".

TeamViewer requiert un identifiant de client en tant que revendication personnalisée dans la réponse SAML pour la configuration initiale des comptes d'authentification unique.

TeamViewer ne stocke pas l'identifiant du client. Si vous le modifiez ultérieurement, l'authentification unique sera interrompue et une nouvelle configuration sera nécessaire.

N'importe quelle chaîne aléatoire peut être utilisée comme identifiant du client.

Certificat de signature et de chiffrement (clé publique)

La clé publique du certificat utilisé pour signer les demandes SAML et pour le cryptage des réponses SAML peut être obtenue en exécutant la commande PowerShell suivante :

"-----BEGIN PUBLIC KEY-----`n" + `
((Select-Xml `
-Content ((Invoke-WebRequest `
https://sso.teamviewer.com/saml/metadata.xml).Content) `
-xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + `
"`n-----END PUBLIC KEY-----" `
| Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii

La commande télécharge les métadonnées, extrait la clé publique et l'écrit dans un fichier.