+81 5 03459 5010
+81 5 03459 5010

ナレッジベース

Back to support overview

TeamViewer Tensorのシングルサインオン機能により、IT部門はTeamViewer Tensorの企業ユーザーアカウントの提供をより効果的に管理することができます。 TeamViewer Tensorのシングルサインオン機能を使って、企業のメールアドレスを持つユーザーのみにアクセスを制限することで、権限のないユーザーが企業のリモートアクセスプラットフォームを使用することを防ぐことができます。

  • SSOアイデンティティサービスプロバイダを通してパスワードコントロールを一元化することで、IT部門はパスワードを管理する必要がなくなり、パスワードリセットリクエストを減らすことができます。
  • 企業のパスワードポリシーとアイデンティティ認証ルールを、許可されたすべてのTeamViewer Tensorユーザーに自動的に適用することができます。
  • TeamViewerを介した不正なバックドアアクセスを防ぐことで、対象従業員を効率的に切り離すことができます。
  • 従業員が企業アプリケーションですでに使用している同一のSSOログイン認証情報を使用してTeamViewer Tensorにログインできるようにすることで、エンドユーザーの利便性を向上させます。

この記事は、TeamViewer Enterprise/Tensor ライセンスをお持ちのお客様に適用さ れます。

必要条件

TeamViewer シングルサインオンを使用するには、以下が必要です。

  • TeamViewer バージョン 13.2.1080 またはそれ以降
  • SAML 2.0対応のIDプロバイダ(IdP)*
  • Management Console にアクセスし、ドメインを追加するためのTeamViewer アカウント
  • ドメインの所有権を確認するための、ドメインのDNS管理へのアクセス権
  • TeamViewer Tensor ライセンス

* 現時点では、Centrify、Okta、Azure、OneLogin、ADFS、G Suite のみをサポートしていますが、将来的にはさらに多くの IdP をサポートする予定です。上記のIdPはテスト済みであり、これらのIdPの一つを設定するための詳細な手順は、SSOとそれぞれのIdPに関するドキュメントおよび他のリンクページに記載されています。

📌注意: 異なるIdPを使用する場合は、技術情報を参考にIdPを手動で設定してください。

💡ヒント: シングルサインオン用にドメインを追加する場合、所有者アカウントを除外リストに追加することを推奨します。これは、IdPが動作していない場合でもドメイン構成へのアクセスを維持するという補助的なシナリオのための措置です。

例: TeamViewer アカウント「[email protected]」は、シングルサインオン用にドメイン「example.com」を追加します。ドメインを追加した後、メールアドレス「[email protected]」を除外リストに追加します。これは、設定ミスによりシングルサインオンが機能しない場合でも、SSO設定に変更を加えるために必要です。

💡ヒント2: シングルサインオンドメインを追加する場合、SSO所有権は社内に継承されないため、SSOドメインに所有者を追加することを推奨します。

例: TeamViewer アカウント 「[email protected] 」がシングルサインオン用にドメイン 「example.com 」を追加した後、複数の会社管理者(例えば "[email protected]")をドメイン所有者として追加し、ドメインとそのSSO設定を管理できるようにします。

シングルサインオン(SSO)は、このドメインの電子メールアドレスを使用するすべてのTeamViewer アカウントに対して、ドメイン単位で有効化されます。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーが、ドメイン用に設定されたIDプロバイダに誘導されます。この手順は、どの IdP を使用するかに関係なく必要です。

セキュリティおよび悪用防止のため、この機能を有効にする前にドメインの所有権を確認する必要があります。

新しいドメインを追加

SSOを有効にするには、Management Console にログイン後、 会社管理を選択し、シングルサインオンメニューを選択します。ドメインの追加をクリックし、SSOを有効にしたいドメインを入力します。

また、ID プロバイダーのメタデータを提供する必要があります。これには3つのオプションがあります:

  • URL経由 : 対応するフィールドにIdPメタデータのURLを入力します。
  • XML経由:メタデータXMLを選択してアップロードします。
  • 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64エンコードされた文字列でなければならないことに注意してください。

完了したら、続行をクリックします。

ここで、SSOから除外したいメールアドレスまたはユーザーグループを選択し、ドメインの追加をクリックします。

カスタム識別子の作成

ドメインの追加後、カスタム識別子を生成することができます。このカスタム識別子は TeamViewer には保存されませんが、SSO の初期設定に使用されます。シングルサインオンが解除され、新しい設定が必要になるため、いかなる場合でもこれを変更しないでください。任意のランダムな文字列を顧客識別子として使用できます。この文字列は後でIDPの構成に必要になります。カスタム識別子を生成するには、「作成(Generate)」をクリックします。

ドメインの所有権を確認

ドメインが正常に追加された後、ドメインの所有権を確認する必要があります。

ドメイン認証が完了するまでは、シングルサインオンは有効になりません。

ドメインを検証するには、検証ページに表示されている値でドメインの新しいTXTレコードを作成してください。

📌注意 : DNSシステムの関係で、検証プロセスには数時間かかることがあります。

📌注意 :  ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。

新しいTXTレコードを作成したら、検証開始ボタンをクリックして検証プロセスを開始します。

📌注意 :  DNSシステムの関係上、認証に数時間かかることがありますのでご注意ください。

💡ヒント: TeamViewer は、検証を開始してから 24 時間、TXT 検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、ステータスがそれに応じて更新されます。この場合、このダイアログから検証を再開する必要があります。

アイデンティティプロバイダの設定

各 ID プロバイダは独自の設定を必要とするため、専用のナレッジベースの記事を参考にしてください:

TeamViewer クライアント設定

TeamViewer は、バージョン13.2.1080からシングルサインオンと互換性を持ちます。

以前のバージョンはシングルサインオンをサポートしておらず、ログイン中にユーザーをIDプロバイダに誘導することはできませんでした。クライアント設定はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。

TeamViewer クライアントはデフォルトで、ID プロバイダ認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用したい場合は、この動作を変更することができます:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌注意: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。

技術情報

このセクションでは、TeamViewer SAML Service Provider (SP)の技術的な詳細を示します。このデータは、上記以外の IdP を追加する場合にも関連する可能性があります。

SAML サービスプロバイダメタデータ:

SP Metadata URL

Entity ID

Audience

Assertion Customer Service URL

Assertion Consumer Service Bindings

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec

SAML Request Signature Algorithm

http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
TeamViewer supports SHA-256 as signature algorithm. We require the SAML assertion to be signed, while signing the SAML response is optional but recommended.

NameID

Unspecified

必須の SAML レスポンス・クレーム:

これは、IdPの範囲内(したがって、対応する企業の範囲内)で一意のユーザー識別子にマッピングされる必要があります。

例えば、ADFSの場合はActive Directoryのオブジェクト、GUID・Oktaの場合はメールアドレスとなります。

この属性は、サインインするユーザーのメールアドレスに割り当て る必要があります。メールアドレスは、TeamViewer アカウントに設定されているものと同じである必要があります。照合/比較は、大文字と小文字を区別しない方法で行われます。

この属性は顧客固有の識別子を返す必要があります。属性の名前は "customeridentifier" にする必要があります。

TeamViewer は、Single Sign-On アカウントの初期構成で、SAML 応答のカスタム・クレームとして顧客識別子を必要とします。

TeamViewer は顧客識別子を保存しません。後でそれを変更すると、シングルサインオンが解除され、新しい設定が必要になります。

顧客識別子には、任意のランダムな文字列を使用できます。

署名・暗号化証明書(公開鍵)

SAML 要求の署名および SAML 応答の暗号化に使用される証明書の公開鍵は、以下の PowerShell コマンドを実行することで取得することができます:

"-----BEGIN PUBLIC KEY-----`n" + `
((Select-Xml `
-Content ((Invoke-WebRequest `
https://sso.teamviewer.com/saml/metadata.xml).Content) `
-xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + `
"`n-----END PUBLIC KEY-----" `
| Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii

このコマンドはメタデータをダウンロードし、公開鍵を抽出してファイルに書き込みます。