Base de conhecimento

Voltar para a visão geral do suporte

O TeamViewer Single Sign-On (SSO) visa reduzir os esforços de gerenciamento de usuários de grandes empresas, conectando o TeamViewer a provedores de identidade e diretórios de usuários.

Este artigo se aplica aos clientes do TeamViewer com uma licença Tensor.

Requisitos

Para usar o Logon Único (SSO) do TeamViewer, você precisa de:

  • Um TeamViewer versão 13.2.1080 ou mais recente 

  • Um provedor de identidade (IdP) compatível com SAML 2.0* 

  • Uma conta TeamViewer para acessar o Management Console e adicionar domínios
  • Acesso ao gerenciamento de DNS do seu domínio para verificar a propriedade  do domínio

  • Uma licença do TeamViewer Tensor

Guia de configuração de SSO

Siga as etapas abaixo para definir sua configuração de SSO para o Okta.

Adicione um novo domínio

1. Abra o aplicativo Okta.

2. Vá para Aplicativos e selecione Aplicativos.

3. Clique no botão Criar integração de aplicativos.

4. Selecione SAML 2.0 , dê um nome ao seu aplicativo e clique em Avançar.

5. Nas Configurações SAML, preencha os campos usando as informações abaixo: 

Campos
Informações a serem inseridas

URL de logon único

https://sso.teamviewer.com/saml/acs

 

Observação: deixe a caixa Usar para URL do destinatário e URL de destino marcada.

URI do público-alvo (ID da entidade SP)

https://sso.teamviewer.com/saml/metadata

Formato de ID de nome:

EmailAddress

Nome de usuário do aplicativo

Email

6. Agora clique em Mostrar configurações avançadas

7. Altere a criptografia de asserção para criptografada

 

8. Em seguida, você deve recuperar a chave pública do TeamViewer para carregá-la no campo Certificado de criptografia.

Observação: Esse arquivo precisa estar no formato Base64

Obtenha a chave pública do TeamViewer: 

A chave pública do certificado usada para assinar solicitações SAML e para a criptografia de respostas SAML pode ser obtida executando o seguinte comando do PowerShell: 

"-----BEGIN PUBLIC KEY-----'n"+ '
((Select-Xml '
-Content ((Invoke-WebRequest '
https://sso.teamviewer.com/saml/metadata.xml). Conteúdo) '
-xpath "//*[nome-local()='X509Certificate']"). Nó[0].' #text') + '
"'n-----ENDPUBLIC KEY-----" '
| Arquivo de saída -FilePath "sso.teamviewer.com -saml.cer" -Codificação ascii

O comando baixa os metadados, extrai a chave pública e a grava em sso.teamviewer.com - saml.cer arquivo no formato ascii. 

Após a conclusão, você deve converter esse arquivo em um tipo de arquivo .cer Base64.

Converta o arquivo sso.teamviewer.com - saml.cer 

Para converter o arquivo sso.teamviewer.com - saml.cer em Base64, siga as etapas abaixo: 

1. Clique com o botão direito do mouse e selecione Abrir.

2. Clique na guia Detalhes 3 e selecione Copiar para arquivo.

3. Clique em Avançar.

4. Selecione X.509 codificado em Base-64.

5. Clique em Avançar.

6. Digite o nome do arquivo.

7. Clique em Avançar.

8. Clique em Concluir.

O resultado deve ser semelhante a este: 

Antes de adicionar as duas instruções de atributo necessárias, você precisará clicar em Avançar para obter a chave pública do Okta e outras informações necessárias para preencher as informações nas configurações de SSO no TeamViewer Management Console. Você voltará aqui depois novamente para completar. 

1. Selecione Sou um cliente Okta, adicionando um aplicativo interno

2. Selecione Este é um interno e clique em Concluir.

3. Clique em Exibir instruções de configuração do SAML.

4. Faça login no TeamViewer Management Console e:

a)  Selecione Administração da empresa

b)  Selecione Single Sign-On 

c)  Clique no sinal + ou Adicionar primeiro domínio 

d)  Insira o domínio para o qual deseja ativar o SSO

e)  Alterar configuração para manual 

f)  Copie as informações de (1) e cole-as no campo URL de logon único

g)  Copie as informações de (2) e cole-as no campo ID da entidade

h)  Copie as informações de (3) e cole-as no campo Chave Pública, excluindo a primeira e a última linha

I)  Marque a caixa Desativar e-mails de ativação para o domínio fornecido

j)  Clique em Avançar

k)  Insira as exclusões de SSO de e-mail que você deseja excluir do SSO

l)  Clique em Avançar novamente

Os resultados devem ser parecidos com isto: 

Em seguida, você precisa gerar seu identificador de cliente. 

Depois que o domínio for adicionado, o identificador de cliente poderá ser gerado. Esse identificador de cliente não é armazenado pelo TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Logon único e uma nova configuração será necessária. Qualquer string aleatória pode ser usada como um identificador de cliente. Essa cadeia de caracteres é necessária posteriormente para a configuração do IdP. 

 Certifique-se de salvá-lo, pois você precisará dele novamente mais tarde. 

Verifique a propriedade do domínio

Depois que um domínio for adicionado com sucesso, você precisará verificar a propriedade do domínio. 

O logon único não será ativado antes que a verificação do domínio seja concluída. 

Para verificar o domínio, crie um novo registro TXT para seu domínio com os valores mostrados na página de verificação.  

Observação: O processo de verificação pode levar várias horas por causa do sistema DNS. 

A caixa de diálogo para adicionar um registro TXT pode ser semelhante a: 

Observações:

  • Dependendo do seu sistema de gerenciamento de domínio, a descrição dos campos de entrada pode variar. 
  • Depois de criar o novo registro TXT, inicie o processo de verificação clicando no botão Iniciar verificação e depois em Concluir.
  • O processo de verificação pode levar várias horas por causa do sistema DNS, mas geralmente leva cerca de um minuto. 

Dica: O TeamViewer procurará o registro de verificação TXT por 24 horas após iniciar a verificação. Caso não consigamos encontrar o registro TXT em 24 horas, a verificação falha e o status é atualizado de acordo. Você precisa reiniciar a verificação por meio dessa caixa de diálogo nesse caso.  

1. Selecione a guia Geral e edite suas configurações de SAML. 

2. Clique em Avançar. 

3. Vá para a seção Instruções de atributo e insira os dois atributos a seguir:

Importante: O Identificador de cliente que foi definido inicialmente não deve ser alterado; caso contrário, o SSO será interrompido. O TeamViewer não está armazenando esse valor.  

Seus resultados devem ser assim: 

4. Clique em Avançar e depois em Concluir.

Configuração do cliente TeamViewer

O TeamViewer é compatível com Logon único a partir da versão 13.2.1080.

As versões anteriores não oferecem suporte ao Logon único e não podem redirecionar os usuários para seu provedor de identidade durante o login. A configuração do client é opcional, mas permite alterar o navegador usado para o login SSO do IdP.

O TeamViewer client usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar esse comportamento:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

Observação: Você precisa reiniciar o TeamViewer client depois de criar ou alterar o registro.

1. Abra o TeamViewer Management Console e conecte-se com sua conta licenciada do TeamViewer.

3. Clique no nome do seu perfil e selecione Editar perfil.

4. Clique em Aplicativos e depois em Criar Token de Script.

5. Insira um Nome para o Token de API e selecione as seguintes opções para o Token. 

6. Clique em Criar para receber seu token de API.

7. Depois que o token for criado, você verá o token na visão geral. Expanda para exibir o token da API. Copie o token e cole-o no aplicativo Okta ao lado de Authorization.

8. Copie este Token e volte para o aplicativo Okta