TeamViewerシングルサインオン(SSO)は、TeamViewerをIDプロバイダーやユーザーディレクトリと結び付けることで、大企業のユーザー管理の負担を軽減することを目的としています。

この記事は、TeamViewer Enterprise/Tensor ライセンスをお持ちのお客様に適用されます。

必要条件

TeamViewer シングルサインオンを使用するには、以下が必要です。

  • TeamViewer バージョン 13.2.1080 またはそれ以降
  • SAML 2.0対応のIDプロバイダ(IdP)*
  • Management Console にアクセスし、ドメインを追加するためのTeamViewer アカウント
  • ドメインの所有権を確認するための、ドメインのDNS管理へのアクセス権
  • TeamViewer Tensor ライセンス

TeamViewer 構成

シングルサインオン(SSO)は、該当するドメインのメールアドレスを使用するすべてのTeamViewerアカウントに対して、ドメイン単位で有効化されます。有効化されると、関連するTeamViewerアカウントにサインインするすべてのユーザーは、ドメイン用に設定されたIDプロバイダに誘導されます。

セキュリティおよび悪用防止のため、この機能を有効にする前にドメインの所有権を確認する必要があります。

新しいドメインを追加する

SSOを有効にするには、Management Consoleにログインし、会社の管理 を選択し、シングルサインオン メニューエントリーを選択します。ドメインの追加をクリックし、SSOを有効にするドメインを入力します。

また、IDプロバイダのメタデータを提供する必要があります。これには3つのオプションがあります:

  • URL経由: IdP メタデータの URL を指定のフィールドに入力します。
  • XML経由:メタデータXMLを選択してアップロードします。
  • 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64エンコードされた文字列でなければならないことに注意してください。

完了したら、続行をクリックします。

ここで、SSOから除外したいメールアドレスまたはユーザーグループを選択し、ドメインの追加をクリックします。

カスタム識別子の作成

ドメインの追加後、カスタム識別子を生成することができます。このカスタム識別子は TeamViewer には保存されませんが、SSO の初期設定に使用されます。シングルサインオンが解除され、新しい設定が必要になるため、いかなる時点でもこれを変更してはなりません。任意のランダムな文字列を顧客識別子として使用できます。この文字列は後でIDPの構成に必要になります。カスタム識別子を生成するには、「作成(Generate)」をクリックします。

ドメイン所有権の確認

ドメインが正常に追加された後、ドメインの所有権を確認する必要があります。

ドメイン認証が完了するまでは、シングルサインオンは有効になりません。

ドメインを検証するには、検証ページに表示されている値でドメインの新しいTXTレコードを作成してください。

📌 注意: DNSシステムのため、検証プロセスには数時間かかることがあります。

📌 注意: ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。

新しいTXTレコードを作成後、検証開始ボタンをクリックして検証プロセスを開始します。

📌 注意: DNSシステムの関係上、認証に数時間かかることがありますのでご注意ください。

💡ヒント: TeamViewer は、検証を開始してから 24 時間、TXT 検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、ステータスがそれに応じて更新されます。この場合、このダイアログから検証を再開する必要があります。

Centrifyによるアイデンティティプロバイダの設定

ここでは、TeamViewer シングルサインオンのアイデンティティプロバイダとして使用する 「Centrify.com」を設定する方法を説明します。

1) "Centrify.com "管理ユーザーインタフェースで、 アプリケーショ ンに移動し、 Web アプリの追加をクリックし、カスタムタブのリストから SAML を選択します。

2) アプリケーションの設定に切り替え、信頼タブに移動します。

3) サービス・プロバイダー設定で、以下のいずれかを入力します:

  • または手動設定(Manual Configuration)を選択し、以下の技術詳細に記載されているデータを入力してください。

4)SAML レスポンスタブに切り替えて、以下の属性を追加します:

5)保存をクリックします。

👉ヒント: アイデン ティプロバイダの設定]セクション(信頼タブ)のメタデータ URL を使用すると、TeamViewer Management Console で IdP を簡単にセットアップできます。

TeamViewer クライアント設定

TeamViewer は、バージョン13.2.1080からシングルサインオンと互換性があります。

以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザを ID プロバイダにリダイレクトすることはできません。クライアント設定はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。

TeamViewer クライアントは、デフォルトで ID プロバイダ認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用する場合は、この動作を変更できます:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌注意: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。