O TeamViewer Single Sign-On (SSO) visa reduzir os esforços de gerenciamento de usuários de grandes empresas, conectando o TeamViewer a provedores de identidade e diretórios de usuários.
Este artigo se aplica aos clientes do TeamViewer com uma licença Tensor.
Para usar o Logon Único (SSO) do TeamViewer, você precisa de:
Um TeamViewer versão 13.2.1080 ou mais recente
Um provedor de identidade (IdP) compatível com SAML 2.0*
Uma licença do TeamViewer Tensor
Siga as etapas abaixo para definir sua configuração de SSO para o Okta.
1. Abra o aplicativo Okta.
2. Vá para Aplicativos e selecione Aplicativos.
3. Clique no botão Criar integração de aplicativos.
4. Selecione SAML 2.0 , dê um nome ao seu aplicativo e clique em Avançar.
5. Nas Configurações SAML, preencha os campos usando as informações abaixo:
6. Agora clique em Mostrar configurações avançadas.
7. Altere a criptografia de asserção para criptografada.
8. Em seguida, você deve recuperar a chave pública do TeamViewer para carregá-la no campo Certificado de criptografia.
Observação: Esse arquivo precisa estar no formato Base64.
A chave pública do certificado usada para assinar solicitações SAML e para a criptografia de respostas SAML pode ser obtida executando o seguinte comando do PowerShell:
"-----BEGIN PUBLIC KEY-----'n"+ ' ((Select-Xml ' -Content ((Invoke-WebRequest ' https://sso.teamviewer.com/saml/metadata.xml). Conteúdo) ' -xpath "//*[nome-local()='X509Certificate']"). Nó[0].' #text') + ' "'n-----ENDPUBLIC KEY-----" ' | Arquivo de saída -FilePath "sso.teamviewer.com -saml.cer" -Codificação ascii
O comando baixa os metadados, extrai a chave pública e a grava em sso.teamviewer.com - saml.cer arquivo no formato ascii.
Após a conclusão, você deve converter esse arquivo em um tipo de arquivo .cer Base64.
Para converter o arquivo sso.teamviewer.com - saml.cer em Base64, siga as etapas abaixo:
1. Clique com o botão direito do mouse e selecione Abrir.
2. Clique na guia Detalhes 3 e selecione Copiar para arquivo.
3. Clique em Avançar.
4. Selecione X.509 codificado em Base-64.
5. Clique em Avançar.
6. Digite o nome do arquivo.
7. Clique em Avançar.
8. Clique em Concluir.
O resultado deve ser semelhante a este:
Antes de adicionar as duas instruções de atributo necessárias, você precisará clicar em Avançar para obter a chave pública do Okta e outras informações necessárias para preencher as informações nas configurações de SSO no TeamViewer Management Console. Você voltará aqui depois novamente para completar.
1. Selecione Sou um cliente Okta, adicionando um aplicativo interno.
2. Selecione Este é um interno e clique em Concluir.
3. Clique em Exibir instruções de configuração do SAML.
4. Faça login no TeamViewer Management Console e:
a) Selecione Administração da empresa
b) Selecione Single Sign-On
c) Clique no sinal + ou Adicionar primeiro domínio
d) Insira o domínio para o qual deseja ativar o SSO
e) Alterar configuração para manual
f) Copie as informações de (1) e cole-as no campo URL de logon único
g) Copie as informações de (2) e cole-as no campo ID da entidade
h) Copie as informações de (3) e cole-as no campo Chave Pública, excluindo a primeira e a última linha
I) Marque a caixa Desativar e-mails de ativação para o domínio fornecido
j) Clique em Avançar
k) Insira as exclusões de SSO de e-mail que você deseja excluir do SSO
l) Clique em Avançar novamente
Os resultados devem ser parecidos com isto:
Em seguida, você precisa gerar seu identificador de cliente.
Depois que o domínio for adicionado, o identificador de cliente poderá ser gerado. Esse identificador de cliente não é armazenado pelo TeamViewer, mas é usado para a configuração inicial do SSO. Ele não deve ser alterado em nenhum momento, pois isso interromperá o Logon único e uma nova configuração será necessária. Qualquer string aleatória pode ser usada como um identificador de cliente. Essa cadeia de caracteres é necessária posteriormente para a configuração do IdP.
Certifique-se de salvá-lo, pois você precisará dele novamente mais tarde.
Depois que um domínio for adicionado com sucesso, você precisará verificar a propriedade do domínio.
O logon único não será ativado antes que a verificação do domínio seja concluída.
Para verificar o domínio, crie um novo registro TXT para seu domínio com os valores mostrados na página de verificação.
Observação: O processo de verificação pode levar várias horas por causa do sistema DNS.
A caixa de diálogo para adicionar um registro TXT pode ser semelhante a:
Observações:
Dica: O TeamViewer procurará o registro de verificação TXT por 24 horas após iniciar a verificação. Caso não consigamos encontrar o registro TXT em 24 horas, a verificação falha e o status é atualizado de acordo. Você precisa reiniciar a verificação por meio dessa caixa de diálogo nesse caso.
1. Selecione a guia Geral e edite suas configurações de SAML.
2. Clique em Avançar.
3. Vá para a seção Instruções de atributo e insira os dois atributos a seguir:
Importante: O Identificador de cliente que foi definido inicialmente não deve ser alterado; caso contrário, o SSO será interrompido. O TeamViewer não está armazenando esse valor.
Seus resultados devem ser assim:
4. Clique em Avançar e depois em Concluir.
O TeamViewer é compatível com Logon único a partir da versão 13.2.1080.
As versões anteriores não oferecem suporte ao Logon único e não podem redirecionar os usuários para seu provedor de identidade durante o login. A configuração do client é opcional, mas permite alterar o navegador usado para o login SSO do IdP.
O TeamViewer client usará um navegador incorporado para a autenticação do provedor de identidade por padrão. Se preferir usar o navegador padrão do sistema operacional, você pode alterar esse comportamento:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
Observação: Você precisa reiniciar o TeamViewer client depois de criar ou alterar o registro.
1. Abra o TeamViewer Management Console e conecte-se com sua conta licenciada do TeamViewer.
3. Clique no nome do seu perfil e selecione Editar perfil.
4. Clique em Aplicativos e depois em Criar Token de Script.
5. Insira um Nome para o Token de API e selecione as seguintes opções para o Token.
6. Clique em Criar para receber seu token de API.
7. Depois que o token for criado, você verá o token na visão geral. Expanda para exibir o token da API. Copie o token e cole-o no aplicativo Okta ao lado de Authorization.
8. Copie este Token e volte para o aplicativo Okta.