TeamViewerシングルサインオン(SSO)は、TeamViewerをアイデンティティプロバイダおよびユーザーディレクトリに接続することによって、大企業のユーザー管理作業の効率を向上することを目的としています。
この記事は、TeamViewer Tensor (Classic)を利用するEnterprise/Tensorライセンスをお持ちのお客様に適用されます。
必要条件
TeamViewerシングルサインオンを使用するには、次のものが必要です。
- TeamViewerバージョン13.2.1080 以降
- SAML 2.0互換IDプロバイダー(IdP)*
- マネージメントコンソールにアクセスしてドメインを追加するためのTeamViewerアカウント
- ドメインの所有権を確認するためのドメインのDNS管理へのアクセス
- TeamViewer Tensorライセンス
TeamViewerマネージメントコンソール(MCO)の設定
シングルサインオン(SSO)は、このドメインのメールアドレスを使用して、すべてのTeamViewerアカウントに対してドメインレベルで有効になります。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、そのドメイン用に構成されているIDプロバイダーにリダイレクトされます。
セキュリティ上の理由から、また悪用を防ぐために、機能をアクティブにする前にドメインの所有権を確認する必要があります。
新しいドメインの追加
SSOを有効にするには、マネージメントコンソールにログインして[シングルサインオン]メニューエントリを選択します。 [ドメインの追加]をクリックして、SSOを有効にするドメインを入力します。
また、アイデンティティプロバイダのメタデータも提供する必要があります。それには3つの方法があります。
- URL経由:IdPメタデータURLを対応する欄に入力します。
- XML経由:メタデータXMLを選択してアップロードします。
- 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64でエンコードされた文字列でなければならないことに注意してください。
カスタム識別子の作成
ドメインを追加した後、カスタム識別子を生成できます。このカスタム識別子はTeamViewerによって保存されませんが、SSOの初期設定に使用されます。
シングルサインオンが無効になり、新しい設定が必要になるため、ご変更しないようご注意ください。任意のランダムな文字列を顧客IDとして使用できます。この文字列は、IdPの設定に後で必要になります。
ドメインの所有権の確認
ドメインが正常に追加されたら、ドメインの所有権を確認する必要があります。
ドメインの検証が完了するまで、シングルサインオンは有効になりません。
ドメインを確認するには、確認ページに表示されている値でドメイン用の新しいTXTレコードを作成してください。
📌注意: 検証プロセスはDNSシステムが原因で数時間かかる場合があります。
TXTレコードを追加するダイアログは、次のようになります。
📌注意: ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。
新しいTXTレコードを作成したら、[Start Verification]ボタンをクリックして検証プロセスを開始します。
📌注意: DNSシステムのため、検証プロセスには数時間かかることがあります。
💡ヒント: TeamViewerは、検証開始後24時間でTXT検証レコードを探します。 24時間以内にTXTレコードが見つからない場合、検証は失敗し、それに応じてステータスが更新されます。この場合、このダイアログで確認を再開する必要があります。
💡ヒント: シングルサインオン用のドメインを追加するときは、所有アカウントを除外リストに追加することをお勧めします。その理由は、IdPが機能していなくてもドメイン設定へのアクセスを維持するというフォールバックシナリオです。
例:TeamViewerアカウント「[email protected]」は、シングルサインオン用のドメイン「example.com」を追加します。ドメインを追加したら、メールアドレス「[email protected]」を除外リストに追加する必要があります。
Centrifyを使用したアイデンティティプロバイダの設定
1) このセクションでは、TeamViewerシングルサインオンのIDプロバイダとして使用されるように "Centrify.com"を設定する方法について説明します。
2) 「com」管理ユーザーインターフェースで、「アプリ」 - >「Webアプリの追加」をクリックし、「カスタム」タブのリストから「SAML」を選択します。 アプリケーション設定に切り替えて、[信頼]タブに移動します。
3) サービスプロバイダ設定セクションで、次のいずれかを行います。
- メタデータURL「https://sso.teamviewer.com/saml/metadata.xml」を入力して、ロードボタンをクリックします。
- またはManual Configurationを選択して、下記の「Technical Details」の章に記載されているデータを入力します。
4) SAMLレスポンスタブに切り替えて、もちろん顧客IDに生成された値を使用して、以下の属性を追加します。
5) 保存をクリックします。
👉ヒント: TeamViewerマネージメントコンソールでIdPを簡単に設定するには、[IDプロバイダーの設定]セクション([信頼]タブ)のメタデータURLを使用してください。
TeamViewerクライアント構成
TeamViewerは、バージョン13.2.1080からシングルサインオンと互換性があります。
以前のバージョンはシングルサインオンをサポートしておらず、ログイン中にユーザーをIDプロバイダーにリダイレクトすることができません。クライアント構成はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。
TeamViewerクライアントは、デフォルトでアイデンティティプロバイダの認証に埋め込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用したい場合は、次のレジストリキーを使用してこの動作を変更することができます:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意: レジストリを作成または変更した後は、TeamViewerクライアントを再起動する必要があります。