TeamViewer シングルサインオン (SSO) は、TeamViewer を ID プロバイダーやユーザーディレクトリに接続することで、大企業のユーザー管理の労力を軽減することを目的としています。
この記事は、Tensor ライセンスをお持ちのお客様に適用されます。
TeamViewerシングルサインオン(SSO)を使用するには、以下が必要です。
TeamViewerバージョン13.2.1080以降
SAML 2.0互換のIDプロバイダー(IdP)*
Management Console(管理コンソール) にアクセスしてドメインを追加するためのTeamViewerアカウント、またドメインの所有権を確認するためのドメインのDNS管理へのアクセス
TeamViewer Tensorライセンス
以下の手順に従って、OktaのSSO設定を行ってください。
1. Oktaアプリを開きます 。
2. アプリケーションに移動し、アプリケーションを選択します。
3. アプリ統合の作成ボタンをクリックします。
4. SMAL 2.0 を選択し、 アプリに名前を付けて、次へをクリックします。
5. SAML設定で、次の情報を使用してフィールドに入力します。
6. 次に 、詳細設定の表示をクリックします。
7. アサーション暗号化を暗号化に変更します。
8. 次に、TeamViewer 公開鍵を取得して、暗号化証明書フィールドにアップロードする必要があります。
注記: このファイルは Base64 形式である必要があります。
SAML要求の署名とSAML 応答の暗号化に使用される証明書の公開キーは、次の PowerShell コマンドを実行することで取得できます。
"-----BEGIN PUBLIC KEY-----`n"+ ` ((Select-Xml ` -Content ((Invoke-WebRequest ` https://sso.teamviewer.com/saml/metadata.xml).Content) ` -xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + ` "`n-----ENDPUBLIC KEY-----" ` | Out-File -FilePath "sso.teamviewer.com -saml.cer" -Encoding ascii
このコマンドは、メタデータをダウンロードし、公開鍵を抽出して、ASCII形式で sso.teamviewer.com - saml.cer ファイルに書き込みます。
完了後 、このファイルを Base64 .cer ファイル タイプに変換する必要があります。
sso.teamviewer.com - saml.cer ファイルを Base64 に変換するには 、次の手順に従ってください。
1. 右クリックして開くを選択します 。
2. 詳細タブ 3 をクリックし 、ファイルにコピーを選択します。
3. 次へをクリックします。
4. Base-64 encoded X.509.を選択します。
5. 次へをクリックします。
6. ファイル名を入力します。
7. 次へをクリックします。
8. 終了をクリックします。
結果は次のようになります:
2つの必須の属性ステートメントを追加する前に、次へをクリックして、TeamViewer Management Console(管理コンソール) のSSO設定に情報を入力するために必要なOktaの公開鍵とその他の情報を取得する必要があります。後で、再度こちらの画面に戻って作業を完了してください。
1. 私はOktaの顧客ですを選択し、内部アプリを追加します。
2. これは内部ですを選択し、完了をクリックします。
3. SAML 設定手順の表示をクリックします。
4. TeamViewer Management Console(管理コンソール) にログインし、次の操作を行います。
a) 会社の管理を選択
b) シングルサインオンを選択
c) + 記号をクリックするか 、最初のドメイン を追加
d) SSO を有効にする対象のドメインを入力
e) 設定を手動に変更
f) (1) の情報をコピーし、 シングルサインオン URLフィールドに貼り付け
g) (2)の情報をコピーして、エンティティIDフィールドに貼り付け
h) (3)の情報をコピーし、公開鍵の欄に貼り付け(最初と最後の行を除く)
i) 特定のドメインの有効化メールを無効にするボックスにチェックを入力
j) 次へをクリック
k) SSO の対象外としたいメールアドレスを入力
l) もう一度次へをクリック
結果は次のようになります:
次に、 顧客識別子を生成する必要があります。
ドメインが追加されたら、 顧客識別子 を生成できます。この顧客識別子はTeamViewerによって保存されることはありませんが、SSOの初期設定に使用されます。これを変更すると、シングルサインオンが中断され、新たなセットアップが必要になる可能性があるので、変更しないようご注意ください。任意のランダムな文字列を顧客識別子として使用できます。この文字列は、後で IdP の設定に必要になります。
後で再び必要になるので、必ず保存してください。
ドメインが正常に追加されたら、ドメインの所有権を確認する必要があります。
シングルサインオンは、ドメイン検証が完了するまで有効になりません。
ドメインを確認するには、検証ページに表示される値を使用して、ドメインの新しい TXT レコードを作成してください。
注記: DNS システムの影響により、検証プロセスには数時間かかる場合があります。
TXTレコードを追加するダイアログは、次のようになります。
注記:
ヒント: TeamViewer は、確認開始後 24 時間にわたりTXT 検証レコードを検索します。24 時間以内にTXTレコードが見つからない場合、確認は失敗となり、ステータスがそれに応じて更新されます。
この場合は、本ダイアログから確認プロセスを再実行してください。
1. 全般タブを選択し、SAML設定を編集します。
2. 次へをクリックします。
3. 属性ステートメントセクションに移動し、次の 2 つの属性を入力します。
重要: 初期設定時に指定した顧客識別子は変更しないでください。変更するとSSOが機能しなくなります。なお、TeamViewer はこの値を保存していません。
結果は次のようになります。
4. 次へ 、完了の順にクリックします。
TeamViewerは、バージョン13.2.1080以降のシングルサインオンと互換性があります。
以前のバージョンではシングルサインオンはサポートされておらず、ログイン時にユーザーをアイデンティティプロバイダーにリダイレクトすることはできません。クライアント設定はオプション ですが 、IdP の SSO ログインに使用されるブラウザを変更できます。
TeamViewerクライアントは、デフォルトでIDプロバイダーの認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用する場合は、次の動作を変更できます。
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
注記: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。
3. アプリをクリックし、スクリプトトークンの作成をクリックします 。
4. API トークンの名前を入力し 、トークンに次のオプションを選択します。
5. 作成 をクリックして API トークンを受け取ります。
6. トークンが作成されると、概要にトークンが表示されます。 展開してAPI トークンを表示します。 トークンをコピー して、Okta アプリの「認証」の横に貼り付けます。
7. このトークンをコピーして、 Oktaアプリに戻ります。