TeamViewer 单点登录之Okta - TeamViewer Support
<main> <article class="userContent"> <p><em>本文适用于具有Enterprise/Tensor许可证的TeamViewer客户。</em></p><p><br></p><p>TeamViewer单点登录(SSO)旨在通过将TeamViewer与身份提供者和用户目录相连接来减少大公司的用户管理工作。</p><h2>要求</h2><p>要使用TeamViewer单点登录,您需要</p><ul><li>TeamViewer版本13.2.1080或更新版本</li><li>SAML 2.0兼容身份提供商(IdP)*</li><li>TeamViewer帐户,用于访问管理控制台并添加域</li><li>访问您域的DNS管理以验证域所有权</li><li>TeamViewer Tensor许可证。</li></ul><h2 data-id="teamviewermco">TeamViewer管理控制台(MCO)配置</h2><p>使用此域的电子邮件地址为所有TeamViewer帐户在域级别激活单点登录(SSO)。激活后,登录相应TeamViewer帐户的所有用户都将重定向到已为域配置的身份提供程序。</p><p>出于安全原因和防止滥用,需要在激活功能之前验证域所有权。</p><h3 data-id="-1">添加新域名</h3><p>要激活SSO,请登录TeamViewer 管理平台 (Management Console)并选择<strong>Single Sign-On</strong>菜单条目。单击<strong>添加域</strong>,然后输入要为其激活SSO的域。</p><p>您还需要为身份提供者提供元数据。有三种选择可供选择:</p><ul><li><strong>通过URL</strong>:在相应的字段中输入您的IdP元数据URL</li><li><strong>通过XML</strong>:选择并上传您的元数据XML</li><li><strong>手动配置</strong>:手动输入所有必要信息。请注意,公钥必须是Base64编码的字符串。</li></ul><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8741iD1F4B3AD8C1B59A1.jpg" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8741iD1F4B3AD8C1B59A1.jpg" alt="SSO 1.png" height="180" width="320" loading="lazy" data-display-size="large" data-float="none"></img></a> </div> </div> <p><br></p><h3 data-id="-2">创建自定义标识符</h3><p>添加域后,可以生成<strong>自定义标识符</strong>。 TeamViewer不存储此自定义标识符,但用于SSO的初始配置。它不能在任何时间点更改,因为这将打破单点登录并且需要新的设置。任何随机字符串都可以用作客户标识符。稍后需要此字符串来配置IdP。</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8742iBE10D838EC32E262.jpg" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8742iBE10D838EC32E262.jpg" alt="SSO 2.png" height="180" width="320" loading="lazy" data-display-size="large" data-float="none"></img></a> </div> </div> <div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8743i868BD4BE3E5EAEF3.jpg" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8743i868BD4BE3E5EAEF3.jpg" alt="SSO 3.png" height="180" width="320" loading="lazy" data-display-size="large" data-float="none"></img></a> </div> </div> <p><br></p><h3 data-id="-3">验证域名所有权</h3><p>成功添加域后,您需要验证域所有权。</p><p>在域验证完成之前,不会激活单点登录。</p><p>要验证域名,请使用验证页面上显示的值为您的域名创建新的TXT记录。</p><p><strong>📌注意</strong>: 由于DNS系统,验证过程可能需要几个小时。</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8744i11535F8B48F146BB.jpg" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8744i11535F8B48F146BB.jpg" alt="SSO 4.png" height="180" width="320" loading="lazy" data-display-size="large" data-float="none"></img></a> </div> </div> <p><br></p><p>添加TXT记录的对话框可能类似于:</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8745i967233549BDFBE7A.jpg" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032394/uploads/lithium_attachments/8745i967233549BDFBE7A.jpg" alt="SSO 5.png" height="180" width="320" loading="lazy" data-display-size="large" data-float="none"></img></a> </div> </div> <p><br></p><p><strong>📌注意</strong>: 根据您的域管理系统,输入字段的描述可能有所不同。</p><p>创建新的TXT记录后,单击“开始验证”按钮开始验证过程。</p><p><strong>📌</strong>请注意,由于DNS系统,验证过程可能需要几个小时。</p><p><strong>💡提示</strong>: TeamViewer将在开始验证后24小时内查找TXT验证记录。如果我们在24小时内找不到TXT记录,则验证失败并且状态会相应更新。在这种情况下,您需要通过此对话框重新启动验证。</p><p><strong>💡提示</strong>: 为单点登录添加域时,建议将拥有帐户添加到排除列表中。这样做的原因是即使IdP不工作,您仍然可以访问域配置。</p><p>示例:TeamViewer帐户“admin@example.com”为单点登录添加域“example.com”。添加域后,应将电子邮件地址“admin@example.com”添加到排除列表中。</p><p><strong>💡提示</strong>:为单点登录添加域时,建议在SSO域中添加其他所有者,因为SSO所有权未在您的公司内部继承。</p><p>示例:在TeamViewer帐户“ admin@example.com”为单点登录添加域“ example.com”之后,他添加了多个公司管理员(例如“ admin2@example.com”)作为域所有者,以便他们也可以 管理域及其SSO设置。</p><h2 data-id="okta">使用Okta进行身份提供商设置</h2><p>本节介绍如何设置Okta以用作TeamViewer SSO服务的IdP。</p><p><strong>💡提示</strong>: 您需要根据您的设置将用户分配给Okta中的应用程序。</p><p>在这里找到<a href="unsafe:/home/leaving?target=https%3A%2F%2Fsaml-doc.okta.com%2FSAML_Docs%2FConfiguring-SAML-2.0-in-TeamViewer.html" rel="nofollow noreferrer ugc">Okta文档(英文)</a>。</p><h3 data-id="teamviewer-okta">使用TeamViewer Okta应用程序自动配置</h3><ol><li>登录您的Okta Administrator仪表板</li><li>添加TeamViewer应用程序</li><li>选择SAML 2.0<ul><li>-- 复制并保存元数据URL</li></ul></li><li>将用户分配给应用程序</li><li>使用MCO中域管理中的元数据激活SAML</li></ol><h3 data-id="okta-web">使用Okta Web用户界面进行手动配置</h3><p>转到管理界面并添加新的SAML应用程序。在“<strong>SAML设置</strong>”页面上指定以下值:</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032394/uploads/JFNZBP7ESVPX/image.png" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032394/uploads/JFNZBP7ESVPX/image.png" alt="image.png" height="204" width="589" loading="lazy" data-display-size="large" data-float="none"></img></a> </div> </div> <h3 data-id="-4">(方便您进行复制粘贴)</h3><p><strong>Single Sign On URL </strong> <a href="https://sso.teamviewer.com/saml/acs" rel="nofollow noreferrer ugc"><strong>https://sso.teamviewer.com/saml/acs</strong></a></p><p><strong>Audience URI (SP Entity ID)</strong> <a href="https://sso.teamviewer.com/saml/metadata" rel="nofollow noreferrer ugc"><strong>https://sso.teamviewer.com/saml/metadata</strong></a></p><p><strong>Name ID Format </strong> EmailAddress</p><p><strong>Application username</strong> Email </p><p> </p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032394/uploads/DRHF0077X50T/image.png" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032394/uploads/DRHF0077X50T/image.png" alt="image.png" height="298" width="584" loading="lazy" data-display-size="large" data-float="none"></img></a> </div> </div> <p><br></p><p><strong>添加以下属性语句(名称格式 - 未指定):</strong></p><ul><li><a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" rel="nofollow noreferrer ugc">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress</a><ul><li>值:user.email</li></ul></li><li><a href="http://sso.teamviewer.com/saml/claims/customeridentifier" rel="nofollow noreferrer ugc">http://sso.teamviewer.com/saml/claims/customeridentifier</a><ul><li>初始设置TeamViewer SSO时,每个客户都必须指定此属性。</li></ul></li></ul><p>📌<strong>请注意</strong>:最初设置的“<strong>客户标识符</strong>”不得更改,<strong>否则SSO将中断</strong>。 TeamViewer未存储此值。</p><p> - 更复杂的绘图 -</p><p>📌<strong>请注意</strong>: <strong>emailaddress的值</strong>可能包含更复杂的映射规则。因此,Okta为您提供了一种表达式语言您可以在此处查看有关它的官方文档:<a href="unsafe:/home/leaving?target=https%3A%2F%2Fdeveloper.okta.com%2Freference%2Fokta_expression_language%2F" rel="nofollow noreferrer ugc">https://developer.okta.com/reference/okta_expression_language/index</a></p><p>A公司为其用户保留了两个电子邮件地址域 - @ a1.test和@ A2.test。 Okta用户将@ a1.test域与其帐户相关联。</p><p>应仅为@ A2.test电子邮件地址启用TeamViewer SSO。</p><p><strong>emailaddress</strong>语句的值可能如下所示:</p><p>String.append(String.substringBefore(user.email,“<a href="https://community.teamviewer.com/profile/%E2%80%9D%EF%BC%89%EF%BC%8C%E2%80%9C" rel="nofollow noreferrer ugc">@”),“</a>@ a2.test”)</p><p>这会导致SAML响应包含正确的电子邮件地址。</p><p><br></p><h2 data-id="teamviewer">TeamViewer客户端配置</h2><p>从版本13.2.1080开始,TeamViewer与Single Sign-On兼容。</p><p>以前的版本不支持单点登录,并且在登录期间无法将用户重定向到您的身份提供商。客户端配置是可选的,但允许更改已使用的浏览器以进行IdP的SSO登录。</p><p>默认情况下,TeamViewer客户端将使用嵌入式浏览器进行身份提供程序身份验证。如果您更喜欢使用操作系统的默认浏览器,则可以通过以下注册表项更改此行为:</p><pre class="code codeBlock" spellcheck="false" tabindex="0">HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD) </pre><p>📌<strong>注意</strong>: 您需要在创建或更改注册表后重新启动TeamViewer客户端。</p> </article> </main>
