TeamViewer 单点登录(SSO)旨在通过连接 与身份提供商和用户目录,减少大公司的用户管理工作。TeamViewer
📌注意:
- TeamViewer Single Sign-On 以您设置的域名为基础。这意味着贵公司内外的所有TeamViewer 账户都将转发给身份供应商。
- Microsoft Entra ID(前身为 Azure AD)用户的电子邮件地址必须与相应TeamViewer 账户的电子邮件地址一致。
- TXT 条目必须是公开可见的。您可以使用DNS TXT 查询工具进行检查。
本文适用于持有企业/Tensor 许可证的 TeamViewer 客户 。
要求
要使用TeamViewer 单点登录,您需要
- TeamViewer 13.2.1080 或更新版本
- 兼容 SAML 2.0 的身份提供商 (IdP)*
- TeamViewer 帐户,用于访问Management Console 和添加域
- 访问域名的 DNS 管理,以验证域名所有权
- TeamViewer Tensor 许可证。
1.创建自定义标识符
TeamViewer 不会存储这个自定义标识符,但会用于单点登录的初始配置。任何时候都不能更改,否则会破坏单点登录,必须重新设置。
任何随机字符串都可用作客户标识符。建议不要在自定义标识符中使用特殊字符。
📌注意:
- 例如,您可以使用在线密码生成器或内部密码生成器(如果贵公司有的话)。
- 以后配置 IdP 时需要使用该字符串。
2.身份供应商设置 Microsoft Entra ID
要将TeamViewer 与作为身份提供者的 Microsoft Entra ID 连接,需要为 Microsoft Entra ID 创建一个应用程序。创建和配置企业应用程序的步骤如下:
1) 打开浏览器,使用具有全局管理权限的账户登录 "portal.azure.com"。
2) 您将看到一个主屏幕。选择 "Azure Active Directory"(Azure 服务
3) 选择 "Azure 服务Azure Active Directory"后,你将看到一个概览,请在左侧 "管理 "部分下选择 "企业应用程序"选项。
4) 现在,将打开 Azure AD 中所有企业应用程序的概览。
5) 点击所有应用程序 (1) ,然后点击
6) 点击新申请 (2)
7) 在下一个窗口中,请点击创建自己的应用程序
8) 现在,你可以创建自己的应用程序了:
(1) 输入申请名称。
(2) 选择整合图库中没有的其他应用程序(非图库)。
(3)📌 注意:请不要从 Azure 选择建议的TeamViewer 应用程序。
(4) 单击创建。
9)创建应用程序后,您将看到该应用程序的概述。
10) 单击 "管理 "部分下的 "单点登录"选项,并选择SAML方法。
11) 现在,您可以编辑SAML 配置。
(1) 输入实体 ID➜https://sso.teamviewer.com/saml/metadata
(2) 📌注意:从 Microsoft 中删除预定义 URL。
(3) 输入回复 URL➜https://sso.teamviewer.com/saml/acs
(4) 单击保存
12)保存第一步后,您会收到是否要测试单点登录的问题。单击 "否",我稍后再测试
13) 在下一部分,您必须编辑 属性和索赔
14)单击 "添加新索赔"以添加新索赔
(1) 输入名称 值customeridentifier
(2)命名空间 的值为http://sso。teamviewer.com/saml/claims
(3) 在 "来源 "属性中输入您在开始时创建的自定义标识符
(4) 单击保存
15) 您将在 "概览 "中看到新添加的索赔
16) 下一步,下载元数据 XML 文件或复制元数据 URL
(1) 在TeamViewer Management Console 的以下步骤中,您需要其中一个。
17) 在完成TeamViewer Management Console 设置之前,请为应用程序添加组/用户。
📌注意:这是必需的,这样用户才能成功登录其TeamViewer 账户,而组/用户将用于稍后的 AD SCIM 同步。
(1) 单击应用程序中的用户和组
(2) 单击添加用户/组
3.TeamViewer 配置
1) 打开网络浏览器,使用已获许可的TeamViewer 账户登录网络应用程序https://web.teamviewer.com/。
📌注意:TeamViewer 账户用户权限必须为公司管理员。
(1) 单击管理设置
(2) 单击单点登录
(3) 单击添加域
2) 在下一个窗口中,输入要用于单点登录的域。
📌注意:如果要在TeamViewer Single Sign-On 中使用多个域,请重复此步骤。对不同域使用相同的 XML 文件或 XML URL。这里唯一的要求是这些域链接到相同的 Microsoft Entra ID 租户。
(1) 输入您的域名
(2) 选择配置类型
(3) 上传元数据 XML 文件
(4) 激活其他选项
📌子域注意事项:此功能不仅允许包含用于 SSO 登录的域(example.com),还允许包含所有子域(如 sub.example.com)。
📌启用激活电子邮件的注意事项:在此域下创建的 SSO 账户是否会收到激活电子邮件取决于此选项。如果启用此选项,新创建的账户将收到激活电子邮件。
(5) 单击继续。
3) 在下一部分,你可以添加账户到单点登录排除列表。如果没有要添加的内容,请单击 "添加域"。
🚨重要提示:强烈建议将所有域所有者添加到排除列表中,这样在 SSO 需要新配置时,他们仍然可以登录。应使用第二个账户执行 SSO 登录测试。
📌电子邮件排除注意事项:您可以指定从身份供应商连接中排除的电子邮件地址。这些账户可以像往常一样登录TeamViewer ,无需身份供应商身份验证。建议将域名所有者排除在外作为备用,以防配置不正确或身份供应商不可用。
4) 这一步(单点登录自定义标识符)可以点击继续 跳过,因为您已经在开始时创建了自定义标识符。
4.领域验证
📌注意1: 您将在此屏幕上看到 DNS 服务器管理信息。您需要Name /Host字段中的信息和Value / Data字段中的信息。
📌注意2:从 "值/数据"字段复制,您稍后需要这些信息。
1) 在域验证窗口中,执行以下操作
(1) 您可以点击开始验证
(2.) 您可以点击跳过
📌注意:
- 如果您从头到尾都按照本指南进行操作,您可以在此窗口中单击 "跳过"。
- 您可以随时返回验证页面,查看域名未通过验证时的值
2) 返回网络应用程序https://web.teamviewer.com/。
📌注意:TeamViewer 账户用户权限必须为 "公司管理员"。
(1) 单击管理设置
(2) 单击单点登录
(3) 单击三点图标 (⋮) 编辑域
(4) 单击编辑
3) 单击域名验证
4) 点击复制值
5) 完成 DNS 服务器管理的步骤后,单击 "开始验证"。
📌注意:
- TXT 条目必须是公开可见的。您可以使用DNS TXT 查询工具进行检查。在这种情况下,谷歌可以帮助您。
- TeamViewer 将在开始验证后的 24 小时内查找 TXT 验证记录。如果我们无法在 24 小时内找到 TXT 记录,则验证失败,状态也会相应更新。在这种情况下,您需要通过此对话框重新启动验证。
📌注意:下面显示的是由 Cloudflare 管理的域的 DNS 服务器管理。您的 DNS 服务器管理可能与此不同!
登录 Cloudflare 控制面板后,选择域。
(1) 单击DNS,然后单击添加记录
(2) 选择为类型➜TXT
(3) 输入名称➜@。
(4) 输入内容➜ 上一步中的 TeamViewer SSO 验证值
(5) 单击保存
TeamViewer 客户端配置
TeamViewer 从 13.2.1080 版开始与单点登录兼容。
以前的版本不支持单点登录,也不能在登录时将用户重定向到身份供应商。客户端配置是可选的,但可以更改用于单点登录 IdP 的浏览器。
TeamViewer 客户端默认使用嵌入式浏览器进行身份供应商身份验证。如果希望使用操作系统的默认浏览器,可以更改此行为:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意:创建或更改注册表后,需要重新启动TeamViewer 客户端。