TeamViewer Tensor com Single Sign-On oferece à TI mais controle sobre o provisionamento de contas de usuários corporativos para TeamViewer Tensor remote access e suporte. Ao limitar o acesso a usuários apenas com e-mails corporate, o TeamViewer Tensor com SSO permite evitar que usuários não autorizados utilizem a plataforma corporativa remote access.
- Centralize o controle de senhas por meio do seu provedor de serviços de identidade SSO, para que a TI não precise gerenciar senhas, reduzindo as solicitações de redefinição de senha.
- Aplique automaticamente as políticas de senha e as regras de autenticação de identidade do corporate a todos os usuários autorizados do TeamViewer Tensor.
- Desligue os funcionários de forma eficiente, sem se preocupar com o acesso não autorizado por backdoor por meio do site TeamViewer.
- Melhore a experiência do usuário final permitindo que os funcionários façam login em TeamViewer Tensor com as mesmas credenciais de login SSO que já estão usando para seus aplicativos corporate - sem login separado TeamViewer Tensor com outra senha para lembrar.
Este artigo se aplica aos clientes do site TeamViewer com uma licença TeamViewer Tensor.
Requisitos
Para usar o TeamViewer Single Sign-On, você precisa
- Um TeamViewer versão 13.2.1080 ou mais recente
- Um provedor de identidade compatível com SAML 2.0 (IdP)*
- Uma conta TeamViewer para acessar o Management Console e adicionar domínios
- Acesso ao gerenciamento de DNS de seu domínio para verificar a propriedade do domínio
- Uma licença TeamViewer Tensor.
* Atualmente, oferecemos suporte apenas a Centrify, Okta, Microsoft Entra ID, OneLogin, ADFS e Google Workspace, mas estamos trabalhando para oferecer suporte a mais IdPs no futuro. Os IdPs acima foram testados, e as etapas detalhadas para configurar um desses IdPs podem ser encontradas nestes documentos e em outras páginas vinculadas sobre SSO e os respectivos IdPs.
Observação: Caso você use um IdP diferente, use as informações técnicas para configurar seu IdP manualmente.
Dicas:
- Ao adicionar um domínio para Single Sign-On, é recomendável adicionar a conta proprietária à lista de exclusão. O motivo disso é um cenário de fallback em que você mantém o acesso à configuração do domínio mesmo que o IdP não esteja funcionando.
- Exemplo: A conta TeamViewer "[email protected]" adiciona o domínio "example.com" para Single Sign-On. Depois de adicionar o domínio, o endereço de e-mail "[email protected]" deve ser adicionado à lista de exclusão. Isso é necessário para fazer alterações na configuração de SSO, mesmo quando o Single Sign-On não funciona devido a uma configuração incorreta.
- Ao adicionar um domínio de logon único, é recomendável adicionar outros proprietários ao domínio de SSO, pois a propriedade de SSO não é herdada em sua empresa.
- Exemplo: Depois que a conta TeamViewer "[email protected]" adiciona o domínio "example.com" para Single Sign-On, ela adiciona vários administradores da empresa (por exemplo, "[email protected]") como proprietários do domínio para que eles também possam gerenciar o domínio e suas configurações de SSO.
O Single Sign-On (SSO) é ativado em um nível de domínio para todas as contas TeamViewer que usam um endereço de e-mail com esse domínio. Uma vez ativado, todos os usuários que fazem login em uma conta TeamViewer correspondente são redirecionados para o provedor de identidade que foi configurado para o domínio. Essa etapa é necessária independentemente de qual IdP é usado.
Por motivos de segurança e para evitar abusos, é necessário verificar a propriedade do domínio antes que o recurso seja ativado.
Como adicionar um novo domínio
Para ativar o SSO, faça login em Management Console, selecione Administração da empresa e, em seguida, a entrada de menu Single Sign-On. Clique em Adicionar domínio e digite o domínio para o qual você deseja ativar o SSO.
Você também precisa fornecer os metadados do seu provedor de identidade. Há três opções disponíveis para fazer isso:
- via URL: Digite o URL de metadados do IdP no campo correspondente
- via XML: Selecione e carregue seus metadados XML
- Configuração manual: Insira manualmente todas as informações necessárias. Observe que a chave pública deve ser uma cadeia de caracteres codificada em Base64.
Quando isso for feito, clique em Continue.
Agora, selecione os endereços de e-mail ou grupos de usuários que deseja excluir do SSO e clique em Adicionar domínio.
Como criar um identificador personalizado
Depois que o domínio tiver sido adicionado, o identificador personalizado poderá ser gerado. Esse identificador personalizado não é armazenado pelo site TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Single Sign-On e será necessária uma nova configuração. Qualquer cadeia aleatória pode ser usada como identificador de cliente. Essa cadeia será necessária posteriormente para a configuração do IDP. Para gerar o identificador personalizado, clique em Gerar.
Como verificar a propriedade do domínio
Depois que um domínio for adicionado com êxito, você precisará verificar a propriedade do domínio.
O Single Sign-On não será ativado antes que a verificação do domínio seja concluída.
Para verificar o domínio, crie um novo registro TXT para o seu domínio com os valores mostrados na página de verificação.
Observação: O processo de verificação pode levar várias horas devido ao sistema DNS.
Observação: Dependendo do seu sistema de gerenciamento de domínio, a descrição dos campos de entrada pode variar.
Depois de criar o novo registro TXT, inicie o processo de verificação clicando no botão Iniciar verificação.
Observe que o processo de verificação pode levar várias horas devido ao sistema DNS.
Dica: o TeamViewer procurará o registro de verificação TXT por 24 horas após o início da verificação. Se não conseguirmos encontrar o registro TXT dentro de 24 horas, a verificação falhará e o status será atualizado de acordo. Nesse caso, você precisará reiniciar a verificação por meio dessa caixa de diálogo.
Configuração do provedor de identidade
Cada provedor de identidade requer sua própria configuração, que é abordada em artigos dedicados da base de conhecimento:
Configuração do TeamViewer
O TeamViewer é compatível com o Single Sign-On a partir da versão 13.2.1080. Versões anteriores não oferecem suporte ao Single Sign-On e não podem redirecionar os usuários para o seu provedor de identidade durante o login.
Desabilitando o navegador incorporado para SSO
A configuração do cliente é opcional, mas permite alterar o navegador usado para o login SSO do IdP.
O TeamViewer usará, por padrão, um navegador incorporado para autenticação do provedor de identidade. Se preferir usar o navegador padrão do sistema operacional, você pode alterar este comportamento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Linux:
sudo systemctl stop teamviewerd && echo '[bool ] SsoUseEmbeddedBrowser = 0' >> ~/.config/teamviewer/client.conf && sudo systemctl start teamviewerd
Observação: Após criar ou alterar o registro, você precisa reiniciar o TeamViewer.
Bloqueio de domínio: Bloqueando inscrições de contas por meio de domínios SSO
O recurso de bloqueio de domínio permite que os administradores impeçam que novos usuários criem suas próprias contas do TeamViewer usando um domínio de e-mail associado ao SSO. Em vez disso, os usuários que tentarem se inscrever com esses domínios receberão uma mensagem personalizada configurada pelo administrador.
Esta mensagem pode incluir instruções que direcionam os usuários para a configuração oficial do Tensor da empresa, como um link para solicitar uma licença pelo portal da intranet da empresa.
Informações técnicas
Esta seção lista os detalhes técnicos do provedor de serviços (SP) TeamViewer SAML. Esses dados podem ser relevantes para adicionar outros IdPs além dos descritos acima.
Metadados do provedor de serviços SAML:
Declarações de resposta SAML obrigatórias:
Isso deve ser mapeado para um identificador de usuário exclusivo dentro do escopo do IdP (e, portanto, dentro do escopo da empresa correspondente).
Por exemplo, pode ser o GUID do objeto do Active Directory para ADFS ou o endereço de e-mail para Okta
Esse atributo deve ser mapeado para o endereço de e-mail do usuário que deseja fazer login. O endereço de e-mail precisa ser o mesmo que o configurado para a conta TeamViewer. O mapeamento/comparação é feito sem distinção entre maiúsculas e minúsculas.
Esse atributo deve retornar um identificador específico do cliente. O atributo deve ser denominado "customeridentifier".
TeamViewer requer um identificador de cliente como uma reivindicação personalizada na resposta SAML para a configuração inicial de contas de logon único.
TeamViewer não armazena o identificador do cliente. Alterá-lo posteriormente interromperá o Single Sign-On, e será necessário fazer uma nova configuração.
Qualquer cadeia aleatória pode ser usada como identificador de cliente.
Certificado de assinatura e criptografia (chave pública)
A chave pública do certificado usado para assinar solicitações SAML e para a criptografia de respostas SAML pode ser obtida com a execução do seguinte comando do PowerShell:
"-----BEGIN PUBLIC KEY-----`n" + ` ((Select-Xml ` -Content ((Invoke-WebRequest ` https://sso.teamviewer.com/saml/metadata.xml).Content) ` -xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + ` "`n-----END PUBLIC KEY-----" ` | Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii
O comando faz o download dos metadados, extrai a chave pública e a grava em um arquivo.