TeamViewerシングルサインオン(SSO)は、TeamViewerをIDプロバイダーやユーザーディレクトリと結び付けることで、大企業のユーザー管理の負担を軽減することを目的としています。
この記事は、TeamViewer Enterprise/Tensor ライセンスをお持ちのお客様に適用されます。
必要条件
TeamViewer シングルサインオンを使用するには、以下が必要です。
- TeamViewer バージョン 13.2.1080 またはそれ以降
- SAML 2.0互換のIDプロバイダ(IdP)*
- Management Console にアクセスし、ドメインを追加するためのTeamViewer アカウント
- ドメインの所有権を確認するための、ドメインのDNS管理へのアクセス権
- TeamViewer Tensor ライセンス
TeamViewer 構成
シングルサインオン(SSO)は、該当するドメインのメールアドレスを使用するすべてのTeamViewerアカウントに対して、ドメイン単位で有効化されます。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、ドメイン用に設定されたIDプロバイダに誘導されます。
セキュリティおよび悪用防止のため、この機能を有効にする前にドメインの所有権を確認する必要があります。
新しいドメインを追加する
SSOを有効にするには、Management Console にログインし、 会社の管理をクリックし、シングルサインオンメニューエントリーを選択します。ドメインを追加をクリックし、SSOを有効にするドメインを入力します。
また、IDプロバイダのメタデータを提供する必要があります。これには3つのオプションがあります:
- URL経由: IdPメタデータのURLを指定フィールドに入力します。
- XML経由:メタデータXMLを選択してアップロードします。
- 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64エンコードされた文字列でなければならないことに注意してください。
完了したら、続行をクリックします。
ここで、SSOから除外したいメールアドレスまたはユーザーグループを選択し、ドメインの追加をクリックします。
カスタム識別子の作成
ドメインの追加後、カスタム識別子を生成することができます。このカスタム識別子は TeamViewer には保存されませんが、SSO の初期設定に使用されます。シングルサインオンが解除され、新しい設定が必要になるため、いかなる時点でもこれを 変えないでください。任意のランダムな文字列を顧客識別子として使用できます。この文字列は後でIDPの構成に必要になります。カスタム識別子を生成するには、「作成(Generate)」をクリックします。
ドメインの所有権を確認する
ドメインが正常に追加された後、ドメインの所有権を確認する必要があります。
ドメイン認証が完了するまでは、シングルサインオンは有効になりません。
ドメインを検証するには、検証ページに表示されている値でドメインの新しいTXTレコードを作成してください。
📌 注意: DNSシステムのため、検証プロセスには数時間かかることがあります。
📌 注意:ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。
新しいTXTレコードを作成したら、検証開始ボタンをクリックして検証プロセスを開始します。
📌 注意:DNSシステムの関係上、認証に数時間かかることがありますのでご注意ください。
💡ヒント: TeamViewer は、検証を開始してから 24 時間、TXT 検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、ステータスがそれに応じて更新されます。この場合、このダイアログから検証を再開する必要があります。
G Suiteでのアイデンティティ・プロバイダのセットアップ
1) Google 管理コンソールを開きます: https://admin.google.com
2)TeamViewer 顧客識別子を保持するカスタムユーザー属性を作成します:
- ディレクトリー > ユーザーの順に移動します。
- 右上のカスタム属性の管理ボタンを押します。
- カスタム属性の追加(右上隅)を押します。
- カテゴリー名(例:「シングルサインオン」)と任意の説明を入力します。
- カスタムフィールドセクションに、新しいカスタム属性の名前を入力します(例:TeamViewer Customer Identifier)。
- 情報タイプを テキストに設定します。
- 可視性を管理者に表示する(Visible to admin)に設定します。
- 値の数を単一の値に指定します。
- 追加 をクリックします。
3) Apps > SAML Appsの順に移動し、右下隅の追加(+)をクリックします。
4)カスタムアプリの設定を選択します。
5) 次へを押して、Google IdP 情報ダイアログを確認します。すべての情報は、後で再度アクセスすることも 可能です。
6) アプリケーションの名前を入力します。例:"TeamViewer"(説明とロゴもオプションで追加できます)。
7)サービスプロバイダーの詳細で、以下の情報を入力します:
- ACS URL:https://sso.teamviewer.com/saml/acs
- Entity ID:https://sso.teamviewer.com/saml/metadata
- 名前ID:"基本情報" > "Primary Email(主要メールアドレス)"
- 名前IDフォーマット:"UNSPECIFIED"
8) " 属性マッピング(Attribute Mapping) "セクションで、以下のマッピングを追加します:
- 属性名:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress Category:"基本情報"
- ユーザー属性:"Primary Email(主要メールアドレス)"
- 属性名:http://sso.teamviewer.com/saml/claims/customeridentifier Category: "Single Sign-On" (ステップ1で作成)
- ユーザー属性: "TeamViewer Customer Identifier" (ステップ1で作成)
📌シングルサインオンでTeamViewer にログインするユーザーには、"TeamViewer Customer Identifier "属性を設定しなければならないことに注意してください。
TeamViewer クライアントの設定
TeamViewer は、バージョン13.2.1080からシングルサインオンと互換性があります。
以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザをIDプロバイダにリダイレクトすることはできません。クライアント設定はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。
TeamViewer クライアントは、デフォルトで ID プロバイダ認証に組み込みブラウザを使用します。オペレーティング・システムのデフォルトブラウザを使用する場合は、この動作を変更できます:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。