TeamViewer 单点登录(SSO)旨在通过连接 与身份提供商和用户目录,减少大公司的用户管理工作。TeamViewer
本文适用于持有企业/Tensor 许可证的 TeamViewer 客户 。
要求
要使用TeamViewer 单点登录,您需要
- TeamViewer 13.2.1080 或更新版本
- 兼容 SAML 2.0 的身份提供商 (IdP)*
- TeamViewer 帐户,用于访问Management Console 和添加域
- 访问域名的 DNS 管理,以验证域名所有权
- TeamViewer Tensor 许可证。
TeamViewer 配置
单点登录(SSO)在域一级为所有使用该域电子邮件地址的TeamViewer 账户激活。一旦激活,所有登录相应TeamViewer 账户的用户都会被重定向到为该域配置的身份供应商。
为安全起见,并防止滥用,在激活该功能之前,必须验证域名所有权。
添加新域
要激活单点登录,请登录Management Console ,选择 公司管理,然后选择单点登录菜单项。单击添加域并输入要激活 SSO 的域。
您还需要提供身份供应商的元数据。有三种方法可供选择:
- 通过 URL:在相应字段中输入 IdP 元数据 URL
- 通过 XML:选择并上传元数据 XML
- 手动配置:手动输入所有必要信息。请注意,公钥必须是 Base64 编码的字符串。
完成后,点击继续。
现在,选择要从 SSO 中排除的电子邮件地址或用户组,然后点击添加域。
创建自定义标识符
添加域名后,就可以生成自定义标识符。TeamViewer 不会存储该自定义标识符,但会将其用于单点登录的初始配置。任何时候都不能更改,否则会破坏单点登录,需要重新设置。任何随机字符串都可以用作客户标识符。以后配置 IDP 时需要使用该字符串。要生成自定义标识符,请单击生成。
验证域名所有权
成功添加域名后,您需要验证域名所有权。
在域名验证完成之前,单点登录将无法激活。
要验证域名,请为您的域名创建一个新的 TXT 记录,并使用验证页面上显示的值。
注意:由于 DNS 系统的原因,验证过程可能需要几个小时。
注意:根据您的域管理系统,输入字段的说明可能有所不同。
创建新 TXT 记录后,单击 "开始验证 "按钮启动验证过程。
请注意,由于 DNS 系统的原因,验证过程可能需要几个小时。
提示:TeamViewer 将在开始验证后的 24 小时内查找 TXT 验证记录。如果在 24 小时内找不到 TXT 记录,则验证失败,状态也会相应更新。在这种情况下,您需要通过此对话框重新启动验证。
- 导航至目录➜用户
- 在右上角,按下管理自定义属性按钮。
- 按添加自定义属性(右上角)
- 输入类别名称(如 "单点登录")和可选描述。
- 在自定义字段部分输入新自定义属性的名称,例如TeamViewer Customer Identifier。
- 选择信息类型为文本
- 选择 "可见性",使管理员可见
- 选择单值的数值个数
- 按 "添加 "键
3) 导航至应用程序➜SAML 应用程序,单击右下角的添加(+)。
4) 选择设置我自己的自定义应用程序
5) 按 "下一步"确认 Google IdP 信息对话框。稍后还可以再次访问所有信息。
6) 输入应用程序名称,例如 "TeamViewer"(也可选择添加说明和徽标)。
7)在 "服务提供商详细信息 "中输入以下信息:
- ACS URL:https://sso.teamviewer.com/saml/acs
- 实体 ID:https://sso.teamviewer.com/saml/metadata
- 名称 ID:"基本信息" ➜ "主要电子邮件"
- 名称 ID 格式: "UNSPECIFIED" (未知
8) 在 "属性映射 "部分,添加以下映射:
- 属性名称:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressCategory:"基本信息"
- 用户属性:"主要电子邮件"
- 属性名称:http://sso.teamviewer.com/saml/claims/customeridentifierCategory:"单点登录"(在步骤 1 中创建)
- 用户属性:"TeamViewer 客户标识符"(在步骤 1 中创建)
请注意,对于希望通过单点登录登录TeamViewer 的用户,必须设置 "TeamViewer Customer Identifier "属性。
9)要为特定用户启用单点登录 (SSO),请按照以下步骤操作:
- 选择用户并打开用户信息。
- 在自定义属性下,选择在步骤 2 中创建的属性。
- 输入在 TeamViewer 的 SSO 域设置过程中生成的客户标识符。
- 点击保存。
TeamViewer 客户端配置
TeamViewer 从 13.2.1080 版开始与单点登录兼容。
以前的版本不支持单点登录,也不能在登录时将用户重定向到身份供应商。客户端配置是可选的,但可以更改用于单点登录 IdP 的浏览器。
TeamViewer 客户端默认使用嵌入式浏览器进行身份供应商身份验证。如果希望使用操作系统的默认浏览器,可以更改此行为:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
注意:创建或更改注册表后,需要重新启动TeamViewer 客户端。