TeamViewer 单点登录 (SSO) 旨在通过将 TeamViewer 与身份提供商和用户目录连接起来来减少大公司的用户管理工作。
本文适用于拥有 Tensor 许可证的 TeamViewer 客户。
要求
要使用 TeamViewer 单点登录 (SSO),您需要:
-
TeamViewer 版本 13.2.1080 或更高版本
-
与 SAML 2.0 兼容的身份提供者 (IdP)*
-
TeamViewer 帐户以访问管理控制台并添加域• 访问域的 DNS 管理以验证域所有权
-
TeamViewer Tensor 许可证
SSO 配置指南
请按照以下步骤为 Okta 设置 SSO 配置。
添加新域
1. 打开 Okta 应用程序。
2. 转到应用程序并选择应用程序。
3. 单击 “创建应用程序集成”按钮。
4. 选择 SAML 2.0 并 为您的应用程序命名,然后单击 下一步。
5. 在 “SAML 设置”上,使用以下信息填充字段:
6. 现在单击 显示高级设置。
7. 将断言加密 更改为加密。
8. 接下来,您必须检索 TeamViewer 公钥以将其上传到 加密证书 字段中。
注意: 此文件需要为 Base64 格式。
获取 TeamViewer 公钥:
可以通过执行以下 PowerShell 命令获取用于对 SAML 请求进行签名和加密 SAML 响应的证书的公钥:
"-----BEGIN PUBLIC KEY-----`n"+ ` ((Select-Xml ` -Content ((Invoke-WebRequest ` https://sso.teamviewer.com/saml/metadata.xml).Content) ` -xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + ` "`n-----ENDPUBLIC KEY-----" ` | Out-File -FilePath "sso.teamviewer.com -saml.cer" -Encoding ascii
该命令下载元数据,提取公钥,并将其写入 sso.teamviewer.com - saml.cer ASCII 格式的文件。
完成后 ,您必须将此文件 转换为 Base64 .cer 文件类型。
转换 sso.teamviewer.com - saml.cer 文件
要将 sso.teamviewer.com - saml.cer 文件 转换为 Base64,请按照以下步骤作:
1. 单击鼠标右键,然后选择 “打开”。
2. 单击 “详细信息”选项卡 3 ,然后选择 “复制到文件”。
3. 单击 下一步。
4. 选择 Base-64 编码的 X.509。
5. 单击 下一步。
6. 键入 文件名。
7. 单击 下一步。
8. 单击 “完成”。
结果应如下所示:
在添加两个必需的 属性语句之前,您需要单击 下一步 以获取 Okta 的公钥以及在 TeamViewer 管理控制台 的 SSO 设置中填充信息所需的其他信息。之后你会再次回到这里完成。
1. 选择 我是 Okta 客户,添加内部应用程序。
2. 选择 “This is an internal ”,然后单击 “完成”。
3. 单击 查看 SAML 设置说明。
4. 登录 TeamViewer 管理控制台 并:
a) 选择 公司管理
b) 选择 单点登录
c) 单击 + 号或 添加第一个域
d) 输入 您要为其 激活 SSO 的域
e) 将 配置 更改为 手动
f) 复制 (1) 中的信息并将其粘贴到单 点登录 URL 字段中
g) 复制 (2) 中的信息并将其粘贴到实体 ID 字段 中
h) 复制 (3) 中的信息并将其粘贴到 公钥 字段中,不包括第一行和最后一行
i) 勾选禁用给定域的激活电子邮件框
j) 单击 下一步
k) 输入 要从 SSO 中排除的任何电子邮件 SSO 排除项
l) 再次单击下一步
结果应如下所示:
接下来,您需要生成 客户标识符 (Customer identifier)。
添加域后,可以生成 自定义标识符 。此自定义标识符不由 TeamViewer 存储,但用于 SSO 的初始配置。在任何时间点都不得更改它,因为这将中断单点登录,并且需要进行新的设置。任何随机字符串都可以用作客户标识符。稍后配置 IdP 需要此字符串。
请务必保存此内容,因为您以后会再次需要它。
验证域名所有权
成功添加域后,您需要验证域所有权。
在域验证完成之前,不会激活单点登录。
要验证域名,请使用验证页面上显示的值为您的域名创建新的 TXT 记录。
注意: 由于 DNS 系统,验证过程可能需要几个小时。
添加 TXT 记录的对话框可能类似于:
注意:
- 根据您的域管理系统,输入字段的描述可能会有所不同。
- 创建新的 TXT 记录后,单击“开始验证”按钮,然后单击“完成”开始验证过程。
- 由于 DNS 系统,验证过程可能需要几个小时,但通常需要一分钟左右。
提示: TeamViewer 将在开始验证后 24 小时内查找 TXT 验证记录。如果我们在 24 小时内找不到 TXT 记录,则验证失败并相应更新状态。在这种情况下,您需要通过此对话框重新启动验证。
1. 选择 “常规 ”选项卡并 编辑 您的 SAML 设置。
2. 单击 下一步。
3. 转至 “属性语句 ”部分,然后输入以下两个属性:
- 名称格式
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddreSS
值: user.email
- 未指定
http://sso.teamviewer.com/saml/claims/customeridentifier
在最初设置 TeamViewer SSO 时,每个客户都必须指定此属性。
重要:最初设置的客户标识符不得更改;否则,SSO 将中断。TeamViewer 不存储此值。
您的结果应如下所示:
4. 单击 下一步, 然后单击 完成。
TeamViewer 客户端配置
TeamViewer 从版本 13.2.1080 开始与单点登录兼容。
以前的版本不支持 单点登录,并且无法在登录期间将用户重定向到您的身份提供者。客户端配置是可选的 ,但允许更改用于 IdP SSO 登录的浏览器。
默认情况下,TeamViewer 客户端将使用嵌入式浏览器进行身份提供商身份验证。如果您更喜欢使用作系统的默认浏览器,您可以更改此行为:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
默认值写入 com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
注意:创建或更改注册表后,您需要重新启动 TeamViewer 客户端。
1. 打开 TeamViewer 管理控制台,然后使用您获得许可的 TeamViewer 帐户进入。
3. 单击您的个人资料名称并选择 编辑个人资料。
4. 单击 应用程序 ,然后单击 创建脚本令牌。
5. 输入 API 令牌的 名称 ,然后为令牌 选择 以下选项。
6. 单击 “创建” 以接收您的 API 令牌。
7. 创建令牌后,您将在概览中看到该令牌。 展开以 查看 API 令牌。 复制令牌 并将其 粘贴到 Okta 应用程序的“授权”旁边。
8. 复制此令牌 并返回您的 Okta 应用程序。