TeamViewer 单点登录(SSO)旨在通过连接 与身份提供商和用户目录,减少大公司的用户管理工作。TeamViewer

本文适用于持有企业/Tensor 许可证 TeamViewer 客户 。

要求

要使用TeamViewer 单点登录,您需要

  • TeamViewer 13.2.1080 或更新版本
  • 兼容 SAML 2.0 的身份提供商 (IdP)*
  • TeamViewer 帐户,用于访问Management Console 和添加域
  • 访问域名的 DNS 管理,以验证域名所有权
  • TeamViewer Tensor 许可证。

TeamViewer 配置

单点登录(SSO)在域一级为所有使用该域电子邮件地址的TeamViewer 账户激活。一旦激活,所有登录相应TeamViewer 账户的用户都会被重定向到为该域配置的身份供应商。

为安全起见,并防止滥用,在激活该功能之前,必须验证域名所有权。

添加新域

要激活单点登录,请登录Management Console ,选择 公司管理,然后选择单点登录菜单项。单击添加域并输入要激活 SSO 的域。

您还需要提供身份供应商的元数据。有三种方法可供选择:

  • 通过 URL:在相应字段中输入 IdP 元数据 URL
  • 通过 XML:选择并上传元数据 XML
  • 手动配置:手动输入所有必要信息。请注意,公钥必须是 Base64 编码的字符串。

完成后,点击继续

现在,选择要从 SSO 中排除的电子邮件地址或用户组,然后点击添加域

创建自定义标识符

添加域名后,就可以生成自定义标识符。TeamViewer 不会存储该自定义标识符,但会将其用于单点登录的初始配置。任何时候都不能更改,否则会破坏单点登录,需要重新设置。任何随机字符串都可以用作客户标识符。以后配置 IDP 时需要使用该字符串。要生成自定义标识符,请单击生成

验证域名所有权

成功添加域名后,您需要验证域名所有权。

在域名验证完成之前,单点登录将无法激活。

要验证域名,请为您的域名创建一个新的 TXT 记录,并使用验证页面上显示的值。

📌注意:由于 DNS 系统的原因,验证过程可能需要几个小时。

📌注意:根据您的域管理系统,输入字段的说明可能有所不同。

创建新 TXT 记录后,单击 "开始验证 "按钮启动验证过程。

📌请注意,由于 DNS 系统的原因,验证过程可能需要几个小时。

💡提示:TeamViewer 将在开始验证后的 24 小时内查找 TXT 验证记录。如果在 24 小时内找不到 TXT 记录,则验证失败,状态也会相应更新。在这种情况下,您需要通过此对话框重新启动验证。

使用 Okta 设置身份供应商

本节介绍如何将 Okta 设置为TeamViewer SSO 服务的 IdP。

💡提示:您需要在 Okta 中为应用程序分配用户,具体取决于您的设置。

点击此处查找Okta 文档

使用TeamViewer Okta 应用程序自动配置

1) 登录您的 Okta 管理员控制面板

2) 添加TeamViewer 应用程序

3) 选择 SAML 2.0

  • 复制并保存元数据 URL

4) 为应用程序分配用户

5) 在 MCO 的域管理中使用元数据激活 SAML

使用 Okta Web 用户界面手动配置

进入管理界面,添加新的 SAML 应用程序。在SAML 设置页面上指定以下值:

供您复制/粘贴:

单点登录 URL :https://sso.teamviewer.com/saml/acs

受众 URI(SP 实体 ID) :https://sso.teamviewer.com/saml/metadata

姓名 ID 格式: 电子邮件地址

申请用户名: 电子邮件

添加以下属性语句(名称格式 - 未指定):

📌请注意:初始设置的"客户标识符 "不得更改,否则将中断 SSO。TeamViewer 不会存储此值。

-更复杂的映射

📌请注意: emailaddress属性语句的可能包括更复杂的映射规则。因此,Okta 为您提供了一种表达式语言,您可以在这里查看有关该语言的官方文档: https://developer.okta.com/reference/okta_expression_language/index

公司 A 为其用户保留了两个电子邮件地址域:@a1.test @a2.test。Okta 用户的账户关联了@a1.test域名。

TeamViewer 应仅为@a2.test电子邮件地址启用 SSO。

电子邮件地址语句的值可以如下所示:

String.append(String.substringBefore(user.email, "@"), "@a2.test")

这将使 SAML 响应包含正确的电子邮件地址。

TeamViewer 客户端配置

TeamViewer 从 13.2.1080 版开始与单点登录兼容。

以前的版本不支持单点登录,也不能在登录时将用户重定向到身份供应商。客户端配置是可选的,但可以更改用于单点登录 IdP 的浏览器。

TeamViewer 客户端默认使用嵌入式浏览器进行身份供应商身份验证。如果希望使用操作系统的默认浏览器,可以更改此行为:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌注意:创建或更改注册表后,需要重新启动TeamViewer 客户端。