Con SCIM (System for Cross-domain Identity Management), es posible sincronizar usuarios y grupos de Microsoft Entra desde Microsoft Entra ID (anteriormente Azure AD) a TeamViewer.

📌Nota: Esto requiere una suscripción de licencia de Microsoft Entra Premium.

Permite a los administradores crear, actualizar y desactivar usuarios dentro de Microsoft Entra ID y mantener sus cuentas TeamViewer actualizadas automáticamente en 1h (el intervalo de actualización actual de Microsoft Entra).

Este artículo se aplica a l@s clientes de TeamViewer con una licencia Enterprise/Tensor.

Requisitos previos

Para poder utilizar esta función, debes cumplir los siguientes requisitos:

  • Tener una licencia válida de Tensor para TeamViewer
  • Disponer de una suscripción de la licencia Microsoft Entra Premium
  • Seguir el siguiente manual para configurar el SCIM
  • Se recomienda combinar la Sincronización SCIM con la Inicio de Sesión Único (SSO) para Microsoft Entra ID.

Crear TeamViewer Script Token

  1. Accede a TeamViewer en https://web.teamviewer.com/.
  2. Vete a la configuración de Admin.
  3. En la sección Autenticación, haz clic en Aplicaciones y token.
  4. Haz clic en Configuración del perfil.
  5. Haz clic en Añadir app o token.
  6. Haz clic en Crear token de script.
  7. Introduce un nombre para tu token de API y selecciona las siguientes opciones para el token.

Gestión de cuentas

  • ver estado en línea
  • ver los datos de la cuenta
  • ver dirección de correo electrónico
  • ver licencia

Gestión de usuarios

  • crear usuarios
  • editar usuarios
  • ver usuarios

Grupos de usuarios

  • crear grupos de usuarios
  • eliminar grupos de usuarios
  • editar grupos de usuarios
  • leer grupos de usuarios

Para crear tu token de script, haz clic en Guardar.

Una vez creado el token, lo verás en la vista general. Haz clic en el menú de tres puntos (⋮) para ver el API Token. Copia el token; lo necesitarás más adelante en Microsoft Entra ID.

Configuración del aprovisionamiento SCIM en Microsoft Entra ID

📌 Notas:

  • Se recomienda combinar el aprovisionamiento SCIM con el inicio de sesión único para Microsoft Entra
  • Si ya has creado la aplicación para el inicio de sesión único, puedes utilizar la misma aplicación también para el aprovisionamiento SCIM.
  • Los siguientes pasos se basan en el hecho de que tu ya has creado una Aplicación Empresarial. Si no es así, por favor consulta el artículo Single Sign-On for Microsoft Entra ID, porque allí se describe cómo crear una Aplicación Empresarial.

1.) Accede a tu Aplicación Empresarial creada y selecciona Aprovisionamiento (Provisioning)

2.) Verás una nueva página Windows. Haz clic en Empezar (Get started).

(1) Selecciona el modo de aprovisionamiento Automático (Automatic)

(2) Introduce la URL del inquilino (tenant URL) https://webapi.teamviewer.com/scim/v2

(3) Para el token secreto (Secret token), introduce el token de API que ya ha creado.

(4) Haz clic en Probar conexión (Test connections)

(5) Si la conexión de prueba se ha realizado correctamente, puedes hacer clic en Guardar (Save)

3.) Ahora puedes editar las Asignaciones para tu aprovisionamiento

En primer lugar, edita los grupos de ID de Provision Microsoft Entra

(1) Si deseas utilizar los grupos de ID de Microsoft Entra para los TeamViewer y por favor actívalo (enabled).

(2) Activar todas las opciones de las acciones del objeto de destino (target object actions)

(3) Asegúrate de que sólo has configurado el atributo Microsoft Entra ID (Azure Active Directory Attribute), como se muestra en la captura de pantalla. Elimina todas las otras entradas, en caso de verlas

(4) Haz clic en Guardar (Save)

4.) En el siguiente paso edita los ID de Usuarios de Provision Microsoft Entra

(1) Comprueba si la sincronización de usuarios está activada (enabled).

(2) Elimina la selección por defecto de la opción "Eliminar", ya que la API SCIM no puede eliminar usuarios en la Management Console de TeamViewer (Classic)

(3) Asegúrate de que sólo has establecido el "Atributo Azure Active Directory" como se muestra en la captura de pantalla. Elimina todas las demás entradas, si las verlas

5.) Activa la opción Mostrar opciones avanzadas (Show advanced options) y haz clic después de Editar lista de atributos para customappsso (Edit attribute list for customappsso)

6.) En la Lista de Atributos crea una nueva Cadena (String)

7.) Introduce el valor urn:ietf:params:scim:schemas:extension:teamviewer:1.0:SsoUser:ssoCustomerId

8.) Haz clic en Guardar (Save) y confirma los cambios con (Yes)

9.) De vuelta en Azure Active Directory Attribute, edita el atributo preferredLanguage

10.) Al editar el atributo preferredLanguage

(1) Cambiar Aplicar esta asignación (Apply this mapping) de Siempre (Always)

(2) a Sólo durante la creación del objeto (Only during object creation)

(3) Confirma el cambio con OK

11.) De nuevo en Azure Active Directory Attribute

(1) Haz clic en Añadir nueva asignación (Add new mapping)

(1) Cambia el tipo de asignación a Constante (Constant)

(2) Introduce en Valor Constante (Constant Value) el identificador personalizado que ya utilizas en Single Sign-On para Microsoft Entra ID.

📌 Nota: Si no utilizas el mismo identificador personalizado, la sincronización de usuarios no funcionará correctamente.

(3) Selecciona para el atributo Target el atributo personalizado previamente creado urn :ietf:params:scim:schemas:extension:teamviewer:1.0:SsoUser:ssoCustomerId

(4) Cambia Aplicar esta asignación (Apply this mapping) de Siempre (Always) a Sólo durante la creación del objeto (Only during object creation).

(5) Confirma el cambio con OK

(1) En la barra de navegación, haz clic en Aprovisionamiento (Provisioning)

(2) Cambia el Estado de Aprovisionamiento (Provisioning Status) de Off a On

(1) Haz clic en la Aplicación sobre Usuarios y grupos (Users and groups)

(2) Haz clic en Añadir usuario/grupo (Add user/group)

📌 Nota: Debes asignar un grupo de ID de Microsoft Entra si deseas utilizar el grupo de ID de Microsoft Entra seleccionado para los grupos de usuarios de TeamViewer.