TeamViewerシングルサインオン(SSO)は、TeamViewerをIDプロバイダーやユーザーディレクトリと結びつけることで、大企業のユーザー管理の負担を軽減することを目的としています。
この記事は、TeamViewer Enterprise/Tensor ライセンスをお持ちのお客様に適用されます。
必要条件
TeamViewer シングルサインオンを使用するには、以下が必要です。
- TeamViewer バージョン 13.2.1080 またはそれ以降
- SAML 2.0互換のIDプロバイダ(IdP)*
- Management Console にアクセスし、ドメインを追加するためのTeamViewer アカウント
- ドメインの所有権を確認するための、ドメインのDNS管理へのアクセス権
- TeamViewer Tensor ライセンス
TeamViewer 構成
シングルサインオン(SSO)は、該当するドメインのメールアドレスを使用するすべてのTeamViewerアカウントに対して、ドメイン単位で有効化されます。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、ドメイン用に設定されたIDプロバイダに誘導されます。
セキュリティ理由および悪用防止のため、この機能を有効にする前にドメインの所有権を確認する必要があります。
新しいドメインを追加する
SSOを有効にするには、Management Console にログインし、 会社の管理を選択し、シングルサインオンメニューエントリーを選択します。ドメインの追加をクリックし、SSOを有効にするドメインを入力します。
また、IDプロバイダのメタデータを提供する必要があります。これには3つのオプションがあります:
- URL経由: IdP メタデータの URL を指定のフィールドに入力します。
- XML経由:メタデータXMLを選択してアップロードします。
- 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64エンコードされた文字列でなければならないことに注意してください。
完了したら、続行をクリックします。
ここで、SSOから除外したいメールアドレスまたはユーザーグループを選択し、ドメインの追加をクリックします。
カスタム識別子の作成
ドメインの追加後、カスタム識別子を生成することができます。このカスタム識別子は TeamViewer には保存されませんが、SSO の初期設定に使用されます。シングルサインオンが解除され、新しい設定が必要になるため、いかなる時点でも変更してはなりません。任意のランダムな文字列を顧客識別子として使用できます。この文字列は後でIDPの構成に必要になります。カスタム識別子を生成するには、「作成(Generate)」をクリックします。
ドメインの所有権を確認する
ドメインが正常に追加された後、ドメインの所有権を確認する必要があります。
ドメイン認証が完了するまでは、シングルサインオンは有効になりません。
ドメインを検証するには、検証ページに表示されている値でドメインの新しいTXTレコードを作成してください。
📌 注意: DNSシステムのため、検証プロセスには数時間かかることがあります。
📌 注意: ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。
新しいTXTレコードを作成したら、検証開始ボタンをクリックして検証プロセスを開始します。
📌 注意: DNSシステムの関係上、認証に数時間かかることがありますのでご注意ください。
💡ヒント: TeamViewer は、検証を開始してから 24 時間、TXT 検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、ステータスがそれに応じて更新されます。この場合、このダイアログから検証を再開する必要があります。
Oktaによるアイデンティティプロバイダの設定
ここでは、TeamViewer SSO サービスの IdP として使用するために Okta を設定する方法について説明します。
💡ヒント: 設定によっては、Oktaでユーザーをアプリケーションに割り当てる必要があります。
Oktaのドキュメントはこちら(英文)
TeamViewer Oktaアプリを使用した自動設定
1) Okta管理者ダッシュボードにログインします。
2)TeamViewer アプリケーションを追加します。
3) SAML 2.0 を選択します。
- メタデータのURLをコピーして保存します。
4) アプリケーションにユーザーを割り当てます。
5) MCO のドメイン管理で、メタデータを使用して SAML を有効にします。
Okta Webユーザーインターフェイスを使用した手動設定
管理インタフェースに移動し、新しい SAML アプリケーションを追加します。SAML 設定ページで以下の値を指定します:
以下の属性ステートメントを追加します(Name Format - Unspecified):
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress Value: user.email
- http://sso.teamviewer.com/saml/claims/customeridentifier この属性は、TeamViewer SSO の初期設定時に各顧客が指定する必要があります。
📌注意: SSOが壊れますので、最初に設定された "Customer Identifier "は変更しないでください。TeamViewerはこの値を保存しません。
-より複雑なマッピング
📌注意: emailaddress属性ステートメントの値には、より複雑なマッピングルールが含まれる場合があります。そのため、Oktaは式言語を提供しています。この式言語に関する公式ドキュメントはこちらをご覧ください: https://developer.okta.com/reference/okta_expression_language/index
A社では、ユーザー用に@a1.testと @a2.testの2つのメールアドレスドメインを指定しています。Oktaユーザーには、@a1.testドメインをアカウントに関連付けられています。
TeamViewer SSOは、@a2.testのメールアドレスに対してのみ有効にする必要があります。
emailaddressの値は、次のようになります:
String.append(String.substringBefore(user.email, "@"), "@a2.test")
これにより、SAML 応答に正しいメールアドレスが含まれるようになります。
TeamViewer クライアント設定
TeamViewer は、バージョン13.2.1080からシングルサインオンと互換性があります。
以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザをIDプロバイダにリダイレクトすることはできません。クライアント設定はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。
TeamViewer クライアントは、デフォルトで ID プロバイダ認証に組み込みブラウザを使用します。オペレーティング・システムのデフォルトブラウザを使用する場合は、この動作を変更できます:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。