TeamViewer单点登录(SSO)旨在通过将TeamViewer与身份提供者和用户目录相连接来减少大公司的用户管理工作。
本文适用于具有Enterprise/Tensor许可证的TeamViewer客户。
📌注意:
- TeamViewer 单点登录基于您设置的域。 这意味着您公司内或公司外存在的所有 TeamViewer 帐户都将转发给身份提供者。
- Microsoft Entra ID 用户的邮箱地址必须与对应的 TeamViewer 账户的邮箱地址一致。
- TXT 条目必须公开可见。 您可以使用 DNS TXT 查找工具来检查这一点。
要求
要使用TeamViewer单点登录,您需要
- TeamViewer版本13.2.1080或更新版本
- SAML 2.0兼容身份提供商(IdP)*
- TeamViewer帐户,用于访问管理控制台并添加域
- 访问您域的DNS管理以验证域所有权
- TeamViewer Tensor (Classic)许可证。
1.创建自定义标识符
此自定义标识符不会由 TeamViewer 存储,而是用于 SSO 的初始配置。 任何时候都不得更改,因为这会破坏单点登录,并且需要进行新的设置。
任何随机字符串都可以用作客户标识符。 建议不要在自定义标识符中使用特殊字符。
📌 注意:
- 例如,您可以使用在线密码生成器或内部密码生成器(如果您的公司有的话)。
- 此字符串是稍后配置 IdP 所必需的。
2. Microsoft Entra ID 身份提供程序设置
要将 TeamViewer 与 Microsoft Azure Active Directory 作为身份提供者连接,需要为您的 Azure AD 创建应用程序。 创建和配置企业应用程序的步骤如下所述:
1.) 打开浏览器并使用具有全局管理员权限的帐户登录“portal.azure.com”。
2.) 您将看到一个主屏幕。 在那里选择 Azure 服务“Azure Active Directory”
3.) 选择 Azure 服务 Azure Active Directory 后,您将看到一个概览,请在管理选项企业应用程序部分下的左侧选择
现在,将打开 Azure AD 中所有企业应用程序的概述。
5.) 单击所有应用程序 (1),然后单击
6.) 单击新建应用程序 (2)
7.) 在下一个窗口中,请单击创建您自己的应用程序
8.) 现在您可以创建自己的应用程序:
(1) 输入应用名称
(2) 选择集成您在图库中找不到的任何其他应用程序(非图库)
(3) 📌注意:请不要选择Azure推荐的TeamViewer App。
(4) 点击创建
9.) 创建应用程序后,您将看到此应用程序的概述。
10.) 在管理部分下单击选项单点登录并选择 SAML 方法
11.) 现在您可以编辑 SAML 配置
(1) 输入实体 ID -> https://sso.teamviewer.com/saml/metadata
(2) 📌 注意:从 Microsoft 中删除预定义的 URL
(3) 输入回复地址 -> https://sso.teamviewer.com/saml/acs
(4) 点击保存
12.) 保存第一步后,您会收到问题,是否要测试单点登录。 点击否,我稍后测试
13.) 在下一部分中,您必须编辑属性和声明
14.) 单击添加新声明以添加新声明
(1) 输入值 customeridentifier 作为 Name
(2) Namespace 的值 http://sso.teamviewer.com/saml/claims
(3) 在 Source 属性中输入您在开始时创建的自定义标识符
(4) 点击保存
15.) 您将在概览中看到新添加的声明
16.) 在下一步中,您下载元数据 XML 文件或复制元数据 URL
(1) 在 TeamViewer 管理控制台中执行以下步骤时,您需要其中之一。
17.) 在完成 TeamViewer 管理控制台设置之前,请将组/用户添加到应用程序。
📌 注意:这是必需的,以便用户可以成功登录他们的 TeamViewer 帐户,并且组/用户稍后将用于 AD SCIM 同步。
(1) 单击用户和组上的应用程序
(2) 点击添加用户/组
3. TeamViewer 管理控制台 (MCO) 配置
1.) 打开 Web 浏览器并使用您获得许可的 TeamViewer 帐户登录 TeamViewer 管理控制台。
📌 注意:TeamViewer 账户用户权限必须是公司管理员
(1) 点击公司管理
(2) 点击单点登录
(3) 点击添加第一个域“
2.) 在下一个窗口中,您可以输入要用于单点登录的域。
📌 注意:如果您想使用多个域进行 TeamViewer 单点登录,请重复此步骤。对不同的域使用相同的 XML 文件或 XML URL。此处唯一的要求是,域链接到同一个 Azure 租户。
(1) 输入您的域
(2) 选择配置类型
(3) 上传元数据 XML 文件
(4) 激活附加选项
📌 子域注意事项:此功能不仅允许包含用于 SSO 登录的域(example.com),还允许包含所有子域(例如 sub.example.com)
📌 禁用激活电子邮件的注意事项:在此域下创建的 SSO 帐户将或不会收到激活电子邮件取决于此选项。如果启用此选项,新创建的帐户将不会收到激活电子邮件
(5) 点击“下一步”
3.) 在下一部分中,您可以将帐户添加到单点登录排除列表中。 如果您没有要添加的内容,请单击下一步。
⚠ 重要提示:强烈建议将所有域所有者添加到排除列表中,以便在 SSO 需要新配置时仍然可以登录。 应使用第二个帐户执行 SSO 登录测试。
📌 电子邮件排除注意事项:您可以指定将从身份提供者连接中排除的电子邮件地址。 这些帐户可以照常登录 TeamViewer,无需身份提供商身份验证。 建议排除域的所有者作为后备,以防配置不正确或身份提供者不可用。
4.) 这一步(Single Sign-On Custom Identifier)可以跳过,点击Next,因为你在开始时已经创建了Custom Identifier
4. 域名验证
📌 注意 1:您将在此屏幕上看到 DNS 服务器管理的信息。 您需要来自字段名称/主机的信息和来自字段值/数据的信息
📌注意2:从字段值/数据复制,稍后您需要此信息。
1.) 在域验证窗口中,执行以下操作
(1) 可以点击开始验证
(2.) 你可以点击跳过
📌注意:如果您从头到尾都按照本指南进行操作,则在此窗口中单击跳过
📌注意:您可以随时返回验证页面查看未验证域时的值
4.) 单击域验证
5.) 单击值的复制
6.) 完成 DNS 服务器管理的步骤后,单击开始验证
📌 注意:TXT 条目必须在公共场合可见。您可以使用 DNS TXT 查找工具进行检查。在这种情况下,谷歌会帮助你。
📌 注意:TeamViewer 会在开始验证后 24 小时内寻找 TXT 验证记录。如果我们在 24 小时内找不到 TXT 记录,则验证失败并相应更新状态。在这种情况下,您需要通过此对话框重新启动验证。
📌 注意:以下显示了 Cloudflare 管理的域的 DNS 服务器管理。您的 DNS 服务器管理可能看起来不同!
登录 Cloudflare 仪表板后,选择域。
(1) 点击DNS,点击添加记录
(2) 选择为类型 ➜ TXT
(3) 输入名称 ➜ @
(4) 输入内容 ➜ 上述步骤中的 TeamViewer SSO 验证值
(5) 点击保存
TeamViewer客户端配置
从版本13.2.1080开始,TeamViewer与Single Sign-On兼容。
以前的版本不支持单点登录,并且在登录期间无法将用户重定向到您的身份提供商。客户端配置是可选的,但允许更改已使用的浏览器以进行IdP的SSO登录。
默认情况下,TeamViewer客户端将使用嵌入式浏览器进行身份提供程序身份验证。如果您更喜欢使用操作系统的默认浏览器,则可以通过以下注册表项更改此行为:
Windows
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意: 您需要在创建或更改注册表后重新启动TeamViewer客户端。