TeamViewer Single Sign-On (SSO) tiene como objetivo reducir los esfuerzos de gestión de usuarios de las grandes empresas conectando TeamViewer con proveedores de identidad y directorios de usuarios.
Este artículo se aplica a l@s clientes de TeamViewer con una licencia Tensor.
Requisitos
Para utilizar el inicio de sesión único (SSO) de TeamViewer, necesitas:
-
Una versión de TeamViewer 13.2.1080 o posterior
-
Un proveedor de identidad (IdP) compatible con SAML 2.0*
- Una cuenta de TeamViewer para acceder a la Management Console y agregar dominios.
- Acceso a la gestión DNS de tu dominio para verificar la propiedad del mismo
-
Una licencia de TeamViewer Tensor
Guía de configuración de SSO
Sigue los pasos que se indican a continuación para configurar tu SSO para Okta.
Agregar un nuevo dominio
1. Abre la aplicación Okta.
2. Vete a Aplicaciones (Applications) y selecciona Aplicaciones (Applications).
3. Haz clic en el botón Crear integración de aplicaciones (Create App Integration).
4. Selecciona SMAL 2.0 y asigna un nombre a tu aplicación, luego haz clic en Siguiente (Next).
5. En la configuración de SAML, rellena los campos con la siguiente información:
6. Ahora haz clic en Mostrar configuración avanzada (Show Advanced Settings).
7. Cambia el cifrado de aserción a Cifrado (Encrypted).
8. A continuación, debes recuperar la clave pública de TeamViewer para cargarla en el campo Certificado de cifrado (Encryption Certificate) .
Nota: Este archivo debe estar en formato Base64 .
Obtén la clave pública de TeamViewer:
La clave pública del certificado que se usa para firmar solicitudes SAML y para el cifrado de respuestas SAML se puede obtener ejecutando el siguiente comando de PowerShell:
"-----BEGIN PUBLIC KEY-----'n"+ ' ((Select-Xml ' -Content ((Invoke-WebRequest ' https://sso.teamviewer.com/saml/metadata.xml). Content) ' -xpath "//*[nombre-local()='X509Certificate']"). Nodo[0].' #text') + ' "'n-----ENDPUBLIC CLAVE-----" ' | Out-File -FilePath "sso.teamviewer.com -saml.cer" -Codificación ascii
El comando descarga los metadatos, extrae la clave pública y la escribe el archivo de sso.teamviewer.com - saml.cer en formato ascii.
Una vez finalizado, debes convertir este archivo a un tipo de archivo Base64 .cer .
Convertir el archivo sso.teamviewer.com - saml.cer
Para convertir el archivo sso.teamviewer.com - saml.cer a Base64, sigue los pasos a continuación:
1. Haz clic con el botón derecho y selecciona Abrir (Open).
2. Haz clic en la pestaña Detalles 3 (Details Tab 3) y selecciona Copiar en archivo (Copy to file).
3. Haz clic en Siguiente (Next).
4. Selecciona X.509 codificado en Base-64 (Base-64 encoded X.509).
5. Haz clic en Siguiente (Next).
6. Escribe el nombre del archivo.
7. Haz clic en Siguiente (Next).
8. Haz clic en Finalizar (Finish).
El resultado debería verse así:
Antes de poder agregar las dos Declaraciones de atributos (Attribute Statements) requeridas , deberás hacer clic en Siguiente (Next) para obtener la clave pública de Okta y otra información necesaria para completar la configuración de SSO en la Management Console de TeamViewer. Volverá aquí después para completar.
1. Selecciona Soy cliente de Okta, agrega una aplicación interna (I’m an Okta customer, adding an internal app).
2. Selecciona Esto es interno (This is an internal) y haz clic en Finalizar (Finish)
3. Haz clic en Ver instrucciones de configuración de SAML (View SAML setup instructions).
4. Inicia sesión en la Management Console de TeamViewer y:
a) Selecciona Administración de la empresa
b) Selecciona Inicio de Sesión Único (SSO)
c) Haz clic en el signo + o Agregar primer dominio (Add first domanin)
d) Ingresa el dominio para el cual deseas activar el SSO
e) Cambia la configuración a manual
f) Copia la información de (1) y pégala en el campo URL del Inicio de Sesión Único (SSO)
g) Copia la información de (2) y pégala en el campo ID de entidad (Entity ID field)
h) Copia la información de (3) y pégala en el campo Clave pública (Public Key) , excluyendo la primera y la última línea
I) Marca la casilla Deshabilitar correos electrónicos de activación para el dominio dado (Disable activation emails for the given domain)
j) Haz clic en Siguiente (Next)
k) Introduce las exclusiones de SSO de correo electrónico que desees excluir del SSO
l) Haz clic en Siguiente (Next) de nuevo
Los resultados deberían verse así:
A continuación, debes generar tu identificador de cliente.
Una vez agregado el dominio, se puede generar el Identificador del cliente. TeamViewer no almacena este identificador del cliente, sino que se utiliza para la configuración inicial de SSO. No debe cambiarse en ningún momento, ya que esto romperá el inicio de sesión único y será necesaria una nueva configuración. Cualquier cadena aleatoria se puede usar como identificador del cliente. Esta cadena es necesaria más adelante para la configuración del IdP.
Asegúrate de guardar esto, ya que lo necesitarás nuevamente más tarde.
Verificar la propiedad del dominio
Una vez que un dominio se haya agregado correctamente, debe verificar la propiedad del dominio.
El Inicio de Sesión Único no se activará antes de que se complete la verificación del dominio.
Para verificar el dominio, crea un nuevo registro TXT para tu dominio con los valores que se muestran en la página de verificación.
Nota: El proceso de verificación puede tardar varias horas debido al sistema DNS.
El cuadro de diálogo para agregar un registro TXT puede ser similar a:
Notas:
- Dependiendo de tu sistema de administración de dominios, la descripción de los campos de entrada puede variar.
- Después de crear el nuevo registro TXT, inicia el proceso de verificación haciendo clic en el botón Iniciar verificación y luego en Finalizar.
- El proceso de verificación puede tardar varias horas debido al sistema DNS, pero generalmente tomará un minuto más o menos.
Sugerencia: TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la misma. En caso de que no podamos encontrar el registro TXT dentro de las 24 horas, la verificación falla y, en consecuencia, el estado se actualiza. En este caso, debes reiniciar la verificación a través de este cuadro de diálogo.
1. Selecciona la pestaña General y Edita (Edit) tu configuración de SAML.
2. Haz clic en Siguiente (Next).
3. Vete a la sección Declaraciones de atributos (Attibutes Statements) e ingresa los siguientes dos atributos:
- Formato de nombre
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddreSs
Valor: user.email
- No especificado
http://sso.teamviewer.com/saml/claims/customeridentifier
Este atributo debe ser especificado por cada cliente al configurar inicialmente TeamViewer SSO.
Importante: El identificador del cliente que se ha establecido inicialmente no debe cambiar; de lo contrario, SSO se romperá. TeamViewer no almacena este valor.
Tus resultados deberían verse así:
4. Haz clic en Siguiente (Next), luego en Finalizar (Finish).
Configuración del cliente de TeamViewer
TeamViewer es compatible con Inicio de Sesión Único (SSO) a partir de la versión 13.2.1080.
Las versiones anteriores no admiten el inicio de sesión único y no pueden redirigir a los usuarios a tu proveedor de identidad durante el inicio de sesión. La configuración del full cliente es opcional, pero permite cambiar el navegador utilizado para el inicio de sesión SSO del IdP.
El full client de TeamViewer utilizará un navegador integrado para la autenticación del proveedor de identidad de forma predeterminada. Si prefieres utilizar el navegador predeterminado del sistema operativo, puedes cambiar este comportamiento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Nota: Debes reiniciar el full client de TeamViewer después de crear o cambiar el registro.
1. Abre la Management Console de TeamViewer e inicia sesión con tu cuenta de TeamViewer con licencia.
3. Haz clic en tu nombre de perfil y selecciona Editar perfil (Edit profile) .
4. Haz clic en Aplicaciones (Apps) y luego en Crear token de script (Create script token).
5. Ingresa un nombre para tu token de API y selecciona las siguientes opciones para el token.
6. Haz clic en Crear (Create) para recibir tu token de API.
7. Una vez creado el token, lo verás en la descripción general. Expande para ver el token de API. Copia el token y pégalo en la aplicación de Okta junto a Autorización.
8. Copia este token y vuelve a tu aplicación Okta.