nav[aria-label="Primary Navigation"] { padding: 0; & ul { list-style: none; width: 100%; display: flex; flex-direction: row; justify-content: start; align-items: start; gap: 30px; padding: 0; & li { margin: 0; } & ul li { list-style: none; } } }

SSOが失敗する原因と、Tensor管理者が知っておくべき5つの重要な確認ポイント

Akiho

SSOに関する問題の多くは、5つの確認項目に集約されます。このブログ記事では、重要な5つのチェックポイントに焦点を当て、導入後によく発生するログイン問題を迅速に診断・解決する方法をご紹介します。大規模環境での安全なアクセスを担うTeamViewer Tensorの管理者向けに、実践的で分かりやすい知見を提供し、迅速なトラブルシューティングを支援します。

SSOが失敗する原因と、Tensor管理者が知っておくべき5つの重要な確認ポイント.png

SSOが失敗する理由：TeamViewer Tensor管理者が確認すべき5つの重要ポイント

1.ドメインが検証済みであることを確認する

SSOを利用するには、対象ドメインの所有権が自社にあることをTeamViewerに認識させる必要があります。よくある問題は以下のとおりです：

TXTレコードの設定が正しく行われていない
検証が開始されたものの、完了していない

クイックチェック：管理者設定➜企業管理➜シングルサインオンに移動し、ドメインが検証済みとして表示されていることを確認してください。

2.IdP設定が完全に一致していることを確認する

わずかな不一致でもSSOは正常に機能しません。よくある原因は以下のとおりです：

ACS/Reply URLの設定に誤りがある
Entity IDが正しく設定されていない
NameIDの形式がメールアドレスに設定されていない
証明書が期限切れ、または更新されていない

クイックチェック：IdPの設定内容と、TeamViewerのSSO設定ページに表示されている値を比較してください。両者は1文字単位で完全に一致している必要があります。

3.ユーザーのメールアドレスが検証済みドメインに属していることを確認する

ユーザーのメールアドレスが検証済みドメインと一致しない場合、他の設定が正しくてもSSOは認証を拒否します。

実際によくある例：

企業のリブランディング後も、旧ドメインのメールアドレスが使用されている
外部メールアドレスで契約社員がログインを試みている
Azure ADに複数のドメインが登録されているが、TeamViewerで検証済みなのはそのうち1つのみ

クイックチェック：IdPに登録されているすべてのユーザーのメールアドレスが、TeamViewerで検証済みのドメインと一致していることを確認してください。

4.対象ユーザーにTensorライセンスが割り当てられていることを確認する

SSOはTensor専用の機能です。ユーザーにTensorライセンスが割り当てられていない場合、SSOは失敗します。

想定される状況：

一部のユーザーではSSOが機能するが、他のユーザーでは機能しない
管理者はログインできるが、一般ユーザーはログインできない
ユーザーがログインループに陥る、または明確なエラー表示がないままIdPへ戻される

不具合が発生しているわけではなく、単にユーザーに適切なライセンスが割り当てられていない可能性があります。

クイックチェック：管理者設定→ユーザー管理に移動し、対象ユーザーについて以下を確認してください。

TeamViewer上にユーザーが存在している
ユーザーが有効化されている
Tensorライセンスが割り当てられている。Tensorライセンスが割り当てられていない場合、SSOを含むTensor機能は利用できません

SCIMを使用していますか？ SCIMとSSOの問題は相互に関連することがあります

SCIMを利用している場合、ユーザーがSSOでログインできない際には、まずSCIM経由でユーザーが正常にプロビジョニングされているかを確認してください。

最も一般的なエラーは次のとおりです：

エラー 500：ユーザーはすでに無料アカウントとして存在しています

このエラーは、ユーザーがすでに個別のTeamViewerアカウントを保有している場合に発生し、SCIMによるプロビジョニングが行えず、結果としてSSOアクセスがブロックされます。

クイックチェック：ユーザーを企業プロファイルに追加する方法が用意されています。

ユーザーが既存のアカウントを削除する
　ユーザー自身がログインし、プロファイル設定からアカウントを削除します
　→アカウントを削除
ユーザーを手動で招待する
　ユーザーに対して、企業プロファイルへの招待を送信します
　→ユーザーを会社に追加

重要：いずれの方法を選択する場合でも、SSOが強制されている環境でログインを維持できるよう、対象ユーザーをSSOの例外リストに追加してください。

ユーザーが自身でアカウントを削除できない場合、または手動招待で追加できない場合は、TeamViewerサポートへお問い合わせください。サポートチームが対応いたします。

エキスパート向けヒント：展開時にはSSO包含リストを活用する

SSOを全社的に有効化する前に、SSO包含リストを活用してください。

包含リストを使用すると、設定の検証中にSSOの適用対象を特定のユーザーに限定できます。これにより、構成が正しく機能しているかを確認しながら、全社的なロックアウトリスクを回避できます。

特に、テストフェーズや段階的な展開（フェーズドロールアウト）において有効です。すべてのユーザーがまだライセンスを保有していない場合や、SSOへの移行準備が整っていない状況で役立ちます。運用が想定どおりに機能していることを確認した後は、包含リストの対象範囲を段階的に拡大するか、最終的にはリスト自体を削除することができます。

これらのチェック項目は、これまでのSSO対応に役立ちましたか？または、当てはまらないケースに直面したことはありますか？ぜひコミュニティで知見を共有し、他のTensorユーザーの参考として活かしていきましょう。

タグが付けられた投稿をさらに検索

There are no comments yet

新機能スポットライト

最新機能を詳しく見る

詳細を見る

今月のヒント

毎月、TeamViewerをより便利に使うための実用的なヒントをご紹介します。

詳細を見る