具有单点登录功能的 TeamViewer Tensor (Classic) 使 IT 能够更好地控制为 TeamViewer Tensor (Classic) 远程访问和支持配置企业用户帐户。 通过将访问限制为仅使用公司电子邮件的用户,带有 SSO 的 TeamViewer Tensor (Classic) 允许您防止未经授权的用户使用您的企业远程访问平台。
- 通过您的 SSO 身份服务提供商集中控制密码,因此 IT 无需管理密码,从而减少密码重置请求。
- 自动将公司密码策略和身份验证规则应用于每个授权的 TeamViewer Tensor (Classic) 用户。
- 高效离职员工,无需担心通过 TeamViewer 进行未经授权的后门访问。
- 通过允许员工使用他们已经用于公司应用程序的相同 SSO 登录凭据登录 TeamViewer Tensor (Classic) 来改善最终用户体验——无需使用另一个需要记住的密码单独登录 TeamViewer Tensor (Classic)。
本文适用于具有 Enterprise/Tensor许可计划的TeamViewer客户。
要求
使用TeamViewer单点登录,您需要
- TeamViewer版本13.2.1080或更高版本以及需要企业许可证
- SAML 2.0身份认证提供商(IdP)
- TeamViewer帐户,用于访问管理控制台并添加域
- 访问您域的DNS管理以验证域所有权
- TeamViewer Tensor (Classic)许可证。
* 目前,我们仅支持 Centrify、Okta、Azure、OneLogin、ADFS 和 G Suite,但我们正在努力在未来支持更多的 IdP。 上述 IdP 已经过测试,可以在这些文档和其他有关 SSO 和相应 IdP 的链接页面中找到设置其中一个 IdP 的详细步骤。
📌注意:如果您使用不同的 IdP,请使用技术信息手动设置您的 IdP。
💡提示:为单点登录添加域时,建议将拥有的帐户添加到排除列表中。 这样做的原因是后备方案,即使 IdP 不工作,您仍然可以访问域配置。
示例:TeamViewer 帐户“[email protected]”为单点登录添加域“example.com”。 添加域后,应将电子邮件地址“[email protected]”添加到排除列表中。 这是更改 SSO 配置所必需的,即使由于配置错误导致单点登录不起作用。
💡提示 2:添加单个登录域时,建议将其他所有者添加到 SSO 域,因为 SSO 所有权不会在您的公司内继承。
示例:TeamViewer 帐户“[email protected]”为单点登录添加域“example.com”后,他们将多个公司管理员(例如“[email protected]”)添加为域所有者,以便他们也可以管理 域及其 SSO 设置。
使用该域的电子邮件地址的所有 TeamViewer 帐户在域级别激活单点登录 (SSO)。 激活后,登录相应 TeamViewer 帐户的所有用户都将重定向到已为该域配置的身份提供者。 无论使用哪个 IdP,都需要执行此步骤。
出于安全原因和防止滥用,需要在激活该功能之前验证域所有权。
添加新域名
要激活SSO,请登录TeamViewer 管理平台 (Management Console)并选择Single Sign-On菜单条目。单击添加域,然后输入要为其激活SSO的域。
您还需要为身份提供者提供元数据。有三种选择可供选择:
- 通过URL:在相应的字段中输入您的IdP元数据URL
- 通过XML:选择并上传您的元数据XML
- 手动配置:手动输入所有必要信息。请注意,公钥必须是Base64编码的字符串。
创建自定义标识符
添加域后,可以生成自定义标识符。 TeamViewer不存储此自定义标识符,但用于SSO的初始配置。它不能在任何时间点更改,因为这将打破单点登录并且需要新的设置。任何随机字符串都可以用作客户标识符。稍后需要此字符串来配置IdP。
验证域名所有权
成功添加域后,您需要验证域所有权。
在域验证完成之前,不会激活单点登录。
要验证域名,请使用验证页面上显示的值为您的域名创建新的TXT记录。
📌注意: 由于DNS系统,验证过程可能需要几个小时。
添加TXT记录的对话框可能类似于:
📌注意: 根据您的域管理系统,输入字段的描述可能有所不同。
创建新的TXT记录后,单击“开始验证”按钮开始验证过程。
📌请注意,由于DNS系统,验证过程可能需要几个小时。
💡提示: TeamViewer将在开始验证后24小时内查找TXT验证记录。如果我们在24小时内找不到TXT记录,则验证失败并且状态会相应更新。在这种情况下,您需要通过此对话框重新启动验证。
TeamViewer客户端配置
从版本13.2.1080开始,TeamViewer与Single Sign-On兼容。
以前的版本不支持单点登录,并且在登录期间无法将用户重定向到您的身份提供商。客户端配置是可选的,但允许更改已使用的浏览器以进行IdP的SSO登录。
默认情况下,TeamViewer客户端将使用嵌入式浏览器进行身份提供程序身份验证。如果您更喜欢使用操作系统的默认浏览器,则可以通过以下注册表项更改此行为:
Windows
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意: 您需要在创建或更改注册表后重新启动TeamViewer客户端。
技术信息
本节列出了 TeamViewer SAML 服务提供商 (SP) 的技术细节。 此数据可能与添加上述以外的其他 IdP 相关。
SAML 服务提供商元数据:
供您复制/粘贴:
SP Metadata URL: https://sso.teamviewer.com/saml/metadata.xml
Entity ID: https://sso.teamviewer.com/saml/metadata
Audience: https://sso.teamviewer.com/saml/metadata
Assertion Customer Service URL: https://sso.teamviewer.com/saml/acs
Assertion Consumer Service URL: https://sso.teamviewer.com/saml/acs
Assertion Consumer Service Bindings
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec
SAML Request Signature Algorithm: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
TeamViewer 支持 SHA-256 作为签名算法。 我们要求签署 SAML 断言,而签署 SAML 响应是可选的,但建议这样做。
NameID: Unspecified
Required SAML Response Claims:
这应该映射到 IdP 范围内的唯一用户标识符(因此,在相应公司的范围内)。
例如,这可以是 ADFS 的 Active Directory 对象 GUID 或 Okta 的电子邮件地址
此属性应映射到想要登录的用户的电子邮件地址。电子邮件地址需要与为 TeamViewer 帐户配置的相同。 映射/比较以不区分大小写的方式完成。
此属性应返回特定于客户的标识符。 该属性必须命名为“customeridentifier”。
TeamViewer 需要客户标识符作为 SAML 响应中的自定义声明,用于单点登录帐户的初始配置。
TeamViewer 不存储客户标识符。 稍后更改它会破坏单点登录,并且需要进行新设置。
任何随机字符串都可以用作客户标识符。
签名加密证书(公钥)
可以通过执行以下 PowerShell 命令获取用于签署 SAML 请求和加密 SAML 响应的证书的公钥:
"-----BEGIN PUBLIC KEY-----`n" + ` ((Select-Xml ` -Content ((Invoke-WebRequest ` https://sso.teamviewer.com/saml/metadata.xml).Content) ` -xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + ` "`n-----END PUBLIC KEY-----" ` | Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii
该命令下载元数据,提取公钥,并将其写入文件。